Sul blog della Kraken Security Labs è stato condivisa la dimostrazione dell’hacking di impronte digitali e quindi sostenuto come ciò può rendere inutile l’autenticazione biometrica come metodo di verifica.
La ricerca che porta il titolo “Your Fingerprint Can Be Hacked For $5. Here’s How” mostra quindi un trucco per hackerare le impronte digitali, che può essere elaborato con l’utilizzo di apparecchiature facilmente reperibili che possono essere trovate sul mercato a circa $ 5.
L’autenticazione delle impronte digitali è una comoda alternativa alle password e ai codici PIN.
Chi vuole passare il tempo a digitare una lunga serie di numeri, lettere e caratteri quando è sufficiente un semplice tocco? Sfortunatamente, questa comodità ha un costo. Perché, a differenza di una normale password, lasci la tua impronta digitale sulle porte dei taxi, sugli schermi dell’iPhone e sui bicchieri di vino del tuo ristorante locale.
Kraken Security Labs
Hacking di impronte digitali: il video dimostrativo
Nello specifico, tutto ciò che serve a un aggressore è catturare una fotografia dell’impronta digitale di qualcuno per riprodurla digitalmente.
Le persone infatti lasciano le loro impornte ovunque:su diverse superfici, come mobili, superfici di dispositivi e molto altro, e chiunque può copiare l’impronta digitale del suo bersaglio.
Dopo aver scattato una fotografia, l’avversario può ricreare digitalmente l’impronta digitale tramite qualsiasi software, come Adobe Photoshop . Una volta fatto, l’aggressore deve quindi stampare l’impronta digitale su un foglio di acetato. Una semplice stampante laser può servire a questo scopo. Ciò produrrà un modello 3D dell’impronta digitale target. Quindi, si stende la colla per legno sulla stampa, si lascia asciugare ed ecco l’impronta digitale duplicata pronta per la scansione.
Proteggersi dagli attacchi
Un’impronta digitale – afferma Kraken Security – non dovrebbe essere considerata un’alternativa sicura a una password complessa. In questo modo le informazioni – e, potenzialmente, i criptoasset – sono vulnerabili anche agli aggressori meno sofisticati.
Dovrebbe essere chiaro ormai che, sebbene la tua impronta digitale sia unica per te, può ancora essere sfruttata con relativa facilità. Nella migliore delle ipotesi, dovresti considerare di utilizzarlo solo come autenticazione a secondo fattore (2FA).
Cyber spionaggio delle tecniche di hacking da parte della Nord Corea per rubare ai ricercatori cinesi tecniche e strategie.
Secondo una ricerca di CrowdStrike condivisa esclusivamente con The Daily Beast, hacker con sospetti legami con la dittatura di Pyongyang hanno perseguito i ricercatori cinesi della sicurezza in un apparente tentativo di spionaggio per rubare le loro tecniche di hacking.
Gli hacker nordcoreani – secondo CrowdStrike – avrebbero preso di mira i ricercatori di sicurezza cinesi con documenti esca in lingua cinese etichettati “Securitystatuscheck.zip” e “_signed.pdf“, nella speranza che i ricercatori sarebbero stati costretti a fare clic sulle esche.
I documenti, che CrowdStrike ha scoperto a giugno, contenevano informazioni sulla sicurezza informatica del Ministero della Pubblica Sicurezza cinese e del Comitato tecnico nazionale per la standardizzazione della sicurezza delle informazioni.
Cyber Spionaggio la banda hacker Stardust Chollima dal Nord Corea
CrowdStrike chiama la banda di hacker nordcoreana “Stardust Chollima” – ma che altri ricercatori etichetterebbero come Lazarus Group – con ogni probabilità ha inviato le esche tramite e-mail, ha detto a The Daily Beast Adam Meyers, vice presidente dell’intelligence di CrowdStrike. Questa campagna sembra imitare le precedenti missioni di hacking nordcoreane che utilizzavano e-mail e social media per tentare di distribuire malware ai ricercatori di sicurezza, afferma Meyers.
La tattica potrebbe ampliare la roadmap del team di hacker di Kim Jong Un per superare in astuzia altri hacker in tutto il mondo.
Per la Corea del Nord, che gestisce operazioni di hacking volte a raccogliere entrate per finanziare il regime, incluso il suo programma di armi nucleari, il nuovo know-how di hacking potrebbe fare la differenza.
E queste operazioni, ha detto Meyers a The Daily Beast, probabilmente consentono ai nordcoreani di rubare exploit o apprendere nuove abilità di hacking che altrimenti non avrebbero.
“Per la ricerca sulla vulnerabilità in particolare sarebbe interessante: in effetti ti permette di raccogliere e rubare armi che puoi usare per altre operazioni. Potrebbe anche fornire loro informazioni su nuove tecniche di cui non sono a conoscenza e su come viene condotta la ricerca”, ha affermato Meyers. “Ti consente anche di sapere come appare la posizione di sicurezza in altri paesi”.
Leggi anche: Cina e spionaggio: la criminalità non sarà più la norma, gli hacker saranno statali
La prossima generazione di hacker in Cina non sarà quella criminale bensì statale e dedicata allo spionaggio: e anche se I criminali hanno una lunga storia di spionaggio informatico per conto della Cina.
Protetti dall’azione penale dalla loro affiliazione con il Ministero della sicurezza di Stato cinese (MSS) – afferma TechCruch – i criminali trasformati in hacker governativi conducono molte delle operazioni di spionaggio cinese anche se nelle intenzioni di Pechino c’è quella di avvalersi di nuove leve e pool di talenti non contaminato. Tra gli obiettivi infatti del presidente Xi vi è quello di ridurre la corruzione, prendendo di mira le relazioni tra gli hacker a contratto e i loro gestori, in un’ampia campagna rivolta all’anti-corruzione.
…nel 2017, la Central Cyberspace Administration of China ha annunciato un premio per le World-Class Cybersecurity Schools ; un programma che attualmente certifica undici scuole allo stesso modo in cui alcune agenzie governative statunitensi certificano le università come centri di eccellenza accademica nella difesa o nelle operazioni cibernetiche.
Si prospetta una Cina diversa da quella di oggi? Una cosa è certa, gli hacker, entro la fine del decennio saranno comuqnue più professionalizzati e la criminalità non sarà più la norma. Cosa invece che non cambierà in materia di spionaggio, comportamento accettato nelle relazioni internazionali.
Questo cambio di irezione può anche far pensare ad un cambiamento nelle tattiche operative ma soprattutto a nuove operazioni anticirimine invece contro i criminali informatici. Inoltre con a disposizione più hacker statali le campagne di spionaggio nonsaranno migliori ma sicuramente diventeranno più frequenti. Questo è un motivo per gli altri paesi per non abbassare la guardia.
Intanto il progettoTechCrunch Global Affairs esamina il rapporto sempre più intrecciato tra il settore tecnologico e la politica globale: l’ordine mondiale del 21° secolo sarà determinato da chi controlla la tecnologia più avanzata e così il destino degli stati dipenderà dalle tecnologie in loro possesso. Probabilmente ora è arrivato il momento di scegliere da che parte stare.
Nuovi data breach in USA da parte di sospetti hacker stranieri che secondo la società di sicurezza Palo Alto Networks hanno violato nove organizzazioni nei settori della difesa, dell’energia, della sanità, della tecnologia e dell’istruzione- con un potenziale focus sui server utilizzati dalle aziende che collaborano con il Dipartimento della Difesa. Secondo le analisi, almeno una di queste organizzazioni si trova negli Stati Uniti.
Palo Alto Networks ha anche sottolineato come gli attaccanti siano interessati a rubare credenziali e a mantenere l’accesso per raccogliere dati sensibili dalle reti delle vittime per l’esfiltrazione.
Data Breach USA: potenziali legami con la Cina
Il CNN riporta: non è chiaro chi sia il responsabile della violazione, ma alcune delle tattiche degli aggressori si sovrappongono a quelle utilizzate da un sospetto gruppo di hacker con potenziali legami con la Cina. I primi risultati legati alla campagna di spionaggio, rivolto in particolare al settore della difesa, hanno rivelato i risultati resi pubblici questa scorsa domenica da Cnn sul monitoraggio attivo da parte della National Security Agency (NSA) e la Cybersecurity and Infrastructure Security Agency (CISA) che non hanno fatto commenti sulle identità del gruppo di ataccanti, ma la CISA ha dichiarato di stare usando un nuovo programma difensivo per “comprendere, amplificare e guidare l’azione in risposta all’attività identificata”.
Secondo il rapporto della società di sicurezza informatica Palo Alto Networks, gli hacker hanno preso di mira almeno 370 organizzazioni che gestiscono server Zoho potenzialmente vulnerabili solo negli Stati Uniti, compromettendone con successo almeno uno, come parte di una più ampia campagna globale.
Gli attacchi sono iniziati a metà settembre e sono proseguiti nel mese di ottobre. La CISA, la Guardia Costiera degli Stati Uniti e l’FBI hanno emesso un avviso poco prima dell’inizio dell’attività di minaccia, avvertendo che gli hacker stavano sfruttando attivamente la vulnerabilità su Zoho Manage Engine.
La sicurezza IoT (internet of things o Internet delle cose) è un settore della tecnologia dell’informazione che si concentra sulla protezione di dispositivi endpoint, reti e dati relativi a dispositivi connessi come frigoriferi intelligenti, telecamere di sicurezza a monitor o automobili e le loro applicazioni e i dati associati che possono essere compromessi.
Ma perché la sicurezza IoT è necessaria ed importante? Dopotutto, le tecnologie “intelligenti” dovrebbero anche essere sicure, giusto? Se però alla nostra rete continuiamo ad aggiungere dispositivi più punti di ingresso andremo a creare e se solo uno di questi dispositivi presenta una vulnerabilità può essere la porta attraverso la quale entrerà un malintenzionato, mettendo i nostri dati a richio. Pensiamo poi a coa può succedere ad un’azienda o ad un’organizzazione.
Secondo Mike Nelson, vice presidente di IoT Security di DigiCert risponde:
“In sostanza, l’IoT consiste nel connettere le cose per creare nuovi dati utilizzabili. Ogni volta che la connettività viene introdotta in un sistema, i rischi informatici aumentano. Se non protetta, questa connettività può aprire backdoor nella rete dell’organizzazione. Inoltre, con la crescente connettività, i nuovi dati generati e trasmessi creano ulteriori rischi. Ogni volta che questi dati contengono informazioni aziendali o personali sensibili, devono essere trattati in modo confidenziale”.
Quando acquistiamo dispositivi IoT, ci aspettiamo che siano sicuri. Sappimao anche però che nessuna tecnologia o software è sicuro al 100%. Bioagna ricordare che anche i dispositivi IoT sono progettati e programmati dalle persone e le persone commettono errori. E anche un errore insignificante può avere un grande impatto: pensiamo solo ad un dispositivo intelligente usato in ambito medico.
Secondo Niko Sagiadinos, sviluppatore e proprietario della società di digital signage SmilControl :
“I dispositivi IoT possono essere utilizzati come gateway per l’infrastruttura digitale dell’azienda o del Paese. Cavalli di Troia per lo spionaggio, malware per il sabotaggio e ransomware per ricatto fraudolento”.
Infine il Threat Intelligence Report di NetScout afferma che molti dispositivi IoT possiedono vulnerabilità note che li rendono facili da compromettere se connessi ad Internet. A ciò si aggiunge che molti non dispongono di un meccanismo di aggiornamento software e quindi ad un certo pnto della loro vita.
Prese di mira le reti informatiche nel settore delle telecomunicazioni che secondo il rapporto CrowdStrike sono sotto attacco. Il gruppo di criminali informatici potrebbe essere potenzialmente collegato alla Cina, ma al momento non ci sono evidenze che gli attacchi possanno essere collegati a questo paese.
Le società di telecomunicazioni sono state a lungo un obiettivo primario per gli stati-nazione, con attacchi o tentativi visti da Cina, Russia, Iran e altri paesi e secondo il rapporto LightBasin (UNC1945) si rivolge costantemente al settore su scala globale almeno dal 2016. Il gruppo ha compromesso – con successo – almeno 13 gruppi di telecomunicazioni solo negli ultimi due anni.
Adam Meyers di CrowdStrike ha affermato che la sua azienda ha raccolto le informazioni rispondendo a incidenti in più paesi, qundi martedi la società ha pubblicato tutti dettagli tecnici per consentire ad altre società di verificare attacchi simili. Meyers ha infatti sottolineato la criticità di proteggere tutti gli aspetti dell’infrastruttura di telecomunicazioni che sono sotto attaccao e che secondo sempre la società continueranno ad essere prese di mira.
LightBasin inizialmente ha avuto accesso al primo server eDNS tramite SSH da una delle altre società di telecomunicazioni sotto attacco e compromesse, utilizzando password estremamente deboli e di terze parti (ad es. Huawei).
Successivamente, LightBasin ha implementato la propria backdoor SLAPSTICK PAM sul sistema per trasferire le credenziali in un file di testo offuscato. LightBasin è poi passato a sistemi aggiuntivi per impostare più backdoor SLAPSTICK.
Successivamente, LightBasin è tornato ad accedere a diversi server eDNS da una delle società di telecomunicazioni compromesse mentre implementava un impianto di segnalazione del traffico ICMP tracciato da CrowdStrike come PingPong con il nome file /usr/bin/pingg, con persistenza stabilita tramite lo script SysVinit modificato /etc/rc .d/init.d/sshd attraverso la seguente riga aggiuntiva:
Italia seconda in Europa per attacchi informatici: sono le rilevazioni di CheckPoint Software Technologies, che afferma che gli attacchi ammontano a oltre 900 a settimana.
Tra i settori colpiti da attacchi cyber gravi negli ultimi dodici mesi, spiccano (in ordine decrescente): “Multiple Targets”: 20% del totale. Si tratta di attacchi realizzati in parallelo verso obiettivi molteplici, spesso indifferenziati, che vengono colpiti “a tappeto” dalle organizzazioni cyber criminali, secondo una logica “industriale”. Gli attacchi verso questa categoria di obiettivi sono tuttavia in calo del 4% rispetto al 2019.
Come in tutti i Paesi, il ransomware è stato la forma di attacco più utilizzata e, in Italia, la percentuale di organizzazioni colpite da ransomware ogni settimana nel 2021, è del 1.9%
Il rapporto Clusit 2021, registra nell’anno della pandemia il record negativo degli attacchi informatici: a livello globale sono stati infatti rilevati 1.871 gli attacchi gravi di dominio pubblico nel corso del 2020. L’impatto degli attacchi – sottolineano gli esperti – ha risvolti in ogni aspetto della società, della politica, dell’economia e della geopolitica
Settore Governativo, Militare, Forze dell’Ordine e Intelligence hanno subìto il 14% degli attacchi a livello globale, mentre la Sanità, è stata colpita dal 12% del totale degli attacchi. Il settore Ricerca/Istruzione,ha ricevuto l’11% degli attacchi, i Servizi Online, colpiti dal 10% degli attacchi complessivi. Sono cresciuti, inoltre, gli attacchi verso Banking & Finance (8%), Produttori di tecnologie hardware e software (5%) e Infrastrutture Critiche (4%).
Raapporto Clusit – Settori più colpiti
Attacchi informatici in italia e a livello globale: distribuzione degli attaccanti
L’81% degli attacchi è rappresentato dalla categoria del cyber crime: il numero è quello più elevato negli ultimi dieci anni, con una crescita del +77% rispetto al 2017 (1 .517 contro 857) e del +9,7% rispetto al 2019 .
A dimunire per contro sono gli attacchi provenienti dalla categoria “Hacktivism”, che diminuiscono ancora (-2,1%) rispetto al 2019.
Nle 2020, aumentano gli attacchi gravi compiuti per finalità di “Cyber Espionage/Sabotage” (+30,4%) e quelli appartenenti alla categoria “Cyber Warfare” (+17,1%) ma risluat smepre più difficile distinguerli.
Secondo le dichiarazioni di Microsoft – rilasciate la scorsa settimana – gli hacker sostenuti dallo stato russo stanno avendo un maggiore successo nel violare obiettivi negli Stati Uniti e altrove. Microsoft ha anche aggiunto: il loro obiettivo e target principale degli attacchi sono le organizzazioni governative.
Secondo i ricercatori, le organizzazioni governative hanno rappresentato e rappresnetano ancora oltre la metà degli obiettivi per i gruppi di hacker collegati a Mosca per l’anno fino a giugno 2021, rispetto a solo il 3% dell’anno precedente.
Il tasso di successo delle loro intrusioni – tra obiettivi governativi e non governativi – è passato dal 21% al 32% anno su anno. Intanto il governo USA cerca di rafforzare le difese contro lo spionaggio informaticocollaborando con gli alleati e condividendo pubblicamente le attività dei cyber criminali. La collaborazione è un punto fondamentale dell’azione contro la criminalità informatica sottolinea la CNN perchè si sta assistendo ad un condidervole aumento degli attacchi.
Il colleggamento degli hacker dello stato russo con le tensioni geopolitiche
Gli hacker russi dietro l’hacking di SolarWinds stanno cercando di infiltrarsi nelle reti governative statunitensi ed europeei dati includono l’operazione di spionaggio russa che ha violato almeno nove agenzie federali statunitensi nel 2020 sfruttando il software realizzato da SolarWinds, una società con sede in Texas.
Lo stesso gruppo russo dietro quell’attività ha continuato negli ultimi mesi a tentare di violare le organizzazioni governative statunitensi ed europee.L’amministrazione Biden ad aprile ha incolpato il servizio di intelligence estero russo, l’SVR, per quella campagna di spionaggio.
CNN
Mosca ha negato perà il suo coinvolgimento.
Tuttavia nel report di Microsoft – che ricorda chel ‘attività informatica è spesso correlata a dinamiche e tensioni geopolitiche più ampie – si legge che il 58% dei tentativi di hacking legati al governo ha avuto origine in Russia, seguito dal 23% dalla Corea del Nord, dall’11% dall’Iran e dall’8% dalla Cina. Questi ultimi sono stati registrati come i paesi più attivi.
Secondo Microsoft infatti mentre la Russia ha rafforzato le sue presenze di truppe lungo il confine con l’Ucraina all’inizio di quest’anno, lo stesso gruppo di hacker che ha effettuato le violazioni di SolarWinds ha “pesantemente preso di mira gli interessi del governo ucraino”.
“Storicamente, gli attacchi agli stati-nazione tendono a seguire dove si trova una priorità geopolitica per un paese”
Cristin Goodwin, capo dell’unità di sicurezza digitale di Microsoft alla CNN.
Il gruppo di cyber criminali Nobelium – gruppo sostenuto dalla Russia che ha violato SolarWinds – hanno individuato una nuova backdoor.
Sono i ricercatori Microsoft ad avvisare del nuovo malware ad accesso remoto chiamato FoggyWeb: il malware sarebbe utilizzato da aprile 2021 per mantenere la persistenza sui server Active Directory compromessi.
Secondo il ricercatore Microsoft Ramin Nafisi, la backdoor di FoggyWeb viene utilizzata come parte del processo per ottenere le credenziali utente che gli hacker di Nobelium utilizzano per spostarsi in una rete e accedere a informazioni più preziose.
Dopo aver compromesso un server Active Directory Federation Services (AD FS) tramite exploit di bug, FoggyWeb viene quindi installato per consentire agli hacker di persistere sul server. Da lì, le credenziali vengono raccolte a distanza.
La stessa backdoor è crittografata all’interno di un’applicazione di caricamento progettata per camuffarsi da una DLL Windows legittima. Una volta caricato, FoggyWeb opera con privilegi di amministratore.
FoggyWeb è una backdoor in grado di estrarre in remoto informazioni sensibili da un server ADFS compromesso. Può anche ricevere componenti dannosi aggiuntivi da un server di comando e controllo (C2) ed eseguirli sul server compromesso.
Dopo aver compromesso un server ADFS, è stato osservato che NOBELIUM ha rilasciato i seguenti due file sul sistema (sono necessari privilegi amministrativi per scrivere questi file nelle cartelle elencate di seguito):
Microsoft – FoggyWeb: Targeted NOBELIUM malware leads to persistent backdoor
“Una volta che Nobelium ottiene le credenziali e compromette con successo un server, l’attore fa affidamento su tale accesso per mantenere la persistenza e approfondire la sua infiltrazione utilizzando malware e strumenti sofisticati”
Ritenuto operante con il sostegno del governo russo, Nobelium, noto anche come Cozy Bear e APT29, è responsabile dell’hacking di SolarWinds nel 2020 e di numerose successive violazioni della rete, grazie a una backdoor installata a Orion, l’IT di SolarWinds piattaforma di gestione.
Sebbene SolarWinds sia stato di gran lunga il più grande colpo di hacking, Nobelium ha operato per più di mezzo decennio ed è stato coinvolto in una serie di altri attacchi, in particolare la violazione del 2016 del Comitato nazionale democratico.
L’hacking sponsorizzato dallo stato cinese è a livelli record: ad affermarlo sono gli esperti di sicurezza occidentali che accusano Pechino di impegnarsi in una forma di “conflitto a bassa intensità” che si sta intensificando nonostante gli sforzi politici di Stati Uniti, Gran Bretagna e altri per fermarla.
Le accuse affermano inolre che l’attività clandestina si concentri sul furto di proprietà intellettuale, che nel 2021 è diventata sempre più palese e più sconsiderata. Pechino nega – ed in modo costante – le accuse, parlando di ipocrsia.
La Cina è uno dei principali attori internazionali a muoversi entro la “zona grigia” e ha reso questo approccio una componente sostanziale della sua strategia politico-militare nell’Asia-Pacifico al fine di spostare l’equilibrio di potere regionale a suo favore e incidere sulla credibilità degli impegni degli Stati Uniti a sostegno della difesa degli alleati storici come il Giappone, la Corea del Sud o l’Australia
ISpiOnline – La condotta cinese e nordcoreana nelle “zone grigie” del dominio marittimo e cibernetico: prospettive per il futuro delle alleanze di sicurezza in Asia Orientale
Le minacce però, sempre più gravi, da parte dell’hacking sponsorizzato dallo stato, hanno fatto si che a luglio 2021 gli Stati Uniti, l’UE, la Nato, il Regno Unito e altri quattro paesi che hanno accusato Pechino di essere dietro un massiccio sfruttamento delle vulnerabilità nel software server della società Exchange ampiamente utilizzato di Microsoft a marzo. In alcuni casi hanno accusato il Ministero della Sicurezza di Stato cinese (MSS) di dirigere l’attività.
Il problema ha colpito circa 250.000 organizzazioni in tutto il mondo, consentendo agli hacker di un gruppo, che Microsoft ha chiamato Hafnium, di sottrarre le e-mail aziendali per lo spionaggio, con l’aiuto di uno strumento “web shell” di facile utilizzo che consente a chiunque abbia la password giusta di hackerare un server Exchange compromesso.
Una volta che Microsoft è stata informata pubblicamente dell’attività, gli attacchi sono stati rapidamente intensificati contro le organizzazioni che non avevano patchato Exchange.
Attacchi informatici e ransomware agli ospedali non sono un caso solo italiano: la sanità è sotto attacco in tutto il mondo. L’utlizzo poi dello IoT aumenta esponenzialmente l’esposizione ai data breach.
Questi dispositivi medici in rete e altre tecnologie mobili per la salute (mHealth) sono un’arma a doppio taglio: hanno il potenziale per svolgere un ruolo di trasformazione nell’assistenza sanitaria, ma allo stesso tempo possono diventare un veicolo che espone i pazienti e gli operatori sanitari alla sicurezza e rischi per la sicurezza informatica come essere violato, essere infettati da malware ed essere vulnerabili ad accessi non autorizzati.
Pacemaker e defibrillatori impiantati che informano i medici in tempo reale sul comportamento del tuo cuore e che reagiscono ad ogni problema stimolando il muscolo a ripartire o cambiare ritmo, tutti questi dispositivi comunicano continuamente dall’interno del tuo corpo con una piccola scatola all’esterno, in mettiti in contatto con il medico che ti sta curando.
Attacchi informatici agli ospedali, ransomware e data breach
Secondo il nuovo Report CI Security, la violazione/sottrazione di dati sensibili è cresciuta del +36% nel secondo semestre del 2020.
I cyber attacchi con data breach hanno riguardato 21,3 milioni di record di dati sanitari, con un impressionante aumento del +177% rispetto allo stesso periodo dell’anno prima (quando la violazione riguardò 7,7 milioni di record di dati).
Non è quindi solo il CoronaVirus a destare preoccupazione, per quanto però riguarda l’Italia il problema non è dato solo da una carenza di attenzione o di risorse, ma di deficit di budget e una mancanza di una cultura generale sul tema sicurezza informatica. Il vettore di attacco è spesso una mail malevola, un accesso non autorizzato a un servizio VPN o remote desktop ottenuto mediante credenziali recuperate nel dark web.
Capire quanto possa costare alla sanità una scarsa sicurezza informatica è importante, ma quel che preoccupa è che sembra che il problema sia sottovalutato. Secondo le ricerche Netics almeno il 20% delle struttue sul territorio non ha le capacità di rispondere agli attacchi informatici nel breve tempo: il che significa in almeno 4 ore.
Una carenza che nel breve e nel lungo termine rappresenta un serio problema. Nectis afferma che a livello direzionale ASL e ospedali dedicano solo il 4,3% del budget totale alla cyber sicurezza: alle scarse risorse si aggiunge una scarsa formazione e informazione in materia.
Andrea Biraghi
Gli scenari sono molteplici e se solo pensiamo che “oggi possiamo vedere la nostra cartella clinica da uno smartphone” comprendiamo subito come la superficie di attacco di un cyber criminale sia aumentata di cnseguenza.
Uno degli ultimi casi che fa discutere è l’attacco informatico all’azienda ospedaliera San Giovanni Addolorata, una tra le più grandi di Roma, che ha bloccato i servizi per ore. Ciò ha obbligato i medici a trascrivere “tutto a mano su fogli di carta, esami ematici, richieste di trasfusioni o di camera operatoria“.
Fortinet: divulgati nomi di accesso e password VPN associati a 87.000 dispositivi SSL-VPN FortiGate.
Fortinet – in una nota – ha affermato: “Queste credenziali sono state ottenute da sistemi che sono rimasti senza patch rispetto a CVE-2018-13379 al momento della scansione dell’attore. Anche se da allora potrebbero essere state patchate, se le password non sono state reimpostate, rimangono vulnerabili”.
La rivelazione arriva dopo che l’attore della minaccia ha fatto trapelare un elenco di credenziali Fortinet gratuitamente su un nuovo forum di lingua russa chiamato RAMP, lanciato nel luglio 2021, nonché sul sito di fuga di dati del ransomware Groove, con Advanced Intel che ha notato che “l’elenco delle violazioni contiene dati grezzi”. accesso alle migliori aziende” in 74 paesi, tra cui India, Taiwan, Italia, Francia e Israele. “2.959 su 22.500 vittime sono entità statunitensi”, hanno detto i ricercatori.
Fortinet: CVE-2018-13379 la vulnerabilità nel portale Web FortiOS SSL VPN
CVE-2018-13379 si riferisce a una vulnerabilità nel portale Web FortiOS SSL VPN, che consente agli aggressori non autenticati di leggere file di sistema arbitrari, incluso il file di sessione, che contiene nomi utente e password archiviati in testo non crittografato.
Sebbene il bug sia stato corretto nel maggio 2019, la debolezza della sicurezza è stata ripetutamente sfruttata da più avversari per distribuire una serie di payload dannosi su dispositivi senza patch, spingendo Fortinet a emettere una serie di avvisi ad agosto 2019, luglio 2020, aprile 2021 e ancora nel giugno 2021, invitando i clienti ad aggiornare gli apparecchi interessati.
CVE-2018-13379 è emerso anche come uno dei difetti più sfruttati nel 2020, secondo un elenco compilato dalle agenzie di intelligence in Australia, Regno Unito e Stati Uniti all’inizio di quest’anno.
Fortinet consiglia alle aziende di disabilitare immediatamente tutte le VPN, aggiornare i dispositivi a FortiOS 5.4.13, 5.6.14, 6.0.11 o 6.2.8 e versioni successive, quindi avviare una reimpostazione della password a livello di organizzazione, avviso che “potresti rimanere vulnerabile dopo l’aggiornamento se le credenziali dei tuoi utenti sono state precedentemente compromesse”.
Big Tech in soccorso per la sicurezza informatica degli Stati Uniti: Google, Microsoft, ma anche Apple e Amazon si impegnano a formare la prossima generazione di difensori della cyber security.
Google e Microsoft – a seguito di un incontro con il presidente degli Stati Uniti Joe Biden alla Casa Bianca- hanno stanziato miliardi di dollari per contribuire a rafforzare la posizione in materia di sicurezza informatica del settore nel suo insieme.
Apple ha annunciato che collaborerà con i suoi fornitori per “guidare l’adozione di massa dell’autenticazione a più fattori“, oltre a fornire nuovi corsi di formazione sulla sicurezza, risposta agli incidenti e correzione delle vulnerabilità. Amazon prevede di offrire gratuitamente un dispositivo di autenticazione a più fattori a tutti i titolari di account Amazon Web Services e di rendere disponibile gratuitamente al pubblico tutta la formazione sulla consapevolezza della sicurezza dei dipendenti dell’azienda.
L’incontro arriva sulla scia degli ultimi incidenti, tra cui quello della Colonial Pipeline. Gli impegni variano a seconda delle aziende: dalla spesa di miliardi in infrastrutture informatiche all’offerta di aiuti e istruzione per la catena di approvvigionamento. Il governo, è chiaro, e lo afferma anche il Presidente USA, non può affrontare questo impegno da solo, per questo nelle ultime settimane Biden ha incontrato i CEO di oltre due dozzine di aziende di vari settori per sollecitare il loro aiuto nel potenziare gli sforzi per la sicurezza informatica. La minaccia cyber va quindi contenuta.
“La realtà è che la maggior parte delle nostre infrastrutture critiche è di proprietà e gestita dal settore privato e il governo federale non può affrontare questa sfida da solo“, ha detto Biden durante la riunione di mercoledì.
Si delinea così anche una collaborazione tra pubblico e privato che diventa attualmente una necessità: le relazioni che si andranno a creare dovranno puntare il più possibile alla solidità. (Marcus Fowler, direttore di Strategic Threat presso la società di sicurezza Darktrace a TechRadar Pro).
Per questo motivo il settore privato è anche stato esortato a considerare i ransomware una minaccia e non solo un semplice furto di dati. A questo è seguito un ordine esecutivo per delineare i passaggi ai fornitori di software.
Un nuovo rapporto di FireEye sembra sostenere che hacker cinesi – sostenuti dallo stato di Pechino – abbiano effettuato attacchi informatici – e spionaggio informatico – su Israele fingendo di operare dal’Iran.
La società statunitense di sicurezza informatica FireEye ha dichiarato il 10 agosto che uno studio condotto in collaborazione con l’esercito israeliano ha scoperto che “UNC215“, descritto da FireEye come un gruppo di spie sospettato di provenire dalla Cina, ha violato le reti del governo israeliano dopo aver utilizzato protocolli desktop remoti ( RDP) per rubare credenziali da terze parti fidate. Gli RDP consentono a un hacker di connettersi a un computer da lontano e vedere il “desktop” del dispositivo remoto.
FireEye non è realmente in grado di dimostrare l’attribuzione.
Holtquist di FireEye ha sostenuto che questa attività di spionaggio informatico sta accadendo sullo sfondo degli investimenti multimiliardari della Cina relativi alla Belt and Road Initiative e al suo interesse per il settore tecnologico israeliano.
Secondo il rapporto di FireEye, “le aziende cinesi hanno investito miliardi di dollari in startup tecnologiche israeliane, collaborando o acquisendo società in settori strategici come i semiconduttori e l’intelligenza artificiale”. Il rapporto continuava: “Mentre la BRI (Belt and Road Initiative) cinese si sposta verso ovest, i suoi progetti di costruzione più importanti in Israele sono la ferrovia tra Eilat e Ashdod, un porto privato ad Ashdod e il porto di Haifa”.
Liu Pengyu, portavoce dell’ambasciata cinese a Washington, ha contestato i risultati di FireEye in un’intervista al sito Cyberscoop: “Data la natura virtuale del cyberspazio e il fatto che ci sono tutti i tipi di attori online difficili da rintracciare, è importante avere prove sufficienti quando si indaga e si identificano gli incidenti informatici”, ha affermato.
Secondo i dati raccolti da FireEye, UNC215 opera a partire dal gennaio 2019, effettuando una serie di attacchi simultanei “contro istituzioni governative israeliane, provider IT ed entità di telecomunicazioni”.
Fonte: FireEye
Il rapporto FireEye: lo spionaggio informatico degli hacker cinesi
Il rapporto Fireye arriva sulla scia degli annunci del 19 luglio 2021, dei governi di Nord America, Europa e Asia e di organizzazioni intragovernative, come l’Organizzazione del Trattato del Nord Atlantico (NATO) e l’Unione Europea, che condannano il diffuso spionaggio informatico condotto su per conto del governo cinese.
Le dichiarazioni che attribuiscono attività di spionaggio informatico al governo cinese confermano il rapporto di lunga data di FireEye sull’attore cinese di minacce che prende di mira società private, governi e varie organizzazioni in tutto il mondo, e questo post sul blog mostra un’altra regione in cui è attivo lo spionaggio informatico cinese.
All’inizio del 2019, Mandiant ha iniziato a identificare e rispondere alle intrusioni in Medio Oriente da parte del gruppo di spionaggio cinese UNC215. Queste intrusioni hanno sfruttato la vulnerabilità di Microsoft SharePoint CVE-2019-0604 per installare web shell e payload FOCUSFJORD su obiettivi in Medio Oriente e Asia centrale. Ci sono puntamenti e sovrapposizioni tecniche di alto livello tra UNC215 e APT27, ma non abbiamo prove sufficienti per dire che lo stesso attore sia responsabile di entrambi i gruppi di attività. APT27 non si vedeva dal 2015 e UNC215 si rivolge a molte delle regioni su cui si era precedentemente concentrato l’APT27; tuttavia, non abbiamo visto una connessione diretta o strumenti condivisi, quindi siamo in grado di valutare questo collegamento solo con scarsa fiducia.
Gli hacker cinesi prendono di mira le principali società di telecomunicazioni del sud-est asiatico.
Da anni tre distinti gruppi hacker cinesi operano per conto dello stato organizzando attacchi informatici per colpire le reti di almeno cinque società di telecomunicazioni del Sud-Est Asiatico.
Martedì la società di sicurezza Cybereason Inc. ha pubblicato un rapporto. L’analisi tecnica afferma che i gruppi hacker hanno condotto una campagna in tutto il sud-est asiatico dal 2017 al 2021 n alcuni casi sfruttando le vulnerabilità della sicurezza nei server Exchange di Microsoft Corp. per ottenere l’accesso ai sistemi interni delle società di telecomunicazioni. Lior Rochberger, Tom Fakterman, Daniel Frank e Assaf Dahan di Cybereason hanno rivelato che l’obiettivo è quello di tenere un monitorgaggio contino per facilitare lo spionaggio informatico:
“L’obiettivo degli aggressori dietro queste intrusioni era quello di ottenere e mantenere l’accesso continuo ai fornitori di telecomunicazioni e facilitare lo spionaggio informatico raccogliendo informazioni sensibili, compromettendo risorse aziendali di alto profilo come i server di fatturazione che contengono dati Call Detail Record (CDR), così come i componenti di rete chiave come i controller di dominio, i server Web e i server Microsoft Exchange”.
Le indagini, iniziate nel 2021- sulla scia del rimprovero pubblico di Biden al Ministero della sicurezza dello Stato cinese per i recenti attacchi HAFNIUM che hanno sfruttato le vulnerabilità nei server Microsoft Exchange senza patch — hanno identificato tre diversi gruppi, tutti sospettati di operare per conto degli interessi dello stato cinese.
“Sulla base della nostra analisi, riteniamo che l’obiettivo degli aggressori dietro queste intrusioni fosse quello di ottenere e mantenere l’accesso continuo ai fornitori di telecomunicazioni e facilitare lo spionaggio informatico raccogliendo informazioni sensibili, compromettendo risorse aziendali di alto profilo come i server di fatturazione che contengono Call Dati del record di dettaglio (CDR), nonché componenti di rete chiave come controller di dominio, server Web e server Microsoft Exchange”. DeadRinger: Exposing Chinese Threat Actors Targeting Major Telcos
I risultati chiave:
— gli aggressori hanno lavorato diligentemente per oscurare la loro attività e mantenere la persistenza sui sistemi infetti, rispondendo dinamicamente ai tentativi di mitigazione dopo aver eluso gli sforzi di sicurezza almeno dal 2017, un’indicazione che gli obiettivi sono di grande valore per gli attaccanti: — hanno sfruttato le vulnerabilità di Microsoft Exchange, analogamente agli attacchi HAFNIUM, e hanno compromesso le risorse di rete critiche come i controller di dominio (DC) e i sistemi di fatturazione che contengono informazioni altamente sensibili come i dati Call Detail Record (CDR), consentendo loro di accedere alle comunicazioni sensibili di chiunque utilizzi i servizi delle telecomunicazioni interessati. — si valuta che le telecomunicazioni siano state compromesse al fine di facilitare lo spionaggio contro obiettivi selezionati che questi includono società, personaggi politici, funzionari governativi, forze dell’ordine, attivisti politici e fazioni dissidenti di interesse per il governo cinese. — i tre distinti gruppi di attacchi hanno vari gradi di connessione con i gruppi APT Soft Cell, Naikon e Group-3390, tutti noti per operare nell’interesse del governo cinese.
SpywarePegasus: serve una migliore regolamentazione della tecnologia di sorveglianza e a chiederla è l’ONU.
Lunedì le Nazioni Unite hanno lanciato l’allarme per le notizie secondo cui diversi governi hanno utilizzato malware per telefoni israeliani per spiare attivisti, giornalisti e altri, sottolineando l’urgente necessità di una migliore regolamentazione della tecnologia di sorveglianza.
Attivisti, giornalisti per i diritti umani ed oppositori politici sono stati oggetto di tentativi di hacking tramite Pegasus spyware di NSO Group. Secondo un’indagine circa 37 smartphone – su 67 esaminati – sono stati violati con successo utilizzando lo strumento di sorveglianza, sviluppato dall’azienda israeliana di armi informatiche NSO. Il leak contine circa 5.000 numeri di telefono. il TheGuardian riporta che “si ritiene che un gruppo di 10 governi siano clienti NSO che aggiungono numeri al sistema, con l’elenco che include Azerbaigian, Kazakistan, Ruanda ed Emirati Arabi Uniti, tra gli altri”. NSO Group è noto per la produzione di strumenti di hacking, utilizzati dai governi e dalle forze dell’ordine di tutto il mondo. Lo strumento più noto dell’azienda è “Pegasus”, uno spyware in grado di eseguire il jailbreak di un dispositivo come un iPhone, installare malware e consentire l’esportazione dei dati dell’utente.
Andrea Biraghi – Pegasus spyware: l’hacking tool per spiare giornalisti e attivisti
L’uso del malware “Pegasus” per curiosare nelle comunicazioni telefoniche di politici, giornalisti, attivisti e uomini d’affari è stato rivelato dall’outlet francese Forbidden Stories e dal gruppo per i diritti umani Amnesty International. Queste ONG hanno ottenuto un elenco trapelato di 50.000 numeri di telefono, alcuni dei quali presumibilmente violati dal malware Pegasus, e hanno condiviso i dati con 17 media. Le Monde era uno di questi punti vendita, che domenica ha iniziato a pubblicare storie sulle violazioni della sicurezza.
Nel frattempo il The Washington Post, il The Guardian e Le Monde, insieme ad altri media internazionali hanno rivelato uno spionaggio potenzialmente molto più esteso di quanto si pensasse in precedenza utilizzando il malware del gruppo NSO di Israele, in grado di accendere la fotocamera o il microfono di un telefono e raccogliere i suoi dati.
Michelle Bachelet, Alto Commissario delle Nazioni Unite per i diritti umani, ha affermato che l’apparente uso diffuso del software spia Pegasus per minare illegalmente i diritti di coloro che sono sotto sorveglianza, inclusi giornalisti e politici, è “estremamente allarmante” e parla di “alcune delle peggiori paure” che circondano il potenziale uso improprio di tali tecnologie.
.. i rapporti sullo spyware Pegasus “confermano l’urgente necessità di regolamentare meglio la vendita, il trasferimento e l’uso della tecnologia di sorveglianza e garantire una stretta supervisione e autorizzazione”
Una campagna di hacking – che si crede ancora in corso – ha preso di mira le passwords di centinaia di organizzazioni in tutto il mondo tra cui partiti politici, uffici governativi, appaltatori della difesa, compagnie energetiche, studi legali, media e università.
I funzionari dell’Agenzia per la sicurezza nazionale, l’FBI, il Dipartimento della Sicurezza Nazionale e del GCHQ del Regno Unito, oltre a ritenere la campagna ancora in corso, affermano che si tratti di un tentativo di uno sforzo più ampio del GRU russo per raccogliere informazioni da un’ampia gamma di obiettivi sensibili come rivela CNN. La campagna – è stato riportato pubblicamente – è iniziata a metà del 2019 ed è stata attribuita per la prima volta questa settimana.
Questa campagna di hacking – con attacchi diretti alle passwords – è stata distinta da altre operazioni russe nel cyberspazio come ad esempio la campagna SolarWinds – di cui si dice condotta dal servizio di intelligence estero russo, l’SVR e basata su codice dannoso incorporato in un software.
Dopo Solar Winds l’ondata di ransomware che ha colpito gli Stati Uniti e alcune infrastrutture, ha attirato l’attezione direttore dell’FBI di Washington (CNN) Christopher Wray, che ha paragonato l’ondata di attacchi informatici dannosi agli attacchi terroristici dell’11 settembre. Wray ha chiesto così una risposta simile agli attacchi cyber,che stanno espondendo le industrie USA a molte vulnerabilità.
“C’è una responsabilità condivisa, non solo tra le agenzie governative, ma anche nel settore privato e persino nell’americano medio”.
Oltre a SolarWinds, l’attacco ransomware alla Colonial Pipeline, o a JBS Foods, gli Stati Uniti sono stati colpiti da oltre 15.000 incidenti ransomware solo nel 2020: attacchi che sono costati – si stima – tra circa $ 596 milioni e $ 2,3 miliardi in pagamenti di riscatto e perdita di produttività.
Durante l’incontro a Ginevra tra Joe Biden e Valdimir Putin, in materia di cyber security, il presidente della Russia ha proposto zone sicure per gli obiettivi contro le infrastrutture critiche.
Tra i punti cruciali dell’incontro, che hanno riguardato il nucleare, l’Ucraina e lo scambio di detenuti, la cyber security ha rappresentato uun momento di dialogo tra i due paesi che è appena iniziato. Quello che è chiaro è che i rapporti tra i due paesi devono diventare stabili e in uncerto modo, a richiesta di Putin, prevedibili. L’agenda di Biden invece si è dichiarata non contro la Russia ma volta a proteggere i propri cittadini americani: “un’altra Guerra Fredda non sarebbe nell’interesse di nessuno”, ha affermato. Su questo punto quindi Washington ha dichiarato una linea alquanto ferma.
«Noi continueremo a sollevare questioni per casi come Alexei Navalny e tutte le questioni legate ai diritti umani. L’ho detto a Putin. Non tollereremo violazioni dei diritti democratici e risponderemo. Ho detto a Putin che ci sono delle regole di base che vanno rispettate».
Riguardo alla proposta sulla protezione delle infrastrutture critiche contro l’hacking, una proposta è stata fatta, ma alcuni esperti di infosec sono scettici a tale riguardo, ovvero che un tale accordo possa essere applicato.
Biden-Putin: cyber security e attacchi informatici alle infrastrutture critiche
Se da una parte l’amministrazione Biden sta spingendo verso accordi “off-limits” per impedire ai governi di prendere di mira le infrastrutture critiche con attacchi informatici, dall’altra il presidente Joe Biden ha affermato già in precedenza di aver proposto un accordo che vedrebbe le due nazioni concordare una serie di 16 diversi settori di attività in cui gli attacchi non avrebbero avuto luogo da entrambe le parti. In particolare la Russia è stata sccusata degli attacchi Solar Winds che ha portato alle violazioni di rete USA grazie grazie al software di gestione IT backdoor.
Il nuovo accordo prevede quindi la tutela dei servizi pubblici come le strutture sanitarie da qualunque attacco anche cyber, che creerebbero minacce alla sicurezza pubblica. Biden ha quindi aggiunto: “Gli ho fatto notare che abbiamo una significativa capacità informatica. E lui lo sa”, ha detto Biden. “Non sa esattamente cosa sia, ma è significativo. E se, di fatto, violano queste norme di base, risponderemo con il cyber”.
L’accordo verrà rispetatto? Secondo alcuni esperti infosec di cui searchsecurity.tech ha pubblicato le opinoni è molto difficile. Prima di tutto perchè è difficile l’atribuzione dell’attacco.
Le relazioni tra Stati Uniti e Russia sono entrate in una fase molto delicata anche a causa degli attacchi alle infrastrutture americane. Alla vigilia dell’incontro a Ginevra, tra Joe Biden e Vladimir Putin, il presidente russo in un’intervista rilasciata a Nbc respinge le accuse secondo le quali la Russia sarebbe dietro agli attacchi informatici USA.
Nell’incontro a Ginevra gli attacchi informatici non saranno l’unico argomento di cui si discuterà e si prevede controverso. Si parlerà quindi anche dell’attivista Alexei Navalny, imprigionato in Russia, ma soprattutto dello scambio tra prigionieri tra Washington e Mosca, tra cui Paul Whelan e Trevor Reed.
Attacchi alle infrastrutture USA: Putin respinge le accuse
“Siamo stati accusati di ogni genere di cose, interferenze elettorali, attacchi informatici e così via, ma mai, neanche una volta si sono presi la briga di produrre alcun tipo prova, solo accuse infondate”
La Russia aveva già respinto le accuse dell’attacco Solar Winds a Dicembre dello scorso anno, quando dichiarò che Washington aveva respinto l’offerta del presidente russo Vladimir Putin di un accordo di cooperazione nella sicurezza informatica tra le due superpotenze.
In an NBC News worldwide exclusive, Russian President Vladimir Putin spoke with @KeirSimmons for a rare interview addressing many issues that will be on the table with President Biden later this week, including human rights and cyberattacks. pic.twitter.com/BAmVsU5dXe
Al contrario il presidente USA non sembra concordare sull’affermazione e ha già evidenziato la linea rossa nel suo prossimo incontro con Putin:
“Non sto cercando un conflitto con la Russia, ma risponderemo se la Russia continuerà le sue attività dannose”
Le agenzie di intelligence statunitensi ritengono infatti che l’hack di SolarWinds sia stata opera del servizio di intelligence straniero della Russia. Il gruppo di cyber criminali DarkSide, che si ritiene abbia sede in Russia, è il principale responsabile dell’attacco ransomware alla Colonial Pipeline all’inizio del maggio 2021.
Gli Stati Uniti hanno sequestrato $ 2,3 milioni di dollari in bitcoin pagati agli hacker del Colonial Pipeline ransomware: la risposta quindi non si è fatta attendere e questo è un chiaro segnale di difesa e attacco alle crescenti minacce informatiche che stanno colpendo in particolar modo gli Stati Uniti.
I circa 2,3 milioni di dollari di riscatto in criptovaluta pagato da Colonial Pipeline Co, sono stati così recuperati dal Dipartimento di Giustizia, contrattaccando uno dei più dirempenti attacchi informatici del 2021. Il valore recuperato è parte del riscatto che la principale rete di oleodotti americana aveva pagato dopo l’hacking dei suoi sistemi del mese scorso. L’attacco ha portato a enormi carenze nelle stazioni di servizio della costa orientale degli Stati Uniti.
L’attacco ai sistemi informatici dell’azienda è avvenuto ad inizio maggio quando la Colonial ha dovuto arrestare le sue attività e chiudere l’intera rete dopo il cyber attacco. Blount all’inizo era contrario al pagamento del riscatto, ma ha poi affermato di non avere scelta. “Pagare il riscatto è stata la cosa giusta da fare negli interessi del Paese” ha affermato il CEO durante un’intervista al Wall Street Journal.
Ransomware recuperato in parte: l’FBI in possesso della chiave privata
L’affidavidt depositato Lunedi scorso afferma che parte del riscatto pagato è stato recuperato dall’FBI, in possesso di una chiave privata per sbloccare un portafoglio bitcoin dove si trovava parte dei fondi.
I sequestri di bitocoin non sono frequenti, ma visto che il ransomware è diventato una crecsente minaccia alla sicurezza nazionale, le autorità hanno imparato a tracciare il flusso di denaro digitale, come tracciare il registro pubblico dei Bitcoin. Tuttavia, il vicepresidente John Hultquist della società di sicurezza informatica Mandiant – elogiando la mossa delle autorità – ha affremato che “in questo momento, l’azione penale è un sogno irrealizzabile”.
L’attacco è stato attribuito da un gruppo chiamato DarkSide, una rete ransomware-as-a-service: sviluppatori che vendono o affittano ransomware da utilizzare negli attacchi, in cambio di una commissione o di una condivisione dei proventi.
“DarkSide e le sue affiliate hanno perseguitato digitalmente le società statunitensi per la maggior parte dell’anno e hanno attaccato indiscriminatamente vittime che includono attori chiave nelle infrastrutture critiche della nostra nazione. Oggi abbiamo ribaltato la situazione”.
Nobelium, il gruppo hacker russo che si ritiene dietro al massiccio attacco di SolarWinds, lancia una nuova campagna di attacchi.
Ad avvisare è Microsoft: si tratta dello stesso gruppo di hacker legato all’intelligence russa, ritenuto responsabile dell’attacco a SolarWinds circa un anno fa. Il vicepresidente di Microsoft Tom Burt ha annunciato giovedì scorso che circa 3.000 account di posta elettronica in 24 paesi, in più di 150 organizzazioni, sono stati presi di mira nell’ondata di attacchi. Gli hacker hanno utilizzato il nome dell’ex presidente Donald Trump nelle e-mail inviate agli utenti presi di mira, secondo il campione di email phishing pubblcato da Microsoft.
Il gruppo hacker russo avrebbe inviato migliaia di email fraudolente da un account di USAID, con il messaggio: “Donald Trump ha reso pubbliche nuovi accuse sulla frode elettorale”.
Campagne di spionaggio e hacking: mentre Microsoft avvisa che il gruppo APT Nobelium – il collettivo hacker legato all’intelligence russa – ha colpito ancora, un report dell’FSB avvisa che hacker stranieri hanno compromesso le agenzie federali russe in una campagna di spionaggio digitale che i funzionari russi hanno descritto come senza precedenti per portata e raffinatezza.
Nobelium, Cozy Bear o The Dukes: lo stesso gruppo hacker di Solarwinds
Il gruppo Nobelium era anche dietro l’attacco SolarWinds dello scorso anno, considerato una delle peggiori violazioni informatiche che gli Stati Uniti abbiano mai subito. Nobelium è anche conosciuto come Cozy Bear, the Dukes, oltre ad altri alias. Il gruppo hacker Cozy Bear è stato accusato di avere tentatto inoltre di rubare i dati su vaccini e trattamenti per il COVID-19 che gli Stati Uniti, gli Stati Uniti Regno e Canada stavano sviluppando.
Cozy Bear è stato classificato dal governo federale degli Stati Uniti come minaccia persistente avanzata APT29 si ritiene sia associato con l’intelligence russa. Cozy Bear prende anche i nomi di CozyCar, CozyDuke, Dark Halo, The Dukes, NOBELIUM, Office Monkeys, StellarParticle, UNC2452 e YTTRIO.
Intelligenzaartificiale (IA) e sicurezza: sebbene l’IA e il machine learning siano diventati una necessità che non può più essere ignorata in tema di tecnologia ed innovazione, il mercato sta iniziando seriamente a pensare alle minacce che potrevvero evolvere alla pari dei nuovi sistemi.
Tra i nuovi elementi che stanno emergendo vi sono le questioni legate alla governance, alla verificabilità, alla conformità e, soprattutto, alla sicurezza. Il settore della sicurezza informatica, soprattutto, è sempre più attento ai pericoli dell’intelligenza artificiale (IA) nel mondo reale. L’apprendimento automatico è una metodologia induttiva che estrae automaticamente le relazioni tra i dati da un numero enorme di campioni di input-output estremamente complicati ma hanno vulnerabilità specifiche e rischi per la sicurezza rilevanti che i sistemi IT non hanno. Ci si aspetta che i sistemi di apprendimento automatico risolvano attività in cui i dati di input provengono direttamente da ambienti naturali o reali, ma poihcè la gamma dei dati un input è ancora vaga e aperta lo sono anche le proprietà che la relazione input-output del sistema dovrebbe soddisfare.
Nel settore della sicurezza informatica l’IA verrà sempre pià utilizzata, nell’ambito delle valutazioni delle vulnerabilità, pentest, audit, conformità e monitoraggio continuo delle minacce. In futuro, vi saranno soluzioni come la crittografia omomorfica, l’apprendimento automatico riservato alla protezione della privacy, ed è per questo che l’IA deve essere uno strumento in cui riporre la propria fiducia.
Intelligenza Artificiale e sicurezza: le vulnerabilità del machine learning
Alcune delle loro vulnerabilità sono quindi – rimarcando il concetto – fonti di nuovi rischi per la sicurezza informatica che non possono essere affrontati efficacemente dalle metodologie di sicurezza convenzionali. Un quadro che noj è stato ancor ad oggi chiarito del tutto. Tali rischi comporterebbero gravi incidenti – nella guida autonoma ad esempio – e malfunzionamenti nei sistemi di riconoscimento facciale, tanto per citarne alcuni. Gli attacchi informatici inoltre sono stati dimostrati del tutto fattibili fino ad ora: ancora nel caso precedente del risconoscimento facciale, si è dimostrato che l’IA non riesce a riconoscere ancora in modo efficace il viso di una persona dietro a degli occhiali. Significa quindi che nella fase del training vi è stata una carenza nelle informazioni acquisite.
Inoltre a ciò si aggiunge l’alta infatti la probabilità di futuri attacchi basati sull’intelligenza artificiale, ove gli aggressori prenderanno di mira le nuove tecnologie come le comunicazioni 5G, le città intelligenti (smart cities) e l’Internet of Things (IoT).
Andrea Biraghi – La Cyber security ha bisogno dell’intelligenza artificiale, ecco perchè
Lo sviluppo della tecnologia 5G e dell’Internet of Things, infatti, aumenteranno le vulnerabilità degli utenti: si parla di attacchi informatici di quinta generazione su larga scala.
Per molti problemi si stanno già adottando soluzini specifiche, ma la prima difficoltà sta sempre e soprattutto nell’identificare in modo completo le vulnerabilità dei sistemi di apprendimento automatico.
Quale è il ruolo dell’intelligenza artificiale per garantire un futuro sostenbile e raggiungere al contempo gli obiettivi della nuova Agenda 2030?
Se futuro sostenibile non è possibile senza un’intelligenza artificiale (IA) sostenibile, bisogna tenere conto dei vari sviluppi che l’IA ha in molti settori oggi: il suo impatto richiede un’attenta valutazione dei suoi effetti nel breve e nel lungo termine.
Secondo una ricerca pubblicata su Nature l’IA potrebbe davvero consentirci di raggiungere i 134 obiettivi dell’Agenda ma anche inibirne una parte considerevole. Sarebbero 59 gli obiettivi che potrebbero essee inibiti dall’uso dell’IA e che ne potrebbero evidenziare l’impatto negativo. Questo se in precedenza non si è lavorato sulle necessarie conoscenze normative, sulla metodologia di supervisione per evitare lacune in termini di trasparenza, sicurezza e standard etici. Importante diventa la considerazione della divesità culturale dei paesi e della loro ricchezza. Inoltre se la tecnologia dell’intelligenza artificiale e i big data venissero utilizzati in regioni in cui mancano controllo etico, trasparenza e controllo democratico, l’intelligenza artificiale potrebbe favorire il nazionalismo, l’odio verso le minoranze e risultati elettorali di pregiudizio.
A livello globale ogni paese segue i suoi modelli, le sue priorità e le sue strategie con un uso pianificato dell’intelligenza artificiale, ma sebbene l’Europa abbia ha deciso di percorrere un percorso diverso dal resto del mondo che la vede pioniera della protezione dei dati personali, non è così per altri stati. Il piano dell’India è sostanzialmente diverso dall’EU per qaunto riguarda il consenso pubblico, facendo riferimento a “Con il consenso corretto e informato dei cittadini, questi dati resi anonimi possono essere condivisi ai fini dell’intelligenza artificiale e dell’analisi dei dati”. Le considerazioni etiche alla base della progettazione sono enfatizzate in Francia: “le considerazioni etiche devono essere pienamente prese in considerazione nello sviluppo di algoritmi di intelligenza artificiale” (France AI Plan, 2018).
Andrea Biraghi – Intelligenza artificiale come strategia di intelligence e l’accelerazione globale
Ma quali sono gli obiettivi che l’intelligenza artificiale influenzerà? Si prevede che l’IA influenzi ad esempio la produttività globale, l’uguaglianza e l’inclusione o i risultati ambientali. I potenziali impatti però come ha evidenziato la ricerca potrebbero essere positivi o negativie se suprando le lacune come possa invece infleunzare positivamente tutti i goal. Lo studio ha incluso svariati campi tra cui audio, visivo, testuale e tattile, il riconoscimento facciale, il processo decisionale – come i sistemi di diagnosi medica, la previsione, il riconoscimento delle fake news e via dicendo.
Se si pensa a target come assenza di povertà, istruzione di qualità, acqua pulita, servizi igienico-sanitari, energia pulita e accessibile e città sostenibili, l’IA può agire per sostenere in modo effeiciente la fornitura di cibo, salute, acqua ed energia alla popolazione. Ma può agire efficacemente anche per sistemi a basse emissioni di carbonio, che comprendono ad esempio i veicoli elettrici autonomi e e gli elettrodomestici intelligenti.
Molti di questi miglioramenti però riguardano anche la possibilità di essere implementati in paesi con diversi valori culturali e ricchezza.
TeaBotMalware è il nuovo trojan bancario che si maschera dietro applicazioni Android illecite e prende di mira i servizi bancari. Il nuovo malware, che spia gli utenti e ruba loro le credenziali di accesso, è stato rilevato in Italia, Spagna, Germania, Belgio, Paesi Bassi e oltre.
Cleafy, società di sicurezza informatica, ne ha rilasciato l’intera analisi il 10 Maggio 2021: il suo team di Threat Intelligence and Incident Response (TIR) lo ha rilevato a partire da Gennaio, fornendo ora – data le poche informazioni a disposizione in rete – un’intera analisi per tracciarlo al meglio. Il trojan è stato rilevato in Italia a partire dal 29 Marzo 2021, mentre all’inzio di Maggio è stato rilevato in Belgio e Olanda. TeaBot sembra così essere nelle sue prime fasi di sviluppo, a confermare la tesi sono state alcune irregolarità riscontrate durante l’analisi.
Partiamo dal presupposto che TeaBot, in modo simile a Oscorp, stia cercando di ottenere un’interazione in tempo reale con il dispositivo compromesso in combinazione con l’abuso dei servizi di accessibilità Android aggirando la necessità di una “registrazione di un nuovo dispositivo” per eseguire uno scenario di acquisizione dell’account (ATO).
Cleafy
TeaBot malware: la sintesi dell’analisi Cleafy sul nuovo trojan bancario
La sintesi dell’analisi del malware da parte dei ricercatori ne chiarisce le prime caratteristiche che lo fanno rietrare nella lista dei trojan bancari Android:
TeaBot sembra avere tutte le caratteristiche principali dei trojan bancari Android:
– Possibilità di eseguire attacchi overlay contro più applicazioni bancarie per rubare credenziali di accesso e informazioni sulla carta di credito
– Possibilità di inviare / intercettare / nascondere messaggi SMS
– Abilitazione delle funzionalità di registrazione delle chiavi
– Possibilità di rubare i codici di autenticazione di Google
– Possibilità di ottenere il controllo remoto completo di un dispositivo Android (tramite servizi di accessibilità e condivisione dello schermo in tempo reale)
Attraverso l’abuso dei servizi di accessibilità Android, TeaBot – in modo similare a EventBot – è in grado di osservare e tenere traccia di tutte le informazioni eseguite dall’utente ma questa volta solo sulle applicazioni target. In più TeaBot possiede la capacità di acquisire schermate per monitorare costantemente lo schermo del dispositivo compromesso. La tecnica si basa sull’attacco Overlay – ben nota ai moderni trojan bancari Android come Anubis, Cerberus / Alien – che imita un’applicazione dannosa che esegue azioni per conto della vittima. Atre caratteristiche comuni invece sono
la disabilitazione di Google Protect,
il furto di codici di doppia autenticazione 2FA,
il controllo remoto dei dispostivi target
la simulazione di click sullo schermo (tramite Servizi di accessibilità)
Westeal il nuovo malware as a service – servizio pronto all’uso – e ladro di criptovalute è una nuova minaccia individuata dai ricercatori della Unit 42 di Palo Alto Networks. I ricercatori hanno anche dichiarato che la sede si trovi in Italia e i cyber criminali si nascondo dietro al nome di una società chiamata ComplexCodes.I prodotti vengono venduti su Internet e l’autore sembra non faccia nemmeno un tentativo per nascondere l’intento del malware, affermando che sia “la via principale per fare soldi nel 2021” con un payoff “WeSupply – You profit”.
Le criptovalute sono sotto la mira del cyber crime: non poco tempo fa infatti c’è stata una segnalazione da Microsoft riguardo il malware cryptojackingche si affianca al ransomware, fino a questo momento lo strumento preferito dal cyber crime. Con l’aumento dei prezzi delle criptovalute, molti attaccanti ora preferiscono utilizzare il cryptojacking rispetto al ransomware.
WeSteal però minaccia i wallet di monete digitali come Bitcoin, Ethereum, Litecoin (LTC), Bitcoin Cash (BCH) e Monero (XMR). Nel blog ne viene fatta un’analisi approfondita.
WeSteal Malware: l’analisi approfondita
Il malware è stato prima pubblicizzato su forum clandestini a metà Febbraio 2021, ma già da maggio ComplexCodes ha iniziato a vendere un “WeSupply Crypto Stealer”. WeSteal ne sarebbe così l’evoluzione.
L’intento è ancora una volta mostrato con l’offerta DDoS (Commodity Distributed Denial-of-Service) di ComplexCode basata su Discord, “Site Killah”.
Il malware ha capacità RAT (Remote Access Trojan). Lo stesso programmatore che lo ha ideato sembra abbia creato anche lo “Zodiac Crypto Stealer” e lo “Spartan Crypter” per evitarne il rilevamento tramite antivirus. Inoltre le funzionalità comprendono anche una piattaforma di controllo per tracciare le attività sui dispositivi compromessi. Quinid viene inlcuso un pannello di monitoraggio delle vittime che tene traccia delle infezioni. Per rubare le criptovalute vengono create espressioni regolari che corrispondono agli schemi degli identificatori di portafoglio Bitcoin ed Ethereum e quando viene trovata la corrispondenza viene sostituito l’ID con quello fornito dal malware.
La vittima quindi incolla l’ID del portafoglio sostitutivo per una transazione e i fondi vengono invece inviati al portafoglio sostitutivo.
Arriva una nuova segnalazione da Microsoft riguardo il malware cryptojacking che si affianca al ransomware, fino a questo momento lo strumento preferito dal cyber crime.
Microsoft quindi evidenzia come la portata degli attacchi nel corso degli anni sia mutata:
Il mining di criptovalute è in aumento negli ultimi anni. Questo aumento è guidato dal crescente valore delle criptovalute come Bitcoin, dalla crescita della popolarità di diversi tipi di criptovaluta (Ethereum, Litecoin e Dogecoin) e dalla volatilità in questi mercati.
Microsoft – Defending against cryptojacking with Microsoft Defender for Endpoint and Intel TDT
La crescita del Cryptojacking e malware cryptominer è stata del 25% nel 2020, confermato anche dall’Internet Security Report per il Q4 2020 . Così la crescita, anche secondo le più recenti ricerche di Avira Protection Labs, è concreta con un aumento del 53%.
Malware cryptojacking e i mining di criptovalute
Con l’aumento dei prezzi delle criptovalute, molti attaccanti ora preferiscono utilizzare il cryptojacking rispetto al ransomware. I rischi per le organizzazioni così aumentano, poiché gli aggressori distribuiscono mining di criptovalute come payload per le campagne di malware e sono meno facili da scoprire. In questo modo gli hacker, installando un programma nel computer della vittima usando le risorse della macchina per estrarre la criptovaluta.Si presenta quindi un problema non facile da contrastare visto il valore attuale delle criptovalute.
Per contrastarlo viene consigliato di controllare il consumo delle risorse, il surricsalndamento dl processore, di bloccare gli scirpt di cryptomining nel browser e di utlizzare un buon antivirus.
Microsoft ha annunciato nel suo blog l’integrazione della tecnologia TDT (Threat Detection Technology) Intel in Microsoft Defender per Endpoint, che migliora la capacità di rilevamento e la protezione contro il cryptojacking malware. TDT esegue dati di telemetria hardware di basso livello raccolti dall’unità di monitoraggio delle prestazioni (PMU) della CPU attraverso modelli di machine learning che sono stati addestrati per rilevare il malware cryptomining.
L’attacco ransomware ai segreti industriali di Apple Inc. è accaduto martedì, mentre si stavano rivelando l’ultima linea di iPad e i nuovi iMac: il gruppo ransomware REvil, noto anche come Sodinokibi, ha pubblicato un blog sul suo sito darkweb in cui affermava di essersi infiltrato nella rete di computer di Quanta Computer Inc.
La società Quanta Computer, con sede a Taiwan è un fornitore chiave di Apple, e produce principalmente Macbook ma anche prodotti per aziende come HP Inc., Facebook Inc. e Google di Alphabet Inc.
La notizia dell’attacco a Quanta è stata così commentata da Justin Fier, Director for Cyber Intelligence and Analysis di Darktrace:
“Con la notizia appena diffusa dell’attacco a Quanta, possiamo ormai essere certi che le supply chain digitali rappresentino un vero e proprio paradiso per gli hacker. Oggi, i dati critici di un’azienda sono fluidi, spesso gestiti al di fuori dell’organizzazione stessa. Questa incredibile complessità offre a chi ha intenti criminali molti punti di vulnerabilità da poter sfruttare.
Apple: progetti inediti rubati durante un attacco hacker – Fonte: BitMat.it
Attacco ransomware ad Apple: il riscatto è pari a 50 milioni di dollari
Il gruppo di cybercriminali REvil, che è penetrato nei server di Quanta Computer, ha chiesto un riscatto di 50 milioni di dollari, altrimenti i segreti industriali dell’azienda di Cupertino diventeranno pubblici. Come altre gang di ransomware, REvil in genere blocca i dati oi sistemi informatici delle sue vittime fino a quando non viene ripagato. In questo caso, il gruppo ha detto che Quanta si era rifiutata di collaborare con le sue richieste e ora stava chiedendo ad Apple di pagare un riscatto entro il 1 ° maggio in cambio di non divulgare le proprie informazioni sensibili.
I dati che sono in possesso di Quanta sarebbero solo legati alla semplice produzione e all’assemblaggio: come gli schemi per sagomare l’alluminio o per i collegamenti. Niente di segretissimo dunque, anche se entrano in gioco anche prodotti che ancora non sono stati rilasciati.
Secondo il rapporto Cyber Threatscape Report 2020 di Accenture gli hacker di stato e i gruppi criminali ransomware stanno raffinando le loro tattiche per infliggere ancora più danni. Il ransomware è diventato sempre più popolare tra i malintenzionati, poiché il furto di dati aumenta la pressione sulle vittime.
“Puntiamo ad aumentare la nostra presenza come partner preferenziale delle istituzioni europee; attualmente circa il 60% dei nostri clienti sono governi o istituzioni, mentre il restante 40% sono privati”.
La divisione, può già annoverare la Nato tra i suoi clienti. Ha recentemente cercato alleanze con altri gruppi per ampliare la sua gamma di servizi, e in futuro potrà anche percorrere nuove acquisizioni e fusioni
Tommaso Profeta, responsabile della divisione Cyber security di Leonardo – Formiche.net
Volontà che è stata già espressa da Alessandro Profumo durante il Cybertech Europe 2019 a Roma, dove ha ricordato che il gruppo “è disposto a ricoprire un ruolo chiave nel panorama europeo della sicurezza informatica”, per affrontare le nuove sfide globali. L’obiettivo è quello di aumentare e migliorare la capacità di resilienza cyber dell’Europa, ma anche quello di rendere l’Italia una nazioen cyber sicura.
Bruxelles prevede di investire oltre 1,6 miliardi di euro in infrastrutture di sicurezza informatica come parte del suo programma Europa digitale per il periodo 2021-2027. Leonardo e il partner contrattuale Cronos International, una società informatica belga, hanno recentemente vinto un contratto di sei anni da 85 milioni di euro (101 milioni di dollari) per fornire servizi all’infrastruttura di informazione e comunicazione del Parlamento europeo.
Leonardo: scudo digitale dell’Italia per la sicurezza informatica
Il gruppo Leonardo è al centro del perimetro di sicurezza informatica o cibernetica del nostro Paese e tra le linee programmatiche per il 2030 c’è anche la costruzione di una filiera cloud nazionale con il recente accordo con il service provider Aruba.
La battaglia per la tutela dei nostri dati è la partita del decennio. E Leonardo deve giocarla in prima linea per muoversi come attore in questa variegata e ramificata filiera industriale che si sta costruendo.
Repubblica
Inoltre proprio nel periodo della pandemia, la divisione cyber security di Leonardo, ha continuato a garantire la sicurezza e la protezione dei confini per l’intero Paese. La sua divisone cyber, specializzata in gestione delle minacce informatiche e nella tempestività delle risposte grazie ad un team di esperti in Threat Intelligence, è in grado di elaborare i dati in modo dinamico cosi come evolvono attacchi e attaccanti.
Riguardo alla protezione dei dati l’obiettivo è quello di garantire al cittadino italiano un’unica identità digitale per intragire anche con la PA attraverso un unico “sportello” digitale, con il quale “poter consultare i propri dati anagrafici, chiedere e ottenere permessi, tracciarli qualora non arrivino in tempo, e pagare i servizi”.
500 milioni di profili Linkedin in vendita sulla Dark Web: il data leak conta 21 milioni di account registrati in Italia. Come prova i criminal hacker resposanbili hanno incluso 2 milioni di record.
Ecco l’ultima scoperta degli investigatori di CyberNews che nella dark web hanno trovato un enorme set di dati di profili utente della piattaforma di networking professionale LinkedIn. Il database presumibilmente contiene informazioni estratte da milioni di profili utente contenenti dettagli come nomi completi, datori di lavoro, indirizzi e-mail e numeri di telefono. A quale prezzo? Il venditore dice che rivelerà il prezzo di vendita solo agli acquirenti interessati in privato, indicando un importo a 4 cifre. Sebbene l’archivio non sembri contenere informazioni altamente sensibili come dati finanziari o numeri di previdenza sociale, i dati rubati potrebbero essere utilizzati per truffe di phishing o persino per il furto di identità. Non è chiaro invece se i dati rubati su Linkedin siano informazioni aggiornate o frutto di violazioni passate.
Si tratta comunque di scraping ovvero di una raccolta di dati ottenuta richiedendo informazioni direttamente al portale su cui tali dati sono contenuti.
Linkedin e Facebook data leak
La vulnerabilità della piattaforma Linekdin si va ad associare alla perdita di dati di Facebook: i dati di 533 milioni di utenti di Facebook sono stati rilasciati gratuitamente su un forum e sebbene Facebook abbia dichiarato che i dati provengono da una violazione del 2019 causata da una vulnerabilità ora corretta, sono state esaminate delle incongruenze nella risposte del gigante dei social media.
Facebook ha indicato un articolo di Forbes del 2019 come prova del fatto che ha già discusso pubblicamente del difetto di sicurezza che ha portato alla violazione, ma quell’articolo ha effettivamente discusso di una vulnerabilità simile su Instagram, non su Facebook. E’ comunque difficile determinare con certezza da quale delle sue numerose violazioni passate abbia avuto origine questo particolare set di dati. Spesso gli hacker combinano o tagliano set di dati più volte al fine di venderli in blocchi di varie dimensioni e la mancanza di trasparenza di Facebook sulla violazione rende ancora più difficile individuare la fonte e l’età esatta dei dati.
Utenti LinkedIn presi di mira da gruppo di hacker con false offerte di lavoro
Non solo data leak: gli utenti di Linkedin sono stati presi di mira da un gruppo hacker con false offerte di lavoro. L’intento è quello di infettare gli intervistati con malware. Il gruppo di cyber criminali è “Golden Chickens”.
I dettagli sono riportati dalla società di sicurezza informatica eSentire Inc.: si tratta di una campagna di “spear-phishing” con un sofisticato virus Trojan backdoor che, una volta installato, dà al gruppo di hacker il controllo remoto sul computer della vittima. Ciò consente agli hacker di inviare, ricevere, avviare ed eliminare file.
Gli hacker Golden Chickens stanno anche vendendo il Trojan “more_eggs” sul dark web su base malware-as-a-service. Il malware viene lanciato come un modo per ottenere l’accesso al sistema di una vittima per installare altri tipi di malware come ransomware, malware bancario e ladri di credenziali.
BadBlood, è questo il nome che i ricercatori di sicurezza hanno dato alla campagna phishing che ha preso di mira – alla fine del 2020 – professionisti e ricercatori nel campo della genetica, della neurologia e onlcologia. I ricercatori attaccati hanno sede in Israele e Stati Uniti.
Secondo il report Proofpoint, negli attacchi informatici del 2020, TA453, è stato un gruppo hacker iraniano, ad aver lanciato una campagna di phishing che ha preso di mira le credenziali dei professionisti medici negli Stati Uniti e in Israele. Il gruppo TA453 – che è noto anche come CHARMING KITTEN e PHOSPHORUS – storicamente allineato con lil Corpo delle Guardie Rivoluzionarie Islamiche (IRGC) – nel tempo ha preso di mira dissidenti, accademici, diplomatici e giornalisti.
Nell’utlima campagna, soprannominata BadBlood – a causa anche delle continue tensioni geopolitiche tra Iran e Israele – la loro attività sembra una deviazione dalle normali attività e di targenting: si pensa quindi che l’obiettivo infatti possa essere il risultato di uno specifico requisito di raccolta di informazioni a breve termine.
BadBlood sottolina la tendenza crescente dei cyber criminali di attaccare il settore della ricerca medica.
L’analisi della campagna phishing BadBlood di Proofpoint
I presunti legami con hacker iraniani sono citati da ProofPoint secondo rapporti esterni che collegano il gruppo “Phosphorus” al governo iraniano e al suo Corpo delle Guardie rivoluzionarie islamiche (IRGC): le tattiche del 2020 sono infatti coerenti con quelle precedentemente utilizzate dal gruppo. Al momento però Proofpoint non può determinare in modo conclusivo la motivazione degli attori che conducono queste campagne. Potrebbe essere un cambio di trageting e uno specifico interesse verso i dati dei pazienti.
Proofpoint ha quindi concluso che una campagna informatica mirata a individui israeliani sarebbe anche “coerente” con le tensioni geopolitiche tra Israele e Iran, che si sono intensificate nel corso del 2020.
Per la campagna TA453 ha utilizzato un account Gmail – zajfman.daniel[@]gmail.com – controllato da un hacker che si fingeva un importante fisico israeliano. L’account ha inviato messaggi con il soggetto: “Armi nucleari a colpo d’occhio: Israele”, e conteneva esche di ingegneria socialerelative alle capacità nucleari israeliane. Le eMail contenevano un collegamento al dominio controllato da TA453, che falsifica il servizio OneDrive di Microsoft insieme a un’immagine di un logo di un documento PDF intitolato CBP-9075.pdf. Quando si tenta il download del PDF una pagina di accesso Microsoft falsificata tenta di raccogliere le credenziali utente. Inoltre la campagna redirige alla pagina “Iscriviti” di Microsoft Outlook all’indirizzo hxxps://signup.live. Una volta immesso un messaggio di posta elettronica dall’utente e fatto clic su “Avanti”, la pagina richiede una password….
Facebook ha bloccato un gruppo di hackers con sede in Cina che hanno utilizzato la piattaforma per colpire Uiguri che vivono all’estero con collegamenti a malware che infetterebbero i loro dispositivi e consentirebbero la sorveglianza.
Come riporta Reuters mercoledì 24 Marzo 2021, Facebook Incha affermato che gli hacker, noti nel settore della sicurezza come Earth Empusa o Evil Eye, avrebber preso di mira attivisti, giornalisti e dissidenti che erano prevalentemente uiguri, un gruppo etnico in gran parte musulmano che affrontava persecuzioni in Cina.
In un post gli inevstgatori di sicurezza della societò hanno affermato che: “Questa attività ha avuto i tratti distintivi di un’operazione ben intraprendente e persistente, offuscando al contempo chi c’è dietro”.
Facebook: il gruppo di hackers coivolto è legato al gruppo Evil Eye
Facebook Inc ha detto mercoledì di aver bloccato un gruppo di hacker in Cina che hanno utilizzato la piattaforma per colpire Uiguri che vivono all’estero: condividenndo collegamenti a siti Web che avrebbero successivamente infettato i loro dispositivi e abilitato la sorveglianza.
La società di social media ha detto che gli hacker, noti come Earth Empusa o Evil Eye nel settore della sicurezza, hanno preso di mira attivisti, giornalisti e dissidenti che erano prevalentemente Uiguri, un gruppo etnico in gran parte musulmano che affronta persecuzioni in Cina.
Tra gli obiettivi – circa 500 – gran parte erano della regione dello Xinjiang ma vivevano principalmente all’estero in paesi tra cui Turchia, Kazakistan, Stati Uniti, Siria, Australia e Canada.
I dispsitivi sono stati infettati creando anche false ed ingannevoli applicazioni per l’app store Android e siti web ad hoc con notizie popolari legati ad Uiguiri e Turchi. Si attendono intanto i commenti dell’ambasciata cinese a Washington.
Sicurezza dello spazio – nuova frontiera della cyber security – e rafforzamento del vantaggio competitivo tecnologico dell’Europa: la corsa tecnologica globale sta accelerando.
La Commissione Europea ha delineato i piani per trovare progetti comuni per le sue industrie della difesa e dell’aerospazio, con l’obiettivo di promuovere l’innovazione in settori che vanno dal calcolo quantistico all’intelligenza artificiale. La vicepresidente esecutiva della Commissione Margrethe Vestager afferma in merito: “Lo scopo di questo piano d’azione è proprio quello di rafforzare il vantaggio competitivo tecnologico dell’Europa e sostenere la base industriale”.
Le economie dei governi di tutto il mondo fanno sempre più affidamento su infrastrutture dipendenti dallo spazio; si è quindi aperta una nuova frontiera per la sicurezzainformatica. a riguardo infatti con i satelliti che supportano le comunicazioni globali – per non parlare di una serie di funzioni economiche, governative e militari quotidiane – non dovrebbe sorprendere che si tratti anche un potenziale obiettivo per i criminali informatici.
In settori come i trasporti e la logistica, i dati sulla posizione vengono registrati regolarmente in tempo reale dai satelliti GPS e inviati ai back office consentendo ai team di monitorare i conducenti e le risorse. Le organizzazioni che hanno avamposti remoti o navi oceaniche ovviamente non possono connettersi online tramite una rete mobile o via cavo, devono invece utilizzare i satelliti per le comunicazioni. Inoltre, i satelliti memorizzano le informazioni sensibili che raccolgono da soli, che potrebbero includere immagini di installazioni militari riservate o infrastrutture critiche. Tutti questi dati sono obiettivi interessanti per vari tipi di criminali informatici.
Andrea Biraghi – La sicurezza nello spazio: la nuova frontiera per la CyberSecurity
La Sicurezza dello spazio e la strategia UE
Cosa prevede la strategia UE per la politica spaziale? Se i funzionari UE affermano che l’Europa sta prendendo seriamente la sovranità tecnologica, le nuove strategie puntano all’innovazione. Come molte tecnologie su cui siamo arrivati a fare affidamento, i sistemi spaziali sono in gran parte il risultato di obiettivi di sicurezza nazionale e avanzamento militare. La corsa allo spazio stessa era una competizione tra gli Stati Uniti e l’Unione Sovietica. Fortunatamente, le nazioni si sono unite per vietare le armi di distruzione di massa dallo spazio e promuovere l’uso pacifico dell’ultima frontiera.
Si quindi ad una politica spaziale per la sicurezza UE ma no alle guerre spaziali, cita il documento – raggiungibile al precendete link – del Parlamento europeo, che ha espresso preoccupazione per la minaccia di militarizzazione dello spazio, e raccomanda il divieto di corsa alle armi contro i dispositivi spaziali. Un nuovo Osservatorio dell’UE sulle tecnologie critiche avrà il compito di pubblicare relazioni ogni due anni per individuare i punti di forza e le vulnerabilità del blocco rispetto ai suoi rivali globali e valutare il potenziale delle nuove tecnologie.
La strategia prevede lo sviluppo di un programma di droni, un sistema satellitare di comunicazione volto a tagliare i punti neri di Internet e un framework di gestione del traffico spaziale per ridurre il rischio di collisioni tra detriti e satelliti nello spazio.
Politico-eu – EU links defense and space in hunt for ‘technological sovereignty’
La cybersecurity si rivolge sempre di più all’intelligenzaartificiale (IA) per migliorare le operazioni di intelligence, così da prevenire in modo efficace le minacce. L’IA infatti copre parte del gap nelle competenze in materia di sicurezza infromatica nel contrastare le minacce in rete, evidenziatasi dall’inizio della pandemia di Covid-19. L’intevento umano però è considerato ancora come essenziale.
Tuttavia è alta infatti la probabilità di futuri attacchi basati sull’intelligenza artificiale, ove gli aggressori prenderanno di mira le nuove tecnologie come le comunicazioni 5G, le città intelligenti (smart cities) e l’Internet of Things (IoT).
Sono i cyber attacchi di quinta generazione, dallo spionaggio internazionale alle massicce violazioni delle informazioni personali alle interruzioni su larga scala di Internet.
Lo sviluppo della tecnologia 5G e dell’Internet of Things aumenteranno le vulnerabilità degli utenti: si parla di attacchi informatici di quinta generazione su larga scala. Molte aziende però non sono ancora preparate contro attacchi di questo tipo: multi-dimensionali, multi-stadio, multi-vettore, polimorfici, in poche parole estremamente articolati.
Cyber Security e Intelligenza Artificiale: i ruoli chiave
Tra i ruoli chiave che sta prendendo l’intelligenza artificiale nel campo della sicurezza informatica, c’è l’azione contro le minacce malware e l’azione di mascheramento di identità. I cyber criminali hanno già iniziato ad utilizzarla renderebbe difficile così il rilevamento del malware stesso.
Questo ci dice anche come sta cambiando la sicurezza dell’intelligenza artificiale nel 2021 e oltre, dato che la proliferazione dell’IA a fini commerciali e di ricerca ha reso gli strumenti disponibili e facilmente manipolabili per scopi nefasti.
L’intelligenza artificiale e l’apprendimento automatico sono ora una tecnologia ampiamente compresa. La maggior parte dei migliori strumenti utilizzati dai ricercatori e dai team di sicurezza per l’IA sono open source e possono essere facilmente cooptati dai Black Hats per cercare di riconoscere le misure di sicurezza e sovvertirle.
TechnologyAdvice, Ido Safruti, co-fondatore e CTO di PerimeterX,
Ecco perchè la sicurezza e la difesa hanno bisogno di avere nell’intelligenza artificiale un fidato alleato. Molti framework di machine learnig sono disponibili come servizio dei vari fornitori di Cloud: ora un cyber attacco potrebbe accedere non solo al software ma all’infrastruttura – pronta per eseguire l’apprendimento automatico e costruire modelli – ad un costo modesto.
Tutto ciò causerà un aumento degli attacchi informatici basati sull’intelligenza artificiale.
L’ingegneria sociale è l’arte di sfruttare a proprio beneficio le emozioni umane e le debolezze per avere informazioni utili e rubare le identità. Si tratta di veri e propri cyber attacchi da parte della criminalità informatica, che mediante la manipolazione psicologica sfrutta le debolezze altrui per raggiungere i propri obiettivi. Gli hacker così usano le emozioni come strumento per persuadere le loro vittime a compiere un’azione che normalmente non farebbero.
Se la pandemia di Covid in virtù del rafforzamento del lavoro da remoto ha fatto sì che molte aziende abbiano aumentato le difese e le misure di sicurezza, il ruolo dell’ingegneria sociale sembra sia sottovalutato. Ma acquisire familiarità con queste tecniche è essenziale per proteggrsi anche da questo tipo di attacchi.
E’ molto importante, visto la pericolosità di tali attacchi che le aziende oggi vengano sensibilizzate alla formazione dei propri dipendenti per evitare fenomeni di data breach. Tra gli esperti sta prevalendo l’idea di un necessario approccio multidisciplinare al problema, tecnico e umano (antropologico) assieme, per affrontare il fenomeno che rispetto al 2017 è in forte crescita (56.9% -Rapporto Clusit 2019 — Agenda Digitale).
Andrea Biraghi – Ingegneria Sociale: l’arte di hackerare gli umani
I tipi di attacchi dell’Ingegneria sociale
Gli attacchi messi in moto dalla social engineering possono essere di 2 tipi: attacchi basati sulla persona e attacchi basati sui computer.
Il modus operandi è: selezionare la vittima, raccogliere informazioni, stabilire un contatto, procedere con la manipolazione. Terminato l’attacco il criminale sparisce nel nulla.
Quali emozioni vengono attaccate maggiormente dal criminae informatico? La paura, l’avidità, il rendrsi utili agli altri e la curiosità sono 4 emozioni che SecurityBolulevard sintetizza in un articolo.
Alla base della vulnerabilità umana ci sono però anche la troppa fiducia, e la mancanza di conoscenza. Per prevenire infatti gli attacchi di social engineering biosgna creare consapevolezza: una delle migliori tattiche di ingegneria sociale è impedire alla vittima di pensare in modo critico.
In un alert CyWare avvisa dell’evoluzione degli attacchi DDoS (Distributed Denial of Service): gli attacchi TDoS (Telephony Denial-of-Service). Gli attacchi informatici stanno diventando più impegnativi che mai e si stanno rafforzando con nuovi vettori di attacco e stano diventando sempre più efficaci con l’obiettivo di interrompere i servizi in modo efficace.
Emerge un nuovo tipo di attacco: il TDoS punta ai servizi di emergenza sfruttando sistemi automatizzati. L’FBI ha quindi avvertito che questo tipo di attacchi potrebbero costare in termini di vita e minacciare la sicurezza pubblica, perchè mirati a centri di spedizione di emergenza, come servizi di polizia, vigili del fuoco o ambulanze.
L’obiettivo è mantenere attive le chiamate di distrazione il più a lungo possibile, il che potrebbe ritardare o bloccare le chiamate legittime ai servizi.
Attacchi DDoS e TDoS automatici e manuali
Gli attacchi TDoS possono essere sia manuali che automatizzati: nel primo caso vengono sfruttati i social netrowrk, nel secondo caso vengono utilizzati software come VoIP e sip (Session Initiation Protocol) per effettuare decine o centinaia di chiamate, contemporaneamente oppure svolte in rapida successione. Tra gli scopi dei cyber criminali vi è quello dell’estorsione, ma vi è anche il fenomeno dell’hacktivismo, che utilizza la rete informatica per promuovere cause politiche e sociali.
“Un attacco TDoS automatizzato utilizza applicazioni software per effettuare decine o centinaia di chiamate, contemporaneamente o in rapida successione, per includere Voice Over Internet Protocol (VOIP) e SIP (Session Initiation Protocol). I numeri e gli attributi delle chiamate possono essere facilmente falsificiati, rendendo difficile differenziare le chiamate legittime da quelle dannose”
WeLiveSecurity – TDoS attacks could cost lives, warns FBI
Le linee guida FBI in caso i numeri di emergenza siano irragiungibili:
Contattare i servizi di emergenza locali per informazioni su come raggiungerli in caso di interruzione
Annotare i numeri non di emergenza per le forze dell’ordine, i soccorsi e le forze dell’ordine locali e preparali in caso di interruzione
Registrarsi per le notifiche automatizzate nella propria regione sulle situazioni di emergenza che si verificano nella zona
Seguire varie fonti di informazione, tra cui siti web e social media, per i soccorritori di emergenza nella zona
Francia: il rapporto dell’Agenzia nazionale francese responsabile della sicurezza informatica (Anssi) denuncia i nuovi attacchi del gruppo hacker APT Sandworm che prendono di mira le aziende IT utilizzando i server Centreon. La campagna di intrusione – iniziata alla fine del 2017 ed è durata fino al 2020 – avrebbe compromesso la società di software francese Centreon per installare due malware nelle reti dei clienti.
L’azienda annovera tra i suoi clienti Airbus, Air France, Thales, ArcelorMittal, Électricité de France (EDF) e la società di telecomunicazioni Orange, nonché il Ministero della giustizia francese. Non è chiaro quante o quali organizzazioni siano state violate tramite l’hacking del software.
L’ANSSI ha dichiarato che “diverse entità francesi” sono state violate e ha collegato gli attacchi al gruppo di hacker russo ritenuto responsabile di alcuni dei più devastanti attacchi informatici degli ultimi anni. Gli hacker sarebbero collegati all’agenzia di intelligence militare russa GRU e il loro obiettivo sarebbe quello di spiare e rubare informazioni.
L’attacco è simile a quelloscoperto di recente del software aziendale statunitense SolarWinds che ha violato – e non solo – diverse agenzie governative statunitensi.
La Francia nel mirino degli hacker russi
Supposto che il gruppo APT Snadowrm non abbia legami con l’intelligence russa – poichè il Cremlino ha negato di essere coinvolto negli attacchi – questa campagna però presenta molte somoglianze con quelle precedenti, tra cui lo scoppio del ransomware NotPetya nel 2017 e gli attacchi alle Olimpiadi invernali in Corea del Sud.
Non è la prima volta che il gruppo, noto anche come Unità 74455 e operante da un palazzo noto come la Torre a Chimki, mette nel mirino la Francia — anche se, come sottolinea Politico, Parigi è solitamente restia ad attribuire i cyber-attacchi agli autori. E lo è anche questa volta visto che nel rapporto dell’Anssi si legge di “molte somiglianze con le precedenti campagne del modus operandi di Sandworm” e nulla di più per evitare di impegnarsi politicamente.
Airbus, Total e gli altri giganti francesi finiti nel mirino degli hacker russi – Formiche.net
Tim Berners, co-inventore insieme a Robert Cailliau del World Wide Web, un progetto globale sull’ipertesto, ora vuole salvare Internet.
I suoi piani riguardano la sovrantà dei dati sul web e quindi poter ridare agli utenti il controllo delle proprie informazioni o dati che cedono o che hanno ceduto alle Big Tech. Tutto ciò ha a che fare con un sistema attuale che estrae e raccoglie i dati online indirizzando gli utenti su annunci pubblicitari.
Ma ora, il signor Tim Berners-Lee, 65 anni, crede che il mondo online sia andato fuori strada. Troppo potere e troppi dati personali, dice, risiedono presso i giganti della tecnologia come Google e Facebook – “silos” è il termine generico che predilige, invece di riferirsi alle società per nome. Alimentati da enormi quantità di dati, afferma, sono diventati piattaforme di sorveglianza e custodi dell’innovazione.
New York Times – He Created the Web. Now He’s Out to Remake the Digital World.
Europa e Stati Uniti si sono già mossi in tale direzione, contro lo strapotere cerscente delle Big Tech, ma i piani di Berners di dirigono verso un obiettivo più facile, ovvero quello di ridare alle persone il potere sul controllo dei propri dati. Non è solo un’idea perchè Berners ha la tecnologia per portare a termine il pinao e una start-up che persegue questo obiettivo. Riuscirà nei suoi intenti? Potrà ricreare il mondo digitale?
Intanto le grandi aziende tecnologiche dovranno sottostare a norme più rigide sulla privacy, compresi sia Google che Facebook che sono stati colpiti da cause antirtust.
Tim Berners e la sovranità dei dati su Internet
Quelle di Berners-Lee non sono solo idee: l’ideatore del World Wide Web sta costruendo infatti la tecnologia giusta per sostenere il piano sulla sovranità dei dati. La sua società si chiama Inrupt, la cui visione è “Cambiando il modo in cui le persone si connettono con i loro dati cambia tutto”.
Inrupt vuole qundi creare una rete di vantaggi condivisi per tutti, con una tecnologia che offra alle persone il controllo di propri dati e alle organizzazioni nuove opportunità per creare valore per i suoi utenti e cleinti, in un mercato aperto che si dirige verso l’innovazione.
Il nuovo sistema si chiamerà “Pod” – degli archivi di dati pesonali online – che funzionerebbe come una cassaforte over le persone mantegno il controllo dei dati e soprattutto la proprietà. Le azende in questo modo potrebbero chiedere l’accesso in cambio di determinati servizi.
I cyber attacchi del 2020 – afferma la società israeliana di cyber security Odix – hanno fatto comprendere che nessun settore è al sicuro e il 2021 sarà l’anno dell’ascesa delle reti internazionali di hacker.
Infatti, mentre molti considerano gli hacker come lupi solitari o piccole reti di cyber criminali, i dati recenti suggeriscono che gli attori statali stanno assumendo sempre più un ruolo di primo piano nella guerra informatica.
30 Gennaio 2020: attacco a Este Lauder, 440 milioni di record interni esposti a causa di errori di sicurezza del middleware
22 Gennaio 2020: Microsoft esposti sino a 250 milioni di record del servizio clienti (Server Elasticsearch Microsoft)
Gennaio 2020 Pakistan: nel tentativo di ottenere enormi profitti dall’attacco a 44 milioni di “utenti mobile” pakistani, i criminali informatici hanno tentato di vendere un pacchetto contenente 115 milioni di record ad un prezzo di $ 2,1 milioni in bitcoin.
Febbraio 2020 MgmStudios: una cache di 10,6 milioni di dati degli ospiti è stata offerta in download gratuito su un forum di hacking
Dicembre 2020: SolarWinds e Fire Eye. Si tratta dell’hacking di grande impatto, che ha plasmato in modo drammatico la percezione degli attacchi di malware nel 2020 e ceh cambieranno quelle a venire.
Cyber attacchi 2021: l’hacking di stato cresce e diversifica le tattiche
L’hacking sponsorizzato dallo stato infatti cresce e diversifica le tattiche.
“L’hackingsponsorizzatodallostato e lo spyware sono fondamentalmente diventati mercificati”, afferma Cooper Quintin, ricercatore di sicurezza alla Electronic Frontier Foundation a CyberScoop. “C’è un settore per questo adesso”.
Il network di hacker di stato rappresenta un rischio mai visto prima, sia per gli individui e le aziende. Spinti tanto da motivazioni politiche quanto economiche, gli attacchi informatici sponsorizzati dallo stato possono causare devastazione alle infrastrutture e ai dati critici. Oggi i criminali informatici prendono di mira l’infrastruttura medica per dirottare i dati del vaccino Covid-19 o contaminare le riserve idriche nazionali con effetti potenzialmente disastrosi.
Con l’evolversi della tecnologia i cyber criminali hanno una leva aggiuntiva nei loro attacchi per farsi pagare il riscatto: gli attacchi all’integrità dei dati nel ransomware. Gli attacchi ransoware nel 2020 sono diventati sempre più agressivi e numerosi, ma i pericoli non sono destinati a diminuire.
Il disruptionware è un malware progettato per sospendere la produttività aziendale compromettendo la disponibilità, l’integrità e la confidenzialità dei dati, dei sistemi e delle reti
Disruptionware, minaccia emergente per le infrastrutture critiche: cos’è, come difendersi
Le nuove tendenze dell’attacco seguono due linee:
1 – Se l’azienda attaccata decide di non pagare il riscatto i suoi dati potrebbero subire delle discrepanze, danneggiando i loro servizi o ancora peggio utilizzare dei dati che potrebbero generare errori se il malinrtenzionato ha agito sui backup.
2 – Se l’azienda decidesse invece di pagare per recuperare i propri dati, gli errori immessi potrebbero esser il cavallo di Troia per chiedere ulteriori riscatti e pagamenti.
Questo darebbbe il via a danni reputazionali di grandi dimensioni che diventerebbero semplicemente irrecuperabili. Questa è la nuova tendenza del Ransomware 3.0.
Ransomware 3.0: integrità di dati aspetto più critico
Andrew Rose, CISO di EMEA esprime al riguardo le proprie preoccupazione, in un articolo su ITProportal.
Chiedi a qualsiasi CISO cosa li tiene svegli di notte e la risposta è destinata ad essere: il ransomware. Un “collaudato produttore di denaro” per i criminali informatici, il ransomware può essere devastante per la tua azienda: può spazzare via i sistemi operativi principali; può costarti milioni di dollari da cui riprenderti; può comportare una flessione delle scorte e la perdita di posti di lavoro; e dovrebbe essere del tutto evitabile.
Andrew Rose, CISO Emea.
Con i nuovi sviluppi legati al ransomware le operazioni di un’organizzazione o azienda vengono sospese con la compromissione della triade studiata ed elaborata dalla CIA: disponibilità,’integrità e confidenzialità dei sistemi, delle reti e dei dati.
Nella triade, che include anche disponibilità e riservatezza, l’integrità dei dati è l’aspetto più critico, il sistema daneggiato inizia a fornire decisioni sbagliate che pssono creare problemi di sicurezza, come ad esempio la priorità o la velocità dei treni.
Le infrastrutture critiche sono divenute fortemente vulnerabili a causa di questi attacchi. Secondo l’FBI, gli ospedali e le istituzioni sanitarie sono i target principali dei disruptionware. Nello specifico, poi, molte di queste istituzioni non sono dotate di un alto livello di sicurezza informatica e, soprattutto, non possono permettersi il lusso di perdere del tempo che è fondamentale nel salvare vite umane.
Disruptionware, minaccia emergente per le infrastrutture critiche: cos’è, come difendersi
Quale è il futuro per la CyberSecurity? La sicurezza informatica è un settore chiave proprio dei nostri tempi. Mentre infatti in tutto il mondo la criminalità informatica è in aumento, si cerca di estendere la ricerca e lo studio ad aree più ampie come i conflitti internazionali, l’influenza e il comportamento cibernetico, il diritto informatico e la tecnologia finanziaria digitale.
E’ guerra agli hacker e in materia di Difesa e Sicurezza la Cyber Security diventa sempre di più un’arma strategica. Le sfide che ha imposto la pandemia di Covid a livello informatico non sono poche. Le analisi di Leonardo Ex Finmeccanica, durante i primi mesi dell’anno, hanno evidenziato due fenomeni principali relativi alla situazione durante la pandemia:
Amlpliamento della superficie degli attacchiinformatici con un maggior numero di persone collegata da remoto attravverso connessioni non protette per non parlare delle connessioni mobile.
Il tema Coronavirus — attraverso tutte le sue parolechiave — è stato utlizzato in un contensto di nuovi attacchi verso quelle strutture che sono state impegnate nel garantire servizi essenziali come il settore sanitario.
Andrea Biraghi Leonardo CyberSecurity: Covid , smart working e impennata di minacce cyber
Possiamo preveder con largo anticipo quale sarà la prossima minaccia?
Tuttavia il futuro della Cyber Security è ancora difficile da prevedere: il settore è in conitnua evoluzione, proprio in risposta ai comportamenti mutevoli dei criminali informatici e ai nuovi attacchi. Diventa fondamentale però anticipare.
C’è Spazio x Le Interviste – Andrea Biraghi Leonardo
Il numero di hack ransomware globali è aumentato di quasi il 25% tra il 2018 e il 2019, spingendo gli sviluppatori e le aziende di sicurezza informatica a creare nuovi software per contrastare la tendenza.
Futuro della Cyber Security: quali sono le future previsioni?
Vi è una serie di fattori da tenere in considerazione, primi tra tutti l’intelligenza artificiale, che negli ultimi anni ha sviluppato algoritmi che automatizzano le attività sui dati e in grado di prendere decisoni decisamente più veloci dell’uomo. Tuttavia gli stessi sistemi diventeranno un obiettivo importante per gli hacker e i loro attacchi dovreanno essere doppiamente contrastati.
I sistemi lgeacy sollevano ancora non ben poche preoccupazioni: questi sistemi – che continuano ad essere utilizzati – sono oggi obsoleti per gli standard tecnologici, ma continuano ad essere utilizzati. La preoccupazione principale inoltre è rivolta all’elemento umano.
Inoltre l’industria della sicurezza informatica si sta concentrando anche sulle minacce alla guerra informatica: per questo diventa oggi essenziale sviluppare nuovi talenti da avviare nel settore della sicurezza, dove al momento il settore soffre di una grave carenza.
Quale è il punto di connessione tra Covid19 e sicurezzainformatica?
Paura e perdita di privacy sono i primi elementi che li accomunano, nella necessità d proteggere se stessi e gli altri e nell’affrontare sfide per garantire la sicurezza di tutte le parti interessate.
Allo stesso modo il settore della cyber security ha imparato grandi lezioni della pandemia: tra queste la flessibilità verso le sfide tecnologiche. I cambiamenti infatti, apportarti dall’emergenza sanitaria globale, hanno esarcerbato le vulnerabilità dell’economia globale.
Il Covid – come la sicurezza informatica – è diventata una sfida strategica dell’Europa da una parte e l’intelligence mondiale per innalzare la difesa anche su reti ed infrastrutture.
I cambiamenti apportati dalla pandemia globale COVID 19 stanno esacerbando infatti le vulnerabilità nell’economia globale, tra cui il rischio di paralizzare gli attacchi informatici contro infrastrutture critiche come la rete elettrica.
Il progetto SPARTA finanziato dall’UE ha recentemente lanciato una serie speciale di podcast in tre parti che esplora come covid-19 e sicurezza informatica si influenzano a vicenda e le sfide coinvolte nel garantire la sicurezza di tutte le parti interessate.
Covid e Sicurezza Informatica: il virus corre in rete
Durante la pandemia di Covid si è assistito, e ancora il fenomeno non si ferma, ad un’enorme impennata della criminalità informatica: Il blocco e il distanziamento sociale hanno reso necessario che le persone comunichino nello spazio digitale piuttosto che fisico.
Inoltre i criminali ne approfittano per sfruttare la crisi a proprio beneficio: si tratta però di minacce invisibili che devono essere affrontate aumentando la resilienza di infrastrutture e strutture più a rischio.
A rischio i datisensibili delle pubbliche amministrazioni, delle infrastrutture e delle banche e per ultimo ma non meno importante delle strutturesanitarie. Gli attacchi a queste ultime infatti riescono a bypassare i controlli di sicurezza dei firewall, così da avere facile accesso ai dati sensibili archiviati sui server Web.
Andrea Biraghi – Cyber Attacchi Covid 19: Strutture Sanitarie a rischio
Tra gli utlimi attacchi vi sono quelli di hacker di stato che mirano ai vaccini COVID-19: utlima notizia è quella legata al furto e alla trapelazione di documenti riservati della case farmaceutiche Pfizer e BioNTech sulla Dark Web. A scoprirlo è stata la società di sicurezza informatica Yariz .
Inoltre l’attacco contro l’Agenzia europea per i medicinali (EMA) – che è stato rivelato per la prima volta il mese scorso – ha fatto stabilire ora che coloro che sono dietro l’hack per rubare i dati sul vaccino Covid hanno ottenuto l’accesso alle informazioni sui farmaci coronavirus.
Leonardo e Tempest: Italia, Regno Unito e Svezia hanno avviato l’accordo Future Combat Air System Cooperation MoU (Memorandum of Understanding): il memorandum è stato siglato il 21 Dicembre e detta i principi su cui si fonderà la “collaborazione paritaria” su un sistema aereo avanzato – tecnologie aeronautiche di Quinta generazione – in sostituzione dell’Eurofighter.
Il quotidiano La Stampa – intanto – ha svelato cosa si cela dietro l’accordo a cui l’Italia ha aderito e il ruolo di Leonardo Finemeccanica sul progetto del caccia Tempest del Regno Unito, un programma tra quelli priritari della Difesa.
Le tre industrie nazionali comprendono: le società di difesa di Regno Unito (BAE Systems, Leonardo UK, Rolls Royce e MBDA UK), Italia (Leonardo Italia, Elettronica, Avio Aero e MBDA Italia) e Svezia (Saab e GKN Aerospace Sweden)
Se l’accordo – Future Combat Air System Cooperation MoU – certifica la collaborazione tra i tre paesi, disciplinandone i principi generali, stabilisce anche tutte le attività legate alla ricerca, allo sviluppo e come riporta Aviation-Report il joint concepting necessarie ai governi per operare la scelta dell’acquisizione di un sistema aereo avanzato in sostituzione dell’Eurofighter.
Cosa seguirà all’accordo? All’accordo seguiranno le fasi du Full Development e i Project Arrangement.
L’Italia potrà quindi partecipare a tutte le fasi dell’intero sistema sin dal suo inizio potendo quindi inserire i requisiti operativi delle forze aeree e determinare fin da subito il ruolo dell’industria.
Si aggiunge, in una nota che “l’Italia ritiene auspicabile l’opportunità di valutare nel tempo una possibile convergenza dei due programmi” Tempest e il concorrente franco-tedesco-spagnolo Fcas”. Quindi potrebbe essere possibile una convergenza tra i programmi Tempest e FCAS/SCAF?
questa ipotetica convergenza ci sembra molto improbabile per svariati motivi tra i quali ad esempio l’uscita del Regno Unito dall’Unione Europea. L’unica variabile potrebbe essere la tempistica del fielding dei velivoli. Ad oggi il FCAS “europeo” ci sembra viaggiare più velocemente del Tempest, sempre secondo le notizie rilasciate dai principali partner industriali Airbus, Dassault Aviation e Indra.
Leonardo Tempest: le tecnologie aeronautiche che valorizzareanno l’industria nazionale
Difesa e Sicurezza evidenzia come il programma Tempest apporterà benefici all’industria nazionale e quindi “potrà riversare i propri effetti benefici anche sull’aspetto occupazionale nel settore dell’industria della Difesa, nei Centri di Ricerca e nelle Università”.
Sicureamente il programma rappresenta un’opportunità strategica che in futuro può garantirà significativi sviluppi per la filiera italiana.
L’attaccoSolarWinds desta allarme anche in Italia: come si legge su Key4Bitz, il Nucleo di Sicurezza Cibernetica si è riunito “per valutare ogni possibile impatto della campagna di attacchi informatici condotti attraverso la compromissione della piattaforma SolarWinds Orion anche sulle reti e sui sistemi nazionali”.
In realtà l’allarme – di enti pubblici e privati – è attualmente in tutto il mondo: il gruppo APT29 infatti riesce a piazzare le sue backdoors nel sistema della società statunitense per spiare poi gli enti statali che utlizzano i suoi servizi. Così anche l’autorità di regolamentazione della privacy dei dati del Regno Unito ha avvisato le organizzazioni sotto il suo controllo che dovrebbero “controllare immediatamente” se sono state colpite dall’hack di SolarWinds.
Valutare l’impatto non sarà semplice: ci vorranno anni – ammette Bruce Schneier, ricercatore di sicurezza informatica – per scoprire dove l’agenzia russa di spionaggio si penetrata e sopratutto dove ha ancora accesso.
Sulla lista dei principali sospettati ci sarebbe il nome del gruppo noto come Cozy Bear o APT29, sponsorizzato dal governo moscovita. Lo stesso gruppo, collegato in vari modi all’FSB nazionale russo e alle agenzie SVR straniere, è stato accusato dall’agenzia britannica NCSC di aver preso di mira i laboratori di ricerca sui farmaci nel Regno Unito, negli Stati Uniti e in Canada a luglio. Il suo obiettivo: quello di “rubare informazioni e proprietà intellettuale relative allo sviluppo e al test dei vaccini Covid-19“.
Andrea Biraghi – Attacco informatico agli USA? Colpite le agenzie federali e i Dipartimenti del Tesoro e del Commercio
Attacco Solar Winds: i consigli del CSIRT Italia
Intanto la società di sicurezza informatica di Solarwinds Orion ha fatto rischiesta ai clienti di effettuare un immediato aggiornamento alle versioni più recenti dei suoi servizi e piattaforma.
Il CSIRT Italia ha dedicato una pagina a riguardo con la descrizione e i potenziali impatti dell’attacco, avvisando del rischio elevato che si corre. Consigliainfatti che fino a quando non usciranno gli aggiornamenti bisognerebbe “disconnettere i sistemi su cui è installato il prodotto fino alla verifica degli aggiornamenti rilasciati dalla società“. Qundi viene caldamente sconsigliato l’utlizzo di piattaforme obsolete iniziando al più presto un’analisi delle attività sospette e possibili azioni di mitigazione.
Leggi anche: Gli Hacker di Stato e gruppi ransomware raffinano le tattiche per infliggere più danni nel 2021
EuropaUSAcybersecurity: si fa strada una nuova agenda transatlantica per il cambiamento globale. Da un rapporto di interessi condivisi si reputa indispensabile una cooperazione globale per il 21° secolo.
Il documento A new EU-US agenda for global changesottolina: sia che si tratti di salute, sicurezza, clima, commercio e tecnologia, sia che si tratti di un ordine multilaterale basato su regole.
Insieme, l’Europa e gli Stati Uniti hanno contribuito nel tempo a progettare e costruire il sistema multilaterale basato su regole per affrontare le sfide globali e i legami transatlantici sono un elemento vitale per la società, l’identità, l’economia e la sicurezza.
I nuovi prinicipi si basano sulla cooperazione per ottenere risultati su priorità strategiche, rispettando i valori comuni di equità, apertura e concorrenza, anche in caso di differenze bilaterali.
Una nuova agenda UE-USA per il cambiamento globale Secondo un documento ottenuto dal Financial Times, la Ue sta cercando una nuova cooperazione con gli Usa dopo la politica di isolamento perseguita da Trump. Un approccio unitario è infatti fondamentale soprattutto sul fronte della cyber security
I valori condivisi di Europa e USA, tra cui quelli realtivi alla dignità umana, diritti individuali e democratici li rendono partner naturali per agire e affrontare le sfide dei gradi cambiamenti tecnologici in corso e quelli relativi alla governancedigitale.
La collaborazione in materia di Cyber Security riguarderà un’agenda tecnologica congiunta sulle sfide comuni che riguardano importanti temi come infrastrutture critiche, come 5G, 6G o asset di sicurezza informatica, che sono essenziali per la nostra sicurezza, sovranità e prosperità, ma anche dati, tecnologie e il ruolo delle piattaforme online.
Si prospetta così na più ampia cooperazione sulla sicurezza della catena di approvvigionamento digitale realizzata attraverso valutazioni oggettive basate sul rischio. L’interesse comune è anche in una cooperazione in materia di sicurezza informatica 2021: un coordinamento – afferma il documento di proposta – che potrebbe anche includere possibili misure restrittive nei confronti di autori di attacchi attribuiti da paesi terzi. Inoltre si parla anche di un fronte comune nel campo dell’Intelligenza Artificiale sulla base di un approccio incentrato sull’uomo e questioni come il riconoscimento facciale.
CyberSecurity2021: Hacking di Stato, vulnerabilità di rete e manipolazione dei social media: ecco un piccolo panorama di ciò che dovremo sfidare nell’anno a venire. Quali le sfide e priorità?
Nel panorama delle tendenze 2021 intanto emergono alcuni fattori destinati forse a divenire delle priorità già nei prossimi mesi. Tra queste la sicurezza dei dispositivi Iot (Internet of Things), un numero crescente di attacchi che sfrutteranno l’Intelligenza Artificiale (AI) e il numero di attacchi sempre in aumento da parte di hacker sponsorizzati dallo Stato e il successivo aumento di spionaggio informatico.
Andrea Biraghi, Cyber Security: le sfide e le priorità del 2021
Le nuove sfide sono già sotto ai nostri occhi, soprattuto ultimente l’hacking di stato infatti cresce sempre pù divesrificando le proprie tattiche e fare più danni nell’anno a venire. Secondo il rapporto Cyber Threatscape Report 2020 di Accenture gli hacker di stato e i gruppi criminali ransomware stanno raffinando le loro tattiche per infliggere ancora più danni. Nel rapporto vengono rivelate le minacce attuali nel panorama Cyber.
Durante l’utlimo evento di CyberSecure, Ben Buchanan, direttore del Cyber AI Project, Georgetown University Center for Security and Emerging Technology, ha affermato che l’hacking dello Stato nazionale è pronto a raggiungere un livello completamente nuovo.
Basti pensare solo le agenzie del farmaco sotto attacco in questo momento: l’Ema (Agenzia Europea del Farmaco) è stata l’obiettivo di un attacco informatico, proprio quando giorni prima l’Interpol aveva lanciato un allarme su possibili furti e contraffazioni del vaccino anti-Covid.
Cybersecurity 2021: disinformazione e riciclaggio
E proprio in un momento in cui il mondo ha un disperato bisogno di notizie affidabili e provenienti da fonte certa i social media continueranno ad essere un canale solido per le campagne di disinformazione. Ma non solo: l’aumento dell’uso di scambi di monete digitali e l’ascesa di criptovalute private come Monero hanno complicato la capacità delle forze dell’ordine e di aziende come Chainalysis di tracciare il riciclaggio di denaro criminale dopo un attacco ransomware o una violazione.
Tra il “selvaggio west” dei social media, spionaggio internazionale, campagne per la disinformazione e pericoli per le elezioni, il 2021 promette di essere un anno molto impegnativo. E bisogna partire preparati.
La sicurezzadelleinfrastrutturecritiche e la loro protezione dalle minacce del cyber spazio riguarda – da tempo – un delicato tema di ordine nazionale e internazionale.
Inoltre i cambiamenti apportati dalla pandemia globale COVID 19 stanno esacerbando le vulnerabilità nell’economia globale, tra cui il rischio di paralizzare gli attacchi informatici contro infrastrutture critiche come la rete elettrica.
“Tale è la nostra dipendenza dall’elettricità che un blackout prolungato metterebbe a repentaglio i sistemi di trasporto, la fornitura di acqua dolce, le comunicazioni e le banche”.
Michael A. Mullane di Iec e-tech
I cyber criminali attaccano la sicurezza pubblica in tutto il mondo: infrastrutture come centrali elettriche, ferrovie nazionali e sistemi sotterranei locali o altre forme di trasporto pubblico, vengono sempre più prese di mira. E per riassumere, secondo gli esperti Clusit, la nostra società è entrata in una fase di cyber guerriglia permanente, che rischia di minacciare la nostra stessa società digitale.
Ma si tratta solo di un problema tecnologico o riguarda qualcosa di più? No, secondo Malcolm Bailie, Manager Solution Delivery and Projects (APAC) presso Nozomi Networks durante lo IoT Festival 2020: “non si tratta solo di tecnologia, ma anche di persone e processi“.
Sicurezza delle infrastrutture critiche: si tratta anche di persone e processi
La questione sollevata da Bailie riguarda anche i rischi creati da fornitori di tecnologie di terze parti. Ad esempio, nel settore energetico “abbiamo altri fornitori che ora introducono energia solare e altri dispositivi che si ricollegano alle reti di distribuzione tradizionali e ai loro sistemi SCADA. Come possiamo garantire che la sicurezza informatica sia stata applicata in modo appropriato?”.
Bailie parla anche della necessità di avere una tecnologia operativa (OT) e politiche IoT chiare, un programma di sicurezza informatica e della possibilità condividere le conoscenze con altre organizzazioni, tra gli altri passaggi.
Il pasaggio fondamentale sta nel livello di maturità delle organizzazioni delle infrastrutture critiche unite ad una nuova consapevolezza.
We are all interconnected, all of our systems are interconnected…. we are only as strong as our weakest link
Malcolm Bailie, Manager Solution Delivery and Projects (APAC), Nozomi Networks
Le vulnerabilità dei sistemi Scada
La maggior parte delle vulnerabilità rilevate sono infatti insite nella rete dei sistemi di controllo per sfruttare i difetti derivanti, ad esempio, dalle workstation ingegneristiche, dai sistemi di interfaccia uomo-macchina (HMI) e altri dispositivi. Gli Scada, che abbiamo visto necessari per monitorare e controllare da remoto impianti industriali ed infrastrutturali e fungono da controllo di vigilanza: insieme ai sistemi di controllo industriale (ICS) sono componenti fondamentali per il funzionamento di impianti industriali e infrastrutture critiche. Putroppo però molti ICS non sono progettati per resistere agli attacchi informatici e i criminali informatici stanno prendendo di mira questi sistemi con sempre più maggiore intensità.
E’ possibile proteggere la propria privacy e i dati sul web? Si, è possibile, diventando consapevoli delle informazioni che si condividono in rete. la verità, infatti, è che spesso non ci preoccupiamo più di tanto, quando utilizziamo i nostri dati anche quelli più sensibili, credendo giustamente che non avendo nulla da nascondere di male, non sia poi così necessario tutelarci.
Eppure, sapere che la nostra “impronta digitale” potrebbe essere “registrata per sempre” è importante: soprattutto è importante educare in questo le giovani generazioni. Sono infatti loro a correre i pericoli peggiori.
Partendo infatti da una buona educazione informatica si può insegnare ai ragazzi che la loro presenza non è affatto anonima sul Web e che questo ha a che fare con delle responsabilità a partire dalle propri e scelte. In tutto questo i genitori svolgono una importante funzione, quando la propria casa resta il principale luogo di accesso a internet. L’88% dei ragazzi italiani – secondo il report EU Kids Online Italy – usa internet a casa ogni giorno.
Tuttavia, è importante comprendere che durante le nostre attività online lasciamo intenzionalmente una traccia e quelle tracce restano evidenti anche se apparentemente non forniamo alcun dato: questi dati riguardano il nostro indirizzo Ip, tanto per cominciare.
Come gestire privacy e dati sul web: si può svanire completamente?
Ora c’è una linea molto sottile, facilmente spezzata, che separa le nostre identità fisiche e digitali.
ZDNet.com – How to remove yourself from Internet search results and hide your identity
ZDNet ha pubblicato una guida dettagliata per imparare a ridurre la propria improntadigitaleonline e quindi conservare la privacy.
La guida inizia con dei consigli su come proteggere la prorpia attività su Facebook, contro abusi, stalking e bullismo. In questo caso è utile ricordare che possiamo perdere il controllo di qualsiasi dato che viene diffuso online.
Il cyber bullismo è infatti il rischio che fa più soffrire i giovani, oltre al fatto che restano esposti spesso ai contenuti negativi come immagini cruente, discriminazione e via dicendo.
Quando diventa impossibile gestire un accoutn social preso di mira, la cosa da fare subito sarebbe nascondersi, cancellando più contenuti possibile, cambiandone il nome e modificarne le foto. Ricordare quindi che la cosa migliore da fare è tenere separati presenza digitale online e fisica.
Scoprire se le informazioni sono trapelate da qualche data breach
Un servizio da utlizzare per scoprire se i propri dati e la propria privacy è a rischio è HaveIBeenPwned: strumento per scoprire se le informazioni dell’account che ci appartiene sono state compromesse da un data breach.
Il diritto ad essere dimenticati
Il diritto ad essere dimenticati, conosciuto come Diritto all’Oblio, permette ai cittadini europei di richiedere la rimozione delle informazioni dal motore di ricerca di Google, nonché da Blogger e altri prodotti di proprietà di Google correlati.
Covid e sicurezza informatica: cosa abbiamo imparato durante la pandemia?
Mentre i cambiamenti apportati dalla pandemia globale COVID 19 stanno esacerbando le vulnerabilità nell’economia globale, tra cui il rischio di paralizzare gli attacchi informatici contro infrastrutture critiche come la rete elettrica, ci cerca di costruire una nuova agilità aziendale.
Per essere pronti al cambiamento bisogna avere ben presenti le sfide tecnologiche che la società e il “new normal” stanno imponendo: non solo l’Italia, ma molti paesi in Europa, come Francia, Spagna, ma anche Germania, durante l’epidemia di Coronavirus, si sono rivelati impreparati alla nuova sfida. Soprattutto per quanto riguarda il lavoro da remoto e la protezione dei dati.
Costruire una vera agilità aziendale o business agility e imparare a cavalcare l’onda delle opportunità – e delle sfide – post Covid significa puntare al massimo valore di competitività a lungo termine (o più lungamente possibile). Agilità e flessibilità, di cui a lungo parliamo, sono ora i punti di partenza per migliorare le proprie capacità, visioni, la propria innovazione e diventare infine punto di riferimento, di motivazione e ispirazione per i propri impiegati.
L’agilità aziendale riguarda l’evoluzione di valori, comportamenti e capacità: oggi le azeinde che seguono vecchi modelli corrono il rischio di affondare. Se invece le aziende e gli individui che le compongono guardano all’adattamento, alla creatività, all’innovazione e alla resilienza allora, in un momento di incertezza, quale può essere il post dell’epidemia Covid – consente di superare complessità ed incertezze, arrivando a risultati migliori e ad un diverso livello di benessere per tutti.
Come ragiscono nel frattempo i CEO del settore Cybersecurity?
Covid e sicurezza informatica: le lezioni imparate
Forbes chiede quali siano le lezioni più importanti imparate durante la pandemia a 12 CEO Cybersecurity.
Ward Osborne, CEO della Osborne Global Security, uno dei nuovi attori nello spazio della sicurezza da una risposta interessante.
In qualità di CISO per più aziende in questa pandemia, abbiamo assistito a così tanti cambiamenti. C’è stato un caos al limite in molte aziende e il caos porta SEMPRE opportunità. Per i nostri clienti, quelli con cui abbiamo lavorato e sviluppato modelli maturi, basati sul rischio e sulle capacità proprio per questa situazione, stanno prosperando.
Ward Osborne, CEO Osborne Global Security
Ed è proprio questo uno dei grandi insegnamenti: approfittare delle oportunità. Siginifca poter rispondere in modo flessibile alle esigenze dei clienti, adattarsi e adattare il cambiamento in modo produttivo, senza compromettere la sua qualità e soprattutto avere – in modo continuo – un vantaggio competitivo.
Altra risposta interessante è stata quella di Christy Wyatt, CEO di Absolute Software.
C’è stato un momento chiaro per noi in cui abbiamo detto: “Qual è il nostro obiettivo? Qual è la migliore risposta a questo?” E la frase che ne è uscita è stata: “Come possiamo aiutare?” Sapevamo che il nostro obiettivo principale doveva essere aiutare i nostri clienti a risolvere un problema enorme, invece di monetizzare questa opportunità.
Christy Wyatt, CEO di Absolute Software.
Dimostrarsi flessibili alle sfide tecnologiche
Per essere pronti al cambiamento bisogna avere ben presenti le sfide tecnologiche che la società e il “new normal” stanno imponendo: non solo l’Italia, ma molti paesi in Europa, come Francia, Spagna, ma anche Germania, durante l’epidemia di Coronavirus, si sono rivelati impreparati alla nuova sfida. Soprattutto per quanto riguarda il lavoro da remoto e la protezione dei dati.
Inoltre, le organizzazioni pubbliche e private che le uniscono, nello stesso dipartimento, hanno sicuramente dei vantaggi sia in termini di efficienza che di efficacia. Efficienza poichè, dovendo interagire con un “unico team” i processi vengono semplificati, in questo mood la produttività viene semplificata e migliorata. Efficacia perchè le competenze multidisciplinari unite “sotto ad un unico tetto” collaborando sono in grado di affrontare il panorama di vulnerabilità e minacce al meglio.
Leggi su Andrea Biraghi CyberSecurity – Come costruire una vera agilità aziendale
“L’hackingsponsorizzatodallostato e lo spyware sono fondamentalmente diventati mercificati”, afferma Cooper Quintin, ricercatore di sicurezza alla Electronic Frontier Foundation a CyberScoop. “C’è un settore per questo adesso”.
Nel rapporto vengono rivelate le minacce attuali nel panorama Cyber, identificando cosi 5 fattori che stanno influenzando il panorama delle minacce informatiche.
Nuovi strumenti open source sono distribuiti in rete sfruttano i sistemi di posta elettronica e utilizzano l’estorsione online. Il rapporto, esamina le tattiche, le tecniche e le procedure impiegate dai criminali informatici ed hacker sponsorizzati dallo stato negli utlimi 12 mesi per comprendere e prevedere le loro prossime mosse e capire come potrebbero evolversi gli incidenti informatici nel 2021.
I grupppi ransomware, inoltre, stanno distribuendo un arsenale di nuovi strumenti open-source, sfruttando attivamente i sistemi di posta elettronica aziendali e utilizzando l’estorsione online per spaventare le vittime e indurle pagare i riscatti.
L’hacking sponsorizzato dallo stato e i sistemi di sorveglianza
Cooper Quentin afferma inoltre che si rilevano attività di hacking rivolte al malware da paesi i cui prima non ci si sarebbe aspettati: Kazakistan, Libano, Marocco, Etiopia. Secondo Quintin, in questi paesi stessi non non si sono sviluppate capacità di hacking così dal nulla. Dietro ci sarebbe una mercificazione in atto.
“Penso che ci sia un ruolo da svolgere per il governo e per nell’intelligence nel riportare i fatti di quello che sta succedendo a organismi internazionali come le Nazioni Unite per avere una migliore comprensione per agire”
Vine sottolineato infatti che i governi, tra cui Marocco e Arabia Saudita, hanno anche utilizzato strumenti di sorveglianza sviluppati da una società israeliana di sorveglianza del software, NSO Group, per monitorare dissidenti, giornalisti e altri obiettivi. Leggi su CyberScoop – Global cyber community can do more to stop state-sponsored malware, EFF researcher says
Le economie dei governi di tutto il mondo fanno sempre più affidamento su infrastrutture dipendenti dallo spazio; si è quindi aperta una nuova frontiera per la sicurezzainformatica.
Looking for Space Security
Sembra un’epoca passata quando avevamo bisogno di fare riferimento a una mappa cartacea per orientarci in una nuova città o trovare i migliori sentieri escursionistici. Oggi, la maggior parte di noi apre semplicemente Google Maps sul proprio smartphone per trovare la nostra posizione esatta, grazie ai satelliti GPS che orbitano a 20.200 km sopra le nostre teste.
Solo pochi anni fa, la connessione Internet su un aereo era inaudita. Ora possiamo navigare su un volo transatlantico grazie ai satelliti per le comunicazioni a circa 35.000 chilometri di distanza. La maggior parte di noi dà per scontata la tecnologia spaziale nella vita di tutti i giorni.
Con i satelliti che supportano le comunicazioni globali – per non parlare di una serie di funzioni economiche, governative e militari quotidiane – non dovrebbe sorprendere che si tratti anche un potenziale obiettivo per i criminali informatici.
Poiché Internet stesso si estende fino all’ultima frontiera, potenzialmente alle colonie umane su Marte, quando SpaceX o qualche altra agenzia o azienda riuscirà a crearle in un futuro non così lontano, è importante esplorare le più ampie implicazioni della sicurezza informatica nell’era dello spazio. La nostra schiacciante dipendenza dalla tecnologia spaziale ci pone in una posizione precaria.
La sicurezza dei satelliti GPS nello spazio
In settori come i trasporti e la logistica, i dati sulla posizione vengono registrati regolarmente in tempo reale dai satelliti GPS e inviati ai back office consentendo ai team di monitorare i conducenti e le risorse. Le organizzazioni che hanno avamposti remoti o navi oceaniche ovviamente non possono connettersi online tramite una rete mobile o via cavo, devono invece utilizzare i satelliti per le comunicazioni. Inoltre, i satelliti memorizzano le informazioni sensibili che raccolgono da soli, che potrebbero includere immagini di installazioni militari riservate o infrastrutture critiche. Tutti questi dati sono obiettivi interessanti per vari tipi di criminali informatici.
Fonte Immagine: Longitude 109 – Looking for space Security, Andrea Biraghi.
La continua proliferazione dell’esplorazione spaziale non farà che aumentare la portata del nostro ambiente connesso. Dato l’elevato valore dei dati memorizzati sui satelliti e altri sistemi spaziali, sono bersagli potenzialmente interessanti per chiunque voglia sfruttare questa situazione per realizzare un profitto illegale. Sebbene risiedere nel vuoto dello spazio profondo li renda meno vulnerabili agli attacchi fisici, i sistemi spaziali sono ancora controllati da computer a terra. Ciò significa che possono essere infettati proprio come qualsiasi altro sistema informatico più vicino a noi. Gli aggressori non devono nemmeno essere hacker provenienti esclusivamente da nazioni che trattano o lavorano con lo “spazio”, così come non hanno nemmeno bisogno di avere accesso fisico diretto ai sistemi di controllo appartenenti a organizzazioni come NASA, ESA o Roscosmos. In un mondo così interconnesso, hanno tempi facili.
Fonte Immagine: Longitude 109 – Looking for space Security, Andrea Biraghi.
Mentre i sistemi di navigazione satellitare come GPS (USA), GLONASS (Russia) e Beidou (Cina) potrebbero non essere gli obiettivi più facili da hackerare, ci sono dozzine di altri proprietari di satelliti per comunicazioni globali che non hanno assolutamente lo stesso livello di protezione. Inoltre, migliaia di altre società affittano la larghezza di banda dai proprietari di satelliti per vendere servizi come TV satellitare, telefono e Internet. Poi ci sono centinaia di milioni di cittadini e aziende in tutto il mondo che li utilizzano. In altre parole, è una superficie di attacco potenziale molto ampia collegata direttamente a Internet.
Secondo Will Roper della US Air Force, ci affidiamo ancora alle procedure di sicurezza informatica degli anni ’90 per proteggere i satelliti orbitali. Questo perché i sistemi basati sullo spazio sono tipicamente costruiti in un ambiente a scatola chiusa o (scusate il gioco di parole) nel vuoto. Il problema è che quasi tutti i sistemi oggi contengono software: la Stazione Spaziale Internazionale è basata sul sistema operativo Linux e il Mars Curiosity Rover esegue il VxWorks altamente specializzato sui suoi computer di bordo.
La criticità di qualsiasi tipo di software è che può contenere bug che i cybercriminali potrebbero tentare di sfruttare. Ad esempio, immagina il tipo di ransomware che i criminali informatici potrebbero chiedere se rilevassero un satellite da 400 milioni di dollari. Per dimostrare il rischio, oltre a sensibilizzare l’opinione pubblica sul loro programma di bug bounty, l’Air Force degli Stati Uniti ha recentemente sfidato gli hacker a tentare di dirottare un satellite in orbita.
La sicurezza nazionale, l’avanzamanto militare e la corsa allo spazio
Come molte tecnologie su cui siamo arrivati a fare affidamento, i sistemi spaziali sono in gran parte il risultato di obiettivi di sicurezza nazionale e avanzamento militare. La corsa allo spazio stessa era una competizione tra gli Stati Uniti e l’Unione Sovietica. Fortunatamente, le nazioni si sono unite per vietare le armi di distruzione di massa dallo spazio e promuovere l’uso pacifico dell’ultima frontiera.
Sfortunatamente, le più grandi potenze del mondo non stanno facendo un buon lavoro nel mantenere lo spazio un ambiente pacifico per tutti e hanno iniziato a fare pressione l’una sull’altra testando nuove capacità controverse. In effetti, i satelliti da ricognizione sono stati dispiegati nello spazio dagli anni ’50 e tutte le superpotenze del mondo ora dipendono da loro per prendere decisioni militari strategiche. Che si tratti di rilevare lanci di missili o intercettare onde radio vaganti, queste macchine gestiscono regolarmente alcuni dei dati più sensibili di tutti, il tipo di informazioni che potrebbero causare una guerra se finiscono nelle mani sbagliate.
Gli attacchi sponsorizzati dagli stati
Ovviamente, questo aumenta gli incentivi per gli aggressorisponsorizzatidallostato ad hackerare i loro rivali nello stesso modo in cui la commercializzazione dello spazio rende i satelliti per le comunicazioni obiettivi attraenti per i criminali informatici. Gli attacchi sponsorizzati dallo Stato contro le risorse spaziali potrebbero manifestarsi in vari modi: il disturbo del segnale GPS potrebbe rendere inutili i sistemi di guida missilistica. L’accesso a collegamenti satellitari non crittografati potrebbe consentire agli hacker di dirottare le comunicazioni satellitari. Le operazioni civili e militari potrebbero anche essere direttamente influenzate se gli Stati Uniti dovessero disattivare il GPS che è interamente di proprietà del governo degli Stati Uniti mentre viene utilizzato in tutto il mondo.
Galileo: il nuovo sistema di posizionamento
Proprio per far fronte a tale eventualità, nel 2003, l’Europa ha avviato il progetto Galileo, per creare un nuovo sistema di posizionamento. Questo progetto è nato dall’esigenza di evitare il monopolio commerciale statunitense sul servizio di posizionamento, che fino ad allora era l’unico disponibile. Per molto tempo, infatti, gli unici sistemi esistenti furono GPS e GLONASS, la versione russa, ma quest’ultimo rimase a lungo inefficiente. Per questo motivo è stato stabilito in tutto il mondo l’utilizzo esclusivo del servizio di posizionamento americano, in quanto è l’unico disponibile a livello globale.
L’idea nasce, non solo per evitare un monopolio commerciale, ma anche (e soprattutto) per la volontà di essere immuni dalla possibilità che il governo americano possa decidere le sorti del sistema di posizionamento mondiale, visto che gli USA si riservano il diritto di poter diminuire la precisione del servizio o addirittura di disattivarlo completamente. Un evento non solo teorico, ma avvenuto durante la Guerra del Golfo.
Lanciato ufficialmente nel 2003, il progetto europeo Galileo richiedeva un accordo tra l’Unione Europea e l’ESA (Agenzia spaziale europea); a differenza del GPS, il sistema di posizionamento Galileo garantisce la massima accuratezza, affidabilità ed esattezza in ogni momento e continuità di servizio. È rivolto al sistema globale ed è caratterizzato da un’elevata copertura, pensata per un uso non solo militare ma anche prevalentemente civile. Prevede infatti un miglioramento della precisione di posizionamento, riducendo la probabilità di errore, e una pronta risposta ad eventuali emergenze.
Nato molto più tardi rispetto al GPS, era dotato nativamente di sistemi di sicurezza per evitare attacchi informatici e / o jamming. In particolare il Programma Galileo incorpora nella sua base di servizi un servizio di autenticazione dei messaggi di navigazione, che consiste nella firma digitale dei dati di navigazione del servizio aperto (OS), per garantire l’autenticità dei dati, e un servizio di autenticazione commerciale (CAS), che consiste della crittografia di uno dei segnali Galileo per la protezione dagli attacchi di replay del segnale.
Le sfide globali della sicurezza informatica correlate alle tecnologie dello spazio
Questa è una chiara e tangibile dimostrazione di quanto sia grave il rischio per la sicurezza informatica correlato alla tecnologia spaziale. Tornando al contesto più ampio, la sfida più grande per la sicurezza informatica dell’era spaziale è quindi il fatto che così poche organizzazioni, tutte fortemente dipendenti dai finanziamenti di una manciata di governi, alla fine hanno il controllo su tutte le risorse spaziali. Quasi tutte le strutture di lancio del mondo sono di proprietà dei governi di Stati Uniti, Russia, Cina, Francia, Giappone e Corea del Sud. Più in basso nella gerarchia, ci sono altre dozzine di società che possiedono satelliti e molte società che possiedono sistemi di raccolta dati sulla superficie terrestre.
Ciò rappresenta un quadro piuttosto povero per la democratizzazione dei dati delle informazioni: la capacità per gli utenti finali di accedere alle informazioni digitali. Con il potere di garantire l’accesso e la gestione delle risorse digitali nello spazio nelle mani di così pochi, il rischio di attacchi è inferiore, ma tali sistemi sono anche obiettivi di alto valore per gli aggressori sponsorizzati dallo stato.
La sicurezza di dati nello spazio
Teniamo anche conto che le cose stanno gradualmente cambiando con la democratizzazione dello spazio e dei dati. Le società private promettono già di offrire modi più veloci ed economici per accedere allo spazio. Alcune aziende stanno persino lavorando per mettere l’archiviazione dei dati nel cloud dove è più sicuro dalle violazioni dei dati che si basano sull’interazione fisica: nello spazio. Tuttavia, se qualcuno ha accesso digitale, è tutto ciò che serve per compromettere il sistema, anche se risiede a migliaia di miglia di distanza dalla terra.
Allo stesso tempo, è difficile sostenere che lo spazio sia democratico quando è una frontiera esclusiva solo per gli individui, le imprese e i governi più ricchi del mondo.
Le cose cambieranno senza dubbio, ma potremmo dover aspettare qualche secolo prima che accada, nel frattempo assisteremo a una guerra silenziosa tra grandi potenze che sposterà anche la disputa sui dati, che ora è quotidiana qui sulla terra, nello spazio.
AttaccohackerEnel2020: il virus NetWalker è stato infiltrato nella rete aziendale e ha criptato circa5 TeraByte di dati riservati. Non è la prima volta che Enel viene colpita: già a Giugno il colosso energetico era stato preso di mira dal ransomware Ekans o Snake, che ha causato disservizi, per un periodo di tempo limitato, alle attività di customer care.
Nuovi strumenti open source sono distribuiti in rete sfruttano i sistemi di posta elettronica e utilizzano l’estorsione online. Il rapporto, esamina le tattiche, le tecniche e le procedure impiegate dai criminali informatici ed hacker sponsorizzati dallo stato negli utlimi 12 mesi per comprendere e prevedere le loro prossime mosse e capire come potrebbero evolversi gli incidenti informatici nel 2021.
Andrea Biraghi – Gli Hacker di Stato e gruppi ransomware raffinano le tattiche per infliggere più danni nel 2021
Come riporta SecurityAffairs si tratta quindi del secondo attacco ransomware del 2020: questa però il riscatto per avere la chiave di decrittazione è di 14 milioni di dollari, pagamento in Bitcoins. Netwalker è riuscito ad infettare i sistemi della multinazionale energetica e quindi a criptare i dati: la minaccia – se non segue il pagamento – è quella di farli trapelare. Ma i criminali informatici hanno già aggiunto il Gruppo Enel sul proprio sito condivideno i file non crittografati durante l’attacco.
Gli attacchi ransomware stanno diventando più mirati, sofisticati e costosi. La loro frequenza rimane costante anche se le perdite dovute agli attacchi informatici sono aumentate in modo significativo
Attacco ad Enel: un ransomware da 14 milioni di dollari
Attacco hacker Enel 2020: il Netwalker
Qui si seguito la nota sulla rischiesta di riscatto del ransomware NetWalker , condivisa dai ricercatori di sicurezza con BleepingComputer.
BleepingComputer
Nella richiesta di ricsatto era incluso un collegamento ad un URL – http://prnt.sc/ – che mostrava i dati rubati dall’attacco informatico.
Il ransomware NetWalker: l’analisi
I dati raccolti finora indicano che il ransomware Netwalker è stato creato da un gruppo di hacker di lingua russa che pera sotto il soprannome di Circus Spider. Netwalker è è un ceppo di ransomware scoperto a settembre 2019, ma il suo timestamp risale alla fine di agosto.
NetWalker ha iniziato a guadagnare terreno dal marzo del 2020, inizialmente distribuito tramite e-mail spam che inducevano le vittime a cliccare sui collegamenti phishing e ad infettare così i computer nella rete e reaggiungendo tutte le macchine collegate al punto di infezione originale. Chiunque quindi era a rischio, anche gli uenti domestici
Nell’Aprile del 2020 il ransomware ha cambiato approccio: ovvero Circus Spider ha iniziato ad individuare grandi obiettivi come aziende private, ospedali o agenzie governative. Per fare ciò il gruppo criminale ha cercato di ottenere l’accesso manipolando ad esempio i VPN senza patch, le password di protocollo Remote Desktop.
E con i dovuti cambiamenti dopo aver ottenuto l’accesso Netwalker riesce a far terminare tutti i processi Windows in esecusione, crittografando i file ed eliminano i backup.
Si tratta di uno dei più pericolosi ransomware in circolazione e si tratta quindi di una nuova versione di Netwalker scoperta dai ricercatori di TrendMicro .
Secondo le statistiche fornite a ZDNet dal servizio di identificazione ransomware ID-Ransomware, l’attività di NetWalker è aumentata negli ultimi mesi, segno che il suo portale RaaS è un successo tra i cyber criminali.
Secondo il rapporto Cyber Threatscape Report 2020 di Accenture gli hacker di stato e i gruppi criminali ransomware stanno raffinando le loro tattiche per infliggere ancora più danni. Nel rapporto vengono rivelate le minacce attuali nel panorama Cyber.
Cyber Threatscape – Rapporto 2020
Nuovi strumenti open source sono distribuiti in rete sfruttano i sistemi di posta elettronica e utilizzano l’estorsione online. Il rapporto, esamina le tattiche, le tecniche e le procedure impiegate dai criminali informatici ed hacker sponsorizzati dallo stato negli utlimi 12 mesi per comprendere e prevedere le loro prossime mosse e capire come potrebbero evolversi gli incidenti informatici nel 2021.
Gli attori delle minacce stanno impiegando nuovi TTP per aiutare a raggiungere i loro obiettivi di lunga data di sopravvivenza del regime, accelerazione economica, superiorità militare, operazioni di informazione e spionaggio informatico.
Il ransomware è diventato sempre più popolare tra i malintenzionati, poiché il furto di dati aumenta la pressione sulle vittime: tra gli attacchi ransomware rivoluzionari la minaccia Maze5
Hacker di stato e cyber crime: il rapporto Accenture 2020
Il rapporto Accenture è essenzialmente diviso in 5 punti principali e identifica quattro elementi di sicurezza adattiva che possono aiutare: una mentalità sicura, accesso sicuro alla rete, ambienti di lavoro protetti e collaborazione flessibile e sicura. La vera necessità è quella poi di comprendere le sfide per aumentare la resilienza.
Identifica cosi 5 fattori che stanno influenzando il panorama delle minacce informatiche:
1 – La trasformazione digitale e la pandemia di Covid hanno accelerato il bisogno di una sicurezza adattiva, ove prevenire è meglio che curare.
Le problematiche relative al lavoro da remoto, ad esempio, hanno messo alla prova il monitoraggio della sicurezza delle imprese, dalle piattaforme ai dispositivi. In questo caso si è rilevato a un aumento delle opportunità di ingegneria sociale. I gruppi di cyber-spionaggio e i criminali informatici hanno tentato e tentano di trarre vantaggio da dipendenti vulnerabili che non hanno familiarità con la gestione dei loro ambienti tecnologici.
Le interruzioni mondiali, economiche e aziendali hanno posto enormi sfide finanziarie alle imprese. Tali pressioni fluiscono inevitabilmente verso le operazioni di sicurezza delle informazioni per mantenere o aumentare la copertura sotto vincoli sempre più rigidi.
2 – L’economia è sempre quindi più vulnerabile e i criminali informatici continueranno a lavorare per monetizzare l’accesso ai dati o alle reti, forse in modo più frequente. I gruppi del cybercrime stanno adottando nuove tecniche mirando ai sistemi che supportano Microsoft Exchange7 e OWA, come i server di accesso client (CAS).
Tutto ciò corrisponde ad una sfida per la cybersecurity, oltre al fatto che gli hacker di stato sono sempre più difficili da rilevare , identificare e minitorare. Accenture afferma che i CISO dovrebbero impegnarsi con i leader aziendali per pianificare, prepararsi e fare pratica per una maggiore resilienza della sicurezza informatica, supportati dalle giuste risorse e investimenti.
3 – I cyber attacchi sono più complicati da rilevare, riescono a nascondere bene le loro tracce e sempre più organizzati, tendendo a compromettere le supply chain delle loro vittime. I gruppi di minacce riconosciuti hanno preso di mira organizzazioni governative e società, portando al furto di informazioni. Queste attività sono avvenute in Europa, Nord America e America Latina, e c’è stata un’attività significativa rivolta alle economie emergenti e all’India.
4 – Il ransomware diviene sempre più un modello di business redditizio e scalabile. Il riscatto e l’approcio “nome e vergogna” aumentano la pressione sulle vittime affinchè paghino. Vd Maze Ransomware.
5 – I sistemi e i dispositivi sono esposti a sempre maggiore connettività: i dispostivi Cloud sono sempre più diffusi come le minacce OT (Opreational Technology) che richiedono livelli di sicurezza adeguati.
La decisione di escludere Huawei dalle forniture del 5G per ragioni di sicurezza è stata formalizzata a Luglio dal Consiglio di Sicurezza nazionale sotto la presidenza del premier Boris Johnson. ha allineato la posizione dell’Inghilterra con quella degli USA.
Le motivazioni sono riconducibili alla sicurezza nazionale, ritendendo Huawei un fornitore ad altro rischio.
Dal rapporto del Comitato di Difesa UK si comprendono meglio le motivazioni per le quali si è scelto e stabilito che Huawei verrà rimossa dal Regno Unito entro il 2027. La sicurezza e le qualità tecniche sono basse oltre al fatto che i suoi processi non sono del tutto chiari: tutto ciò si va a sommare al fatto che molti attacchi informatici sponsorizzati dagli stati arrivano da Russia e Cina, che mirano a rubare segreti di stato e dati individuali se non con gli intenti peggiori far crollare le reti.
Intanto SecurityAffairs avvisa che “Boris Johnson ha incaricato il generale Sanders di migliorare le capacità cibernetiche sia difensive che offensive per garantire che la Gran Bretagna sia una potenza informatica leader a tutto campo. Non si eslcude così che si crei una National Cyber Force, una speciale divisione informatica militare che lavorerà con le agenzie di intelligence locali come fa il Cyber Command statunitense negli Stati Uniti.
Sicurezza 5G: il rapporto della Defense Commettee
Il 5G trasformerà le vite in tutto il mondo facilitando l’Internet of Things: anche se la sua tecnologia è indubbiamente positiva la sicurezza dei cittadini sarà esposta a rischi maggiori rappresentati da “spionaggio, sabotaggio o guasto del sistema”.
Nel rapporto della Defense Commettee UK, si pone l’attenzione sugli attacchi informatici sponsorizzati dagli stati, in particolare Russia e Cina, che hanno impatto inoltre sulle reti 5G. Viene premesso che il governo inglese ha cercato di fare un bilancio obiettivo delle proprio considerazioni tecniche, in persenza delle pressioni degli alleati FIVE Eye, USA e Australia che avevano intrepreseo nel frattempo una politica di contrasto. Inoltre, in vista della decisione sulla rimozione di Huawei, il governo cinese ha esercitato pressioni a sua volta per mantenere la presenza di Huawei nella infrastruttura 5G del Regno Unito, attraverso “minacce sia nascoste che palesi”, tra queste il volere ritirarsi da alcune aree dell’economia britannica, comprese le infrastrutture critiche come il nucleare.
Nell’importanza di cercare di ovviare tali attacchi, garantire la resposnabilità dei colpevoli e quindi contrastarli, nell’attuale mancanza di regole globali che li regolamentino, ci si chiede perchè la sicurezza 5G non stia implementano una capacità di attacco informatico per scoraggiare gli aggressori.
Sappiamo che il Regno Unito ha uno dei regimi di sicurezza informatica più attivi ed efficaci al mondo e, dalle nostre conversazioni pubbliche e private con il governo, eravamo fiduciosi che GCHQ e NCSC fossero in grado di gestire in modo appropriato qualsiasi aumento del rischio posto da la presenza di Huawei o di altri fornitori ad alto rischio nel 5G del Regno Unito.
La presenza di apparecchiature Huawei nella rete UK ha aumentato il rischio rappresentato dagli attacchi: la commissione non ha dubbi. A questo si aggiunge la bassa qualità dei prodotti e un approccio poco chiaro allo sviluppo del software che comporta un aumento del rischio per gli operatori, le reti del Regno Unito, per la sicurezza delle persone e per il governo.
E’ evidente che la Cina sia molto forte nelle telecomunicazioni e riguardo a questo vi è la proposta di formare un’alleanza di democrazie D10 per fornire alternative alla tecnologia cinese, cercando di compiere progressi il più rapidamente possibile nella formulazione di una politica 5G comune.
I rischi e le minacce del 5G
Il rapporto fa un breve punto anche dei rischi per la sicurezza della tecnologia 5G: le minacce sono in continua evoluzione. A confermare i rischi è stata l’agenzia NCNC, confermando l’aumento esponenziale della superficie per i potenziali attacchi, comprese le potenziali interruzioni o guasti di servizio:
L’interruzione delle utility gestite dal 5G come l’energia elettrica in un periodo particolarmente freddo comporterebbe la perdita di vite umane. Allo stesso modo, un impatto sulle comunicazioni di rete per i primi soccorritori potrebbe causare gravi disordini sociali
Steven Conlon
Oggetto essenziale di questo rapporto è poi l’incapacità degli UK di procurarsi componenti end-to-end affidabili per i quali viene fatto affidamento su un numero limitato di fornitori.
Convergenza tra sicurezzainformatica e sicurezza fisica significa unire due entità che se lasciate separate diventano oggi deboli mettendo a rischio ognuno di noi.
Inoltre, le organizzazioni pubbliche e private che le uniscono, nello stesso dipartimento, hanno sicuramente dei vantaggi sia in termini di efficienza che di efficacia. Efficienza poichè, dovendo interagire con un “unico team” i processi vengono semplificati, in questo mood la produttività viene semplificata e migliorata. Efficacia perchè le competenze multidisciplinari unite “sotto ad un unico tetto” collaborando sono in grado di affrontare il panorama di vulnerabilità e minacce al meglio.
Security Convergence
Una strategia di sicurezza completa nel mondo contemporaneo, richiede soluzioni che tengano conto sia della sicurezza fisica che di quella informatica. Pensando alla sicurezza cyber-fisica in modo unificato, oggi i leader possono e devono investire in una tecnologia digitale avanzata che renda la loro rete e le loro strutture più sicure.
Articolo tratto da “Preparing for physicaland cybersecurityconvergence“, Issue 8, scritto da Andrea Biraghi per Longitude, Ottobre 2020.
Convergenza tra sicurezza informatica e fisica: Andrea Biraghi per Longitude
In questo scenario ricco di tecnologia, le componenti del mondo reale interagiscono con il cyberspazio attraverso sensori, computer, sistemi di comunicazione, portandoci rapidamente verso quella che è stata chiamata la convergenza Cyber-Physical World (CPW).
Flussi di informazioni vengono scambiati continuamente tra il mondo fisico e quello cibernetico, adattando questo mondo convergente al comportamento umano e alle dinamiche sociali. Alla fine, gli esseri umani rimangono al centro di questo mondo, poiché le informazioni relative al contesto in cui operano sono l’elemento chiave nell’adattamento delle applicazioni e dei servizi CPW. D’altra parte, un’ondata di reti e strutture sociali (umane) sono oggi protagoniste di un nuovo modo di comunicare e di paradigmi informatici. Per quanto riguarda questo mondo illimitato e gli scenari collegati, è importante approfondire alcuni dei problemi, delle sfide e delle opportunità di sicurezza, perché la sicurezza fisica è sempre più collegata alla sicurezza informatica.
Prepararsi alla convergenza tra sicurezza informatica e fisica
Internet of Things (IoT)
Entro il 2020 ci saranno più di 230 miliardi di oggetti intelligenti attivi (noti come IoT – Internet of Things), 24,4 miliardi dei quali saranno direttamente collegati alla rete; ognuno di noi è già completamente immerso in un panorama tecnologico da cui dipendiamo per tante elementari azioni durante la giornata: ad esempio il sistema di navigazione dell’auto per spostarsi, il cellulare o le applicazioni per ordinare lo shopping online e così via.
Tuttavia, le persone difficilmente si fermano a riflettere sul fatto che ci sono anche molti altri elementi della loro vita che dipendono assolutamente dal mondo cibernetico. Giusto per fare qualche esempio nel mondo dei trasporti, quasi tutte le metropolitane di nuova costruzione, i treni ad alta velocità, gli atterraggi di aeromobili in condizioni di scarsa visibilità, sono tutti governati da computer che gestiscono i sistemi a cui sono dedicati in maniera assolutamente “ umano meno ”. Le metropolitane sono quindi “driver less”, il macchinista è presente solo per gestire le emergenze, negli aeroplani l’atterraggio con nebbia è gestito da un sistema automatico a terra che dialoga con i sistemi di controllo dell’aereo permettendogli di atterrare anche senza vedendo la pista.
Possiamo quindi facilmente comprendere la difficile correlazione tra sicurezza informatica e sicurezza fisica dei passeggeri. Se qualcuno avesse la capacità di violare uno qualsiasi di questi sistemi, potrebbe causare danni alla vita umana, cortocircuitando così istantaneamente il mondo cibernetico e fisico. È solo un primo esempio di come le due realtà siano ora collassate in un nuovo unico universo.
Cyber Security: convergenza OT e IT
Spostiamo la nostra attenzione sull’assistenza sanitaria, che grazie ai progressi tecnologici, ci ha permesso di aumentare l’aspettativa di vita media in tutto il mondo, non solo grazie ai farmaci ma anche ai dispositivi elettronici.
Pacemaker e defibrillatori impiantati che informano i medici in tempo reale sul comportamento del tuo cuore e che reagiscono ad ogni problema stimolando il muscolo a ripartire o cambiare ritmo, tutti questi dispositivi comunicano continuamente dall’interno del tuo corpo con una piccola scatola all’esterno, in mettiti in contatto con il medico che ti sta curando.
Questi dispositivi medici in rete e altre tecnologie mobili per la salute (mHealth) sono un’arma a doppio taglio: hanno il potenziale per svolgere un ruolo di trasformazione nell’assistenza sanitaria, ma allo stesso tempo possono diventare un veicolo che espone i pazienti e gli operatori sanitari alla sicurezza e rischi per la sicurezza informatica come essere violato, essere infettati da malware ed essere vulnerabili ad accessi non autorizzati. I problemi di sicurezza del paziente – lesioni o morte – legati alle vulnerabilità di sicurezza dei dispositivi medici collegati in rete sono una preoccupazione fondamentale; dispositivi medici compromessi potrebbero anche essere utilizzati per attaccare altre parti della rete di un’organizzazione.
Cyberspionaggio: una nuova campagna di spionaggio condotta da un gruppo hacker sponsorizzato dallo stato è attiva con l’intento di rubare informazioni.
Il Threat Hunter Team di Symantec, una divisione di Broadcom (NASDAQ: AVGO), che lo ha scoperto, ha precisato che gli attacchi – diretti contro organizzazioni in Cina, Taiwan, Giappone e Stati Uniti – sono stati collegati ad un gruppo di spionaggio noto come Palmerworm – alias BlackTech – che ha una storia di campagne che risalgono al 2013. I suoi attacchi sono rimasti inosservati su un sistema compromesso per quasi sei mesi, prendendo di mira le organizzazioni nei settori dei media, dell’edilizia, dell’ingegneria, dell’elettronica e della finanza.
Hacking e spionaggio
Cyberspionaggio: gli attacchi mirati dei gruppi APT
L’attività dei gruppi ATP – che continuano ad essere molto attivi – è sempre più difficile da rilevare: ciò sottolinea la necessità di avere soluzioni complete di sicurezza in grado di rilevarli. APT, ovvero advanced persistent threat, sono una tipologia di attacchi mirati e persistenti:
APT come ‘attacco’ e APT come ‘gruppo hacker’. Nel primo caso, si intente un cyberattacco mirato e persistente. Nel secondo caso, ci riferiamo al gruppo, spesso ben finanziato, che ha organizzato l’attacco.
Gli attacchi APT quindi sono attacchi mirati volti principalmente ad infettare un computer di una persona specifica: l’obiettivo finale è infatti quello di compromettere un computer con specifici dati di valore. Tutto ciò avviene spesso colpendo obiettivi lontani dall’obiettivo finale, per poi organizzare attacchi a catena per raggiungere l’obiettivo finale
Le principali motivazioni del gruppo Palmerworm APT, considerato un gruppo di spionaggio, potrebbero essere quindi quelle di rubare informazioni da aziende mirate. Secondo quanto affermato da Symantec la sua attività è rimasta inosservata per quasi sei mesi.
La campagna del gruppo Palmerworm – BlackTech
Per la campagna di Cyberspionaggio il gruppo Palmerworm utilizza una combinazione di malware personalizzato, strumenti a doppio uso e tattiche di vita fuori terra in questa campagna. Palmerworm è attiva almeno dal 2013, con la prima attività vista in questa campagna nell’agosto 2019.
Anche se le loro motivazioni non appaiono chiare, si pensa che il gruppo stia espandendo le campagne per abbracciare una serie di obiettivi più ampia e geograficamente diversificati. Infatti la maggior parte di questi attacchi non sono affatto un singolo evento, ma parte di una lunga catena per saltare da un computer all’altro.
Gli strumenti utilizzati sono dual-use e malware personalizzato,da utilizare solo quando necessario:
Backdoor.Consock
Backdoor.Waship
Backdoor.Dalwit
Backdoor.Nomri
Oltre a queste 4 backdoor, vengono utilizzati diversi strumenti a duplice uso, tra cui: Putty, PSExec, SNScan – per la ricognizione di rete – e WinRAR. Il malware trojan fornisce agli aggressori una backdoor segreta nella rete: PSExec e SNScan, vengono sfruttati per muoversi nella rete e WinRar viene utilizzato per comprimere i file, rendendoli più facili per gli aggressori da estrarre.
CybercrimeItalia 2020: ecco le campagne che stanno prendendo di mira l’Italia tra Emotet, Quackbot e 404keyLogger.
La criminalità informatica cresce e approfitta soprattutto di pandemie sanitarie, catastrofi meteorologiche, disordini civili e guerre, quando a regnare è la paura e l’incertezza. Ma gli attacchi informatici diventano sempre più elaborati.
Lavoro da remoto: un impatto sicuramente forte lo ha avuto la nuova modalità di lavoro che molte aziene hanno dovuto obbligatoriamente sostenere: chi non ne ha sofferto sono le aziende più sviluppate, soprattutto quelle legate al settore tech e digital. Soprattutto la riduzione del numero di persone che si recano in uffcio ha avuto un impatto molto positivo sull’ambiente, il che ha significato: meno traffico, meno inquinamento, qualità di vita maggiore. Ma il lavoro da remoto ha espanso anche i rischi delle imprese e gli attacchi informatici sono aumentati in modo esponenziale.
Andrea Biraghi – Sicurezza informatica e smart working: le nuove sfide post Covid
Cybercrime Italia: le campagne malevole
C’è così una forte correlazione tra il verificarsi di grandi eventi e i picchi di nell’attività di criminalità informatica e tutto spesso inizia cliccando su un link dannoso.
404keyLogger
404 Keylogger è un software per la raccolta dei dati utente che viene distribuito sotto il modello malware-as-a-service. Lo stesso malware è utilizzato per gli attacchi informatici a tema Covid19. Ora invece – come afferma l’esperto di cybersecurity reecDeep – viene diffuso con fatture false in allegato ai messaggi di posta.
Emotet
Il malware Emotet torna a farsi sentire a livello globale e con una nuova ondata di attacchi che gli esperti considerano più pericolosi di Wannacry. Un’impennata registrata oltre che in Italia, anche in Nuova Zelanda, Giappone e Francia. Emotet da il via all’azione di codici maligni al download e apertura di documenti allegati alla posta elettronica e zippati.
Qakbot: la nuova esca del Cybercrime per l’Italia
Come riportato da DifesaeSicurezza la campagna del cybercrime per veicolare Quakbot “signed” è arrivata anche in Italia. Quakbot è un noto trojan bancario volto a rubare le credenziali del conto e altre informazioni finanziarie, ma ora si è perfezionato ed è più pericoloso di prima e sfrutta relai conversazion rubate per confendere l’utente. Il download del file zippato porta al suo interno un documento xls che, se avviato, effettua il download del codice malevolo da url.
Gli attacchiinformatici in questo 2020 stanno prendendo di mira l’aumento del lavoro a distanza e stanno diventando sempre più elaborati ed insidiosi. I dati rilevano che nei primi sei mesi del 2020 le intrusioni sono aumentate considerevolmente rispetto al 2018.
Con strumenti e tecniche nuovi, gli attacchi hacker rappresentano una minaccia a livello globale sono divenuti una relatà con la quale analisti, specialisti della sicurezza informatica e hacker etici si trovano a dover avere a che fare oramai quotidianamente. Il loro aumento è attribuito all’evoluzione delle tattiche di intrusione – per ottenere l’accesso ad account e reti – ma anche all’aumento del lavoro a distanza dovuto alla pandemia di Covid19. Anche in Italia quindi si sono raggiunti livelli mai visti prima.
Mentre gli attacchiransomware e malware nel 2020 diventano sempre più numerosi e aggressivi, le organizzazioni non riescono a fare fronte con le loro sole risorse.
L’effetto della trasformazione digitale e del lavoro da casa hanno moltiplicato i danni: in continuo aumento dalla prima metà dell’anno le analisi degli attacchi informatici sono stati sintetizzati da SkyBox Security che acceta l’aumento del 72% di nuovi campioni di malware crittografato. L’aumento degli attacchi si registra dall’inzio dell’epidemia di Covid_19, grazie anche al gran numero di imprese e aziende che sono passate al lavoro da remoto: ciò ha portato nuovi rischi e vulnerabilità. [leggi: Digital transformation amazing challenge]. Purtroppo, la pandemia di Covid ha moltiplicato i rischi informatici per ciascuno di noi.
Andrea Biraghi – Attacchi ransomware 2020: sempre più numerosi e aggressivi
Attacchi informatici 2020 sempre più intrusivi
Attacchi informatici 2020: i trend
In termini pratici l’allarme sta nel numero e nel volume delle intrusioni: gli hacker ottengono accesso alle reti, spesso utlizzando credenziali rubate ai dipendenti dell’azienda, con le quali si spostano liberamente all’interno della rete, rendendo spesso difficile agli esperti notare attività insolite.
Complice sempre il lavoro da remoto, secondo lo studio “Imprese sotto minaccia”, realizzato da Opinion Matters per VMware Carbon Black in Italia quasi 1 violazione su 3 è dovuta a falle nelle catene di approvvigionamento.
Lo studio ha rilevato che gli attacchi di phishing e malware sono cresciuti da circa 5.000 a settimana (Febbraio 2020), ad oltre 200.000 a settimana, verso fine Aprile. Tra i trend rilevati:
attacchi ransomaware e a duplice estorsione,
attacchi ai dispostivi mobili con app dannose (tra i malware più utilizzati xHelper, PreAmo, Necro.
Nell’utlimo report settimanale di TgSoft sono state rilevate campagne del malware QakBot, oltre ai soliti vari Password Stealer come AgentTesla, MassLogger ed altri.
Sicurezza europea; quali sono le strategie Enisa per il quinquennio 2020-2025?
Il CybersecurityAct ha concesso ad Enisa (European Network Information Security Agency) un mandato permanente, con più risorse e nuovi compiti, quindi un ruolo chiave di supporto all’attività di gestione operativa degli incidenti informatici. Oggi Agenda Digitale fa il punto sulla nuova strategia Enisa per raffozare la sicurezza informatica nei prossimi anni e sullo stato di avanzamento delle misure di sicurezza cibernetica riguardanti il 5G, infrastrutture critichee la difesa dalle minacce contro la pubblica incolumità di cose e persone, con le intenzioni di fare tutto il possibile per proteggere i nostri cittadini. A rendere complessa la situazione contemporanea si è aggiunta la crisi dovuta al Covid, con tutte le incertezze sociali che possono creare vulnerabilità sul piano sicurezza.
Cybersecurity: le strategie europee 2020-2025
L’UE può inoltre garantire che la politica di sicurezza resti fondata sui nostri valori europei comuni – rispettare e sostenere lo Stato di diritto, l’uguaglianza3 e i diritti fondamentali e garantire la trasparenza, la responsabilità e il controllo democratico – per creare la fiducia su cui deve necessariamente basarsi.
COMUNICAZIONE DELLA COMMISSIONE AL PARLAMENTO EUROPEO, AL CONSIGLIO EUROPEO, AL CONSIGLIO, AL COMITATO ECONOMICO E SOCIALE EUROPEO E AL COMITATO DELLE REGIONI sulla strategia dell’UE per l’Unione della sicurezza – 24 Luglio 2020
Il documento sulla strategia dell’UE per l’Unione della sicurezza pone le basi per le attività del prossimo quinquennio a partire dal costruire un’autentica ed efficace Unione della sicurezza in cui i diritti e le libertà delle persone siano adeguatamente tutelati anche con il rafforzare gli strumenti giuridici, pratici e di sostegno.
Strategia europea per l’Unione della sicurezza
Quali sono i punti principali per la strategia di sicurezza e difesa UE?
Il panorama europeo delle minacce per la sicurezza è in rapida evoluzione: questo ha reso la cibersicurezza delle tecnologie – infrastrutture e tecnologie digitali e sistemi online – una questione di importanza strategica.
Le priorità strategiche sono 4 e interdipendenti:
un ambiente della sicurezza adeguato alle esigenze future: protezione e resilienza delle infrastrutture critiche, Cibersicurezza, protezione degli spazi pubblici.
affrontare le minacce in evoluzione: Cibercriminalità, Moderni organismi di contrasto, Lotta ai contenuti illegali online, Minacce ibride.
proteggere i cittadini europei dal terrorismo e dalla criminalità organizzata: Terrorismo e radicalizzazione, Criminalità organizzata,
un ecosistema europeo forte in materia di sicurezza: Cooperazione e scambio d’informazioni, contributo di frontiere esterne solide, rafforzamento di ricerca e innovazione in materia di sicurezza
Iot (Internet delle Cose) e sicurezzainformatica: che i sistemi IoT siano esposti a rischi collegati alla sicurezza ben lo sappiamo come siamo consapevoli che sia quindi indispensabile proteggerli e quanto siano importanti soluzioni di cyber security per risolvere le loro vulnerabilità. Allo stesso tempo oggi diviene anche fondamentale lo sviluppo di modelli di digital forensics per recuperare le prove degli attacchi andati a segno.
Ma c’è qualcosa, a monte, che conta più di tutto e sono delle linee guida, partendo dal fatto che la sicurezza dell’Internet delle Cose non è più secondaria dato che si estende ai dispositivi che vengono utilizzati ogni giorno: dagli smartphone alle stampanti multifunzione, dalle abitazioni connesse alle auto senza guidatore e via di seguito.
IOT – Internet of Things
Oggi ci si chiede anche come poter conciliare l’innovazione con la sicurezza dei dati e di ciò che è connesso ad Internet e per questo facilmente attaccabile.
La CyberSecurity e le sfide ad essa correlate si stanno evolvendo rapidamente, motivo per cui la Commissione europea ha adottato una serie di misure tra cui l’istituzione di un quadro legislativo globale: l’Internet Of Things pone nuove questioni in materia di sicurezza e minacce informatiche
Andrea Biraghi – Infrastrutture critiche e cybersecurity: le sfide alla sicurezza
A tale riguardo vi è anche il tema della connessione tra GDPR e IoT in materia di trattamento dei dati personali. Internet4Things, infatti, fa una considerazione di tutte le normative nazionali ed europee che regolano la materia dell’internet delle cose. Dal GDPR alla direttiva NIS a quelle di Enisa.
In Europa, oltre al Regolamento Europeo 679/16 noto come GDPR e relativo alle sole informazioni personali, rilevano diversi quadri regolatori. Certamente incide la Direttiva ePrivacy relativa ai dati nel settore delle comunicazioni elettroniche, peraltro in attesa dell’ambito Regolamento di revisione che, se approvato, costituirebbe lex specialis ovvero complementare al GDPR prevedendo la disciplina relativa a trattamenti di dati personali afferenti alle comunicazioni elettroniche compresi metadati, cookies , identificatori online, motori di ricerca, directory ecc.
Internet4Things – IoT, aspetti legali e nodi critici della sicurezza
IoT e sicurezza: un codice di condotta
Il Threat Intelligence Report di NetScout afferma che molti dispositivi IoT possiedono vulnerabilità note che li rednono facili da compromettere se connessi ad Internet. A ciò si aggiunge che molti non dispongono di un meccanismo di aggiornamento software e quindi ad un certo pnto della loro vita destinati a essere vulnerabili.
Questo ci fa compredendere come servano regole per la produzione stessa di tali dispositivi.
In Australia, secondo una nota di ZDNet è stata rilasciata una guida – chiamata codice di condotta volontaria – che riporta le migliori pratiche da seguire su come progettare dispositivi IoT – con funzionalità di sicurezza informatica.
Il codice di condotta si basa su 13 principi tra cui: la non duplicazione di password predefinite o deboli e l’utilizzo dell’autenticazione a più fattori; l’implementazione di una politica di divulgazione delle vulnerabilità; aggiornamenti software sicuri; archiviazione sicura delle credenziali.
Il codice stabilisce inoltre che i produttori devono garantire che i dati personali siano protetti in base alle leggi sulla protezione dei dati e i Principi australiani sulla privacy. Inoltre le supercificie di attacco dovranno essere analizzate e ridotte al minimo garantendo l’integrità del software.
Scoperta un’operazione di cyberspionaggioindustriale: il gruppo in stile APT utilizza una vulnerabilità del software di computer grafica 3D di Autodesk (Autodesk 3ds Max) per compromettere il bersaglio.
Secondo l’analisi di BitDefender la complessità dell’attacco rivela che il gruppo hacker ha una conoscenza preliminare dei sistemi di sicurezza dell’azienda e delle applicazioni software utilizzate: il che significa che l’attacco è stato attentamente pianificato per infiltrarsi nell’azienda ed estrarre i dati senza essere rilevati.
Cyber spionaggio
L’attacco di cyber-spionaggio in stile APT , sempre secondo BitDefender sarebbe partito da un’infrastruttura – server di comando e controllo malware – con sede in Corea del Sud.
Gli attacchi analizzati hanno scoperto uno degli obiettivi: una società di produzione video e architettonica internazionale, attualmente impegnata in progetti architettonici con sviluppatori immobiliari di lusso da miliardi di dollari in quattro continenti: New York, Londra, Australia e Oman.
Il ricorso a gruppi APT mercenari potrebbe essere stato utilizzato per ottenere un vantaggio negoziale.
L’analisi di un attacco cyber per Spionaggio industriale
Secondo il WhitePaper l’analisi forense delle minacce è iniziata da un campione sospetto denominato PhysXPluginStl.mse (hash: d6ad1e0b11a620ed4df39255ffff11a483687d7038d6c76b938d15add54345fa) che ha attivato i sospetti.
Da parte sua Autodesk aveva pubblicato un avviso ad Agosto:
“Autodesk consiglia agli utenti di 3ds Max di scaricare l’ultima versione degli strumenti di sicurezza per Autodesk 3ds Max 2021-2015SP1 disponibile nell’Autodesk App Store per identificare e rimuovere il malware PhysXPluginMfx MAXScript”
Bitedefender WhitePaper
Il payload dannoso pretendeva di essere un plug-in per Autodesk 3ds Max. In realtà, il plug-in è una variante di un exploit MAXScript di Autodesk 3ds Max, denominato “PhysXPluginMfx”.
In questa specifica campagna di spionaggio, gli aggressori hanno utilizzato l’exploitMAXScriptPhysXPluginStl per scaricare ed eseguire un file DLL incorporato. Questo file funge da caricatore per due file binari .net. Questi file quindi scaricano altri MAXScript dannosi, che raccolgono informazioni variabili sulla vittima (comprese le password del browser Web per Google Chrome e Firefox, informazioni sulla macchina e schermate), le crittografano con un algoritmo personalizzato e mascherano il risultato in modo che sembri essere contenuto base64.
Fonte: BitDefender
Leggi il report per vedere l’analisi: More Evidence of APT Hackers-for-Hire Used for Industrial Espionage
Note
Situazione in Italia: l’attività di cyber spionaggio, per rubare sia segreti commerciali che dati personali, secondo il rapporto Clusit, pur restando sostanzialmente stabile, in Italia rappresenta la causa del 12% degli attacchi gravi nel 2019, pur rimandeno classificabili con una gravità più alta della media.
Leonardo: la CyberSecurity è stata messa a dura prova durante la pandemia e lo smartworking si è reso necessario per molte aziende che non si sono potute fermare nella fase di Lockdown. Se un punto interrogativo rimane sulla continuità o meno del lavoro smart, soprattutto per quelle imprese ove ci sia bisogno di tecnologie e infrastrutture digitali, sembra che Leonardo – che sta comunque investendo sempre più sul digitale – non andrà verso uno smart working permanente.
Le ragioni sono anche da ricercare nell’affermazione di Alessandro Profumo, amministratore delegato di Leonardo, ovvero che l’home working “aumenta drammaticamente i rischi di sicurezza digitale, perché la superficie attaccabile aumenta in modo spaventoso”.
Non per questo Leonardo si ferma, anzi, l’intenzione è quella di migliorare i processi di lavoro.
“Significherà cambiare radicalmente tutto il nostro assetto degli uffici, abbiamo calcolato che sarà necessario circa il 30% in meno di spazi”, “Prima di diventare smart bisogna cambiare i processi di lavoro”.
Alessandro Profumo. Fonte: StartMag – Leonardo, che cosa farà l’ex Finmeccanica sullo smart working
Leonardo CyberSecurity: impennata di minacce cyber
Le sfide che ha imposto la pandemia di Covid a livello informatico non sono poche. mentre la forza lavoro virtuale è stata e sarà ancora oggetto di molti cyber attacchi basati sulle vulnerabilità di sistemi operativi e applicazioni.
L’incertezza continua delle nazioni circa la pandemia di Covid ha spinto le aziende e le organizzazioni a continuare con il lavoro da casa: tra le ipotesi di mantenere posti di lavoro virtuali o semi-remoti e possibilmente per sempre. Allo stesso tempo molti si sono rivelati impreparati alle nove sfide soprattutto per quanto riguarda:
lavoro da remoto
protezione dati
Ma più grande è un’azienda più il perimetro della sicurezza deve essere espanso: ciò significa trovare anche il miglior compromesso tra sicurezza e lavoro.
…il maggior numero di attacchi informatici ha successo a causa delle distrazioni ed errori umani compresa la possibilità di auemnto di attacchi di ingegneria sociale contro i lavoratori a domicilio, il cui benessere emotivo diventa il fulcro delle nuove attenzioni verso una maggiore resilienza.
La divisione cybersecurity di Leonardo, dal canto suo, ha continuato a garantire la sicurezza e la protezione dei confini per l’intero Paese. La sua divisone cyber, specializzata in gestione delle minacce informatiche e nella tempestività delle risposte grazie ad un team di esperti in Threat Intelligence, è in grado di elaborare i dati in modo dinamico cosi come evolvono attacchi e attaccanti.
Leonardo sta lavorando anche con Anci “per dare servizi ai piccoli comuni, che consentano loro di avere piattaforme standard sicure dal punto di vista informatico”
Tuttavia, le analisi di Leonardo, durante i primi mesi dell’anno, hanno evidenziato due fenomeni principali relativi alla situazione durante la pandemia:
Amlpliamento della superficie degli attacchiinformatici con un maggior numero di persone collegata da remoto attravverso connessioni non protette per non parlare delle connessioni mobile.
Il tema Coronavirus – attraverso tutte le sue parolechiave – è stato utlizzato in un contensto di nuovi attacchi verso quelle strutture che sono state impegnate nel garantire servizi essenziali come il settore sanitario.
Il 90% degli attacchi è derivato dall’inconsapevolezza e scarsa preparazione degli impiegati nella sicurezza informatica. Ciò significa che la consapevolezza deve essere accresciuta, che bisognerebbe investire di più nella sicurezzainformatica che insegna ad utilizzare gli strumenti giusti. Ciò significa agilità aziendale: essere in grado di fare fronte alle sfide della nostra trasformazione digitale, in modo efficiente ed efficace. Tuttavia la lezione più importante è stata chiara: sicurezza informatica e Covid hanno una cosa in comune, l’imprevedibilità. E’ qualcosa che si può aggiustare? Si con una maggiore resilienza, ma soprattutto reinventandosi ogni giorno.
Spionaggioindustriale: mentre anche le imprese italiane cadono vittime dei crimini informatici e del cybercrime i ricercatori di sicurezza scoprono nuovi gruppi hacker organizzati che prendono di mira le aziende di tutto il mondo.
La società di sicurezza Group-IB ha pubblicato un rapporto di 57 pagine speigando in dettaglio le attività del gruppo hacker russo RedCurl: la sua attività si sarebbe concentrata – negli ultimi tre anni – proprio nello spionaggio industriale per rubare sia segreti commerciali che dati personali.
La spia va a caccia per conto d’altri, come il cane; l’invidioso va a caccia per conto proprio, come il gatto. Victor Hugo.
Spionaggio industriale: il gruppo RedCurl di lingua russa scoperto da Group-IB
Il nuovo gruppo hacker di lingua russa chiamato RedCurl, scoperto dai ricercatori di sicurezza informatica Group-IB, è sotto studio e analsi dall’estate del 2019 dopo l’ennesima violazione ai sistemi.
Si contano circa 26 attacchi informatici identificati, indirizzati a circa 14 organizzazioni che risalgono anche a molto tempo prima, al 2018. Tra le vittime si contano numerosi settori industriali tra società di costruzione, agenzie di assicurazione, banche e società di consulenza. Tra i paesi oggetto di attacco ci sono la Russia, l’Ucraina, il Canada, la Germania, la Norvegia e il Regno Unito.
Tra le tipologie di attacco emerge il spear-phishing per guadagnare l’accesso iniziale: le e-mail – come riporta CyberScoop – venivano inviate a più dipendenti contemporaneamente “il che ha reso i dipendenti meno vigili, soprattutto considerando che molti di loro lavoravano nello stesso reparto”. Le e-mail includevano link a file malware-laced che le vittime hanno dovuto scaricare e una volta scaricati ed eseguito il contenuto i sistemi sono stati infettati con dei trojan basati su PowerShell. Tra le violazioni documenti aziendali, contati, documenti finanziari, registri legali.
Studiando le loro tecniche i ricercatori di Gropu-IB hanno scoperto che gli attacchi erano simili ad altri gruppi hacker già noti come RedOctober e CloudAtlas già analizzati da Kaspersky. Group-IB ipotizza che il gruppo possa essere quindi una continuazione di tali attacchi precedenti.
Ecco alcuni riferimenti su CloudAtlas
Kaspersky – Cloud Atlas APT upgrades its arsenal with polymorphic malware
RedOctober – Kaspersky Lab Identifies Operation “Red October,” an Advanced Cyber-Espionage Campaign Targeting Diplomatic and Government Institutions Worldwide
Leggi anche:
Cyber Spionaggio: la nuova frontiera delle sicurezza – Andrea Biraghi
Nuove vulnerabilità trovate nei gateway industriali dai ricercatori di sicurezza di Trend Micro: non tutti prestano attenzione alla sicurezza informatica ma gli attacchi critici sono dietro l’angolo.
I ricercatori di Trend Micro hanno testato cinque gateway di protocollo, trovando numerose vulnerabilità, tra cui alcune critiche. Una di queste permette agli hacker di disabilitare i sensori per monitorare temperatura e prestazioni di una struttura. Compito dei gateway infatti è monitorare i macchinari e interagirvi.
Conosciuti anche come traduttori di protocolli, i gateway industriali permettono ai macchinari, ai sensori e ai computer che operano nelle fabbriche di comunicare tra di loro e con i sistemi IT, sempre più connessi a questi ambienti.
Il numero delle vulnerabilità rilevate negli utlimi mesi del 2020 resta alto: i crescenti incidenti dovuti agli attacchi informatici sono in costante aumento. Tra le vulnerabilità non ultime quelle relative ai sistemi Scada / ICS utilizati per automatizzare il controllo dei processi e la raccolta dei dati. I sistemi Scada sono infatti divenuti oggi obiettivi ad alto valore del cyber crime che tenta di interrompere le operazioni aziendali.
Tutte le vulnerabiltà critiche trovate da Trend Micro nei gateway industriali
Tra le vulnerabilità rilevate anche una debole implementazione della crittografia e un bug che potrebbe consentire a un utente malintenzionato di inviare pacchetti dannosi ai gateway, costringendoli a riavviarsi. Tra le raccomandazioni vi è quella di accertarsi che siano presenti adeguate funzionalità di sicurezza e quella di tempo nel configurare e proteggere i gateway, utilizzando credenziali forti. Ma vediamo, nel dettaglio – come riassume ItisMagazine.it – il report parla di:
Vulnerabilità nelle autenticazioni che permettono accessi non autorizzati
Crittografia debole
Deboli meccanismi di confidenzialità dei dati
Denial of service
Difetti nelle funzioni di traduzione che possono essere utilizzati per operazioni di sabotaggio
Cybersecurity: vulnerabilità e sfide, rassegna stampa Andrea Biraghi | Agosto 2020
Attacco ai database: secondo NordPass oltre Oltre dieci bilioni di credenziali utente sono state lasciate esposte online grazie a database non protetti. La scoperta è stata fatta grazie anche alla collaborazione di un white hacker che ha scoperto per l’esattezza in numeri: 9.517 database non garantiti contenenti 10.463.315.645 voci, che includono come e-mail, password e numeri di telefono di 20 paesi diversi.
I database più a rischio sono stati registrati in Cina (4000), Stati Uniti (3000) e India (520), con il risultato di 2,6 miliardi potenziali utenti che potrebbero essere inclusi nei database.
Attacco ai database (non protetti)
Ai database non protetti – per chi sa come farlo anche se non autorizzato- si può accedere facilmente ed è necessario operare per garantire sicurezza. Un database non protetto significa che un hacker non avrebbe nemmeno bisogno di violarlo per accedere a moltissimi dati oltre alle password degli account.
E con i dati alla mano, che rappresentano un prezioso bottino, i criminali informatici, possono esegurie attacchi di phishing o socialengineering. Il 95% delle volte le violazioni avvengo tramite i database che se esposti rappresentano una vera minaccia per gli utenti e una buona protezione è reppresentata in larga percentuale dall’utilizzo della crittografia dei dati.
#Phishing secondo la società di #sicurezza Abnormal Security i messaggi automatizzati da Microsoft SharePoint sono stati imitati per una campagna di phishing che tenta di rubare le credenziali di #Office365, secondo la società di https://t.co/HmtX8FIfvj
Purtroppo la scoperta di NordPass non è stata l’unica: all’inzio dell’anno è toccato a Verdict a scoprire un server non protetto con i dati personali di 17.379 professionisti del settore nautico.
Allo stesso modo sono stati colpiti milioni di dati di utenti di UFO Vpn – che ha base a Hong Kong – inclusi i loro dati IP e cronologia di navigazione, che sono rimasti esposti dopo un attacco informatico, insieme a dati anagrafici, password, indirizzi email. La vulnerabilità riscontrata è legata ai database ElasticSearch utilizzati dal provider e che risultavano privi di protezione.
Attacco “Meow” ai database:
Gli attacchi “Meow” – così chiamato perhè i dati sono sovrascrtti con la parola Meow o cancellati senza prevedere un riscatto – hanno spazzato via quasi 4mila database: aggressori e lotivazioni rimangono ancora sconosciuti ma anche questi inciddenti hanno fatto puntare l’attenzione su negligenza nel campo della sicurezza informatica. I contentui dei databse sono stati completamente cancellati e questo fa pensare all’enorme danno che ne può derivare.
Anche in questo caso i bersagli hanno le stesse caratteristiche che abbiamo accennato sopra: 987 databse ElasticSearch e 70 vittime MongoDB, sprovvisti di sistema di autenticazione per l’accesso.
Leggi la notizia su SecurityInfo.it – Attacco Meow fa strage di database esposti.
Mentre gli attacchiransomware e malware nel 2020 diventano sempre più numerosi e aggressivi, le organizzazioni non riescono a fare fronte con le loro sole risorse.
L’effetto della trasformazione digitale e del lavoro da casa hanno moltiplicato i danni: in continuo aumento dalla prima metà dell’anno le analisi degli attacchi informatici sono stati sintetizzati da SkyBox Security che acceta l’aumento del 72% di nuovi campioni di malware crittografato.
L’aumento degli attacchi si registra dall’inzio dell’epidemia di Covid_19, grazie anche al gran numero di imprese e aziende che sono passate al lavoro da remoto: ciò ha portato nuovi rischi e vulnerabilità. [leggi: Digital transformation amazing challenge].
Per fonteggiare e prevenire perdite o incidenti informatici è oggi quindi necessario adottare le misuere corrette per porre rimedio – innanzitutto – alle loro vulnerabilità, sfuttate dagli hacker. Oggi, oltre che essere una priorità, è divenunto anche un compito molto pressante per molti che devono affrontare la creazione di una nuova resilienza.
La superificie di attacco – per i criminali informatici è aumentata anche grazie allo smart working e alla poca formazione in materia di sicurezza informatica dei dipendenti delle aziende. La realtà però è che un ransomware può bloccare vaste aree di un’infrastruttura. [leggi: Come costruire una vera agilità aziendale, Andrea Biraghi: sfide e opportunità post Covid].
Attacchi ransomware e malware: Mata framework
Uno degli ultimi avvisi arriva da Kaspersky che sta allertando i Security Operation Center (SOC) su un nuovo malware che ha scoperto, sembra collegato al famigerato gruppo di hacker nordcoreano noto come Lazzaro. Soprannominato “MATA“, il framework è apparentemente in uso dall’aprile del 2018, principalmente per attacchi informatici progettati per rubare i database dei clienti e distribuire ransomware. Però di tempo ne è passato e ora sembra sia stato implementato per attaccare e-commerce, sviluppatori di software e ISP in Polonia, Germania, Turchia, Corea, Giappone e India.
Mata è in grado ci colpire i sistemi Windows, Linux e Mac Os: è poi costituito da diversi componenti, tra cui un loader, un orchestrator e plugin.
Protezione delle infrastrutture critiche e Scada (Supervisory Control and Data Acquisition): quali sono gli scenari attuali del 2020 in materia di sicurezza e difesa?
I crescenti incidenti dovuti agli attacchi informatici ai settori delle infrastrutture critiche sono in costante aumento, così come il numero delle vulnerabilità rilevate negli utlimi mesi del 2020. Non ultime quelle relative ai sistemi Scada / ICS utilizati per automatizzare il controllo dei processi e la raccolta dei dati. I sistemi Scada sono infatti divenuti oggi obiettivi ad alto valore del cyber crime che tenta di interrompere le operazioni aziendali.
Protezione delle Infrastrutture Critiche
La crescente necessità di proteggere le infrastrutture, in special modo quelle pubbliche, rileva la necessità di ridurre la tempistica sulla previsione degli attacchi e ridurre al minimo la potenziale esposizione alle minacce informatiche e cyber attacchi.
— Pierluigi Paganini – Security Affairs (@securityaffairs) July 15, 2020
Protezione di Infrastrutture critiche e gli incidenti coinvolgono i sistemi Scada
Gli Scada, che abbiamo visto necessari per monitorare e controllare da remoto impianti industriali ed infrastrutturali e fungono da controllo di vigilanza: insieme ai sistemi di controllo industriale (ICS) sono componenti fondamentali per il funzionamento di impianti industriali e infrastrutture critiche. Putroppo però molti ICS non sono progettati per resistere agli attacchi informatici e i criminali informatiic stanno prendendo di mira questi sistemi con sempre più maggiore intensità.
Su Resource.InfosecInstitute.com sono stati pubblicati i dati di uno studio della società di sicurezza ICS Dragos che ha analizzato 438 vulnerabilità ICS segnalate in 212 avvisi di sicurezza nel 2019. L’analisi esguita ha rivelato che il 26% degli avvisi sono correlati a difetti zero-day. Tutto ciò preoccupa gli esperti di sicurezza informatica, poichè le vulnerabilità zero-day negli attacchi ha un’alta probabilità di successo.
Inoltre è stato rilevato che la maggior parte delle vulnerabilità erano insite nella rete dei sistemi di controllo per sfruttare i difetti derivanti, ad esempio, dalle workstation ingegneristiche, dai sistemi di interfaccia uomo-macchina (HMI) e altri dispositivi.
La maggior parte degli avvisi (circa il 75%) sono legati a vulnerabilità che potrebbero essere sfruttate dalla rete, mentre i difetti rimanenti potrebbero essere sfruttati solo da aggressori con accesso locale o fisico alla macchina mirata. Il 50% degli avvisi sono legati a vulnerabilità che potrebbero causare sia una perdita di controllo.
Il rischio derivante dagli attacchi che sfruttano i difetti relativi agli avvisi è molto elevato e oggi vi è la la necessità di impedire le violazioni di accesso da parte di utenti non autorizzati.
Le reti, i server, i client, i device mobili, gli oggetti IoT sono sempre più presi di mira e cyber attacchi alle infrastrutture critiche non accennano a cambiare rotta: la loro possibile interruzione unita a quella dei loro servizi è diventata oggetto di priorità.
Cybersecurity: le tendenze, dopo gli eventi dei primi mesi del 2020, stanno spostando la lancetta delle priorità sulla sicurezza informatica. L’obiettivo primario è la resilienza delle imprese e del loro buisness, non a breve ma a lungo termine.
La pandemia di Covid ha moltiplicato i rischi informatici e sembra avere realmente accelerato non solo i processi della digitalizzazione ma una lunga lista di vulnerablità contro le quali gli esperti della sicurezza stanno combattendo ogni giorno.
Per essere pronti al cambiamento bisogna avere presente le sfide tecnologiche che la società e il “new normal” stanno imponendo: non solo l’Italia, ma molti paesi in Europa, come Francia, Spagna, ma anche Germania, durante l’epidemia di Coronavirus, si sono rivelati impreparati alla nuova sfida. Soprattutto per quanto riguarda il lavoro da remoto e la protezione dei dati, senza contare il traffico e-commerce arrivato alle stelle.
Non solo gli esperti di sicurezza informatica hanno dovuto trovare nuove soluzioni ma le imprese ora devono conquistare altre vette tra cui un’agilità aziendale e una flessibilità diversa dal passato per poter sopravvivere. La cosa positiva è che gli stessi progetti di trasformazione digitale che pochi mesi fa avrebbero impiegato mesi per ottenere l’approvazione ora vengono approvati in poche settimane.
Cybersecurity trends 2020
CyberSecurity: le tendenze del 2020
In un clima in cui i professionisti della sicurezza informatica sono sempre più richiesti e la domanda si mantiene elevata a causa degli ulteriori investimenti da parte delle aziende nella digitalizzazione, gli esperti con un buon pacchetto di conoscenze continuano a scarseggiare.
La domanda si manterrà elevata per tutto il 2020.
Oltre alla mancanza di veri professionisti l’informazione e la formazione soprattutto in azienda, deve essere aumentata: il numero degli attacchi ransomware ( e-mail Phishing) è aumentato a causa dell’attuale crisi sanitaria e delle debolezze delle difese perimetrali.
La resilienza delle imprese rimane una delle priorità insieme alla protezione dei dati. Ma si sta puntando anche alla “continuità“, come anche maggiori investimenti nei processi di backup e e sicurezza nella catena di fornitura.
Proprio per aumentare la sicurezza perimetrale si saranno maggiori investimenti nella cybersecurity per quanto riguarda anche la gestione degli eventi: non si esclude quindi l’utilizzo dell’intelligenza artificiale.
Infrastrutturecritiche: i cambiamenti apportati dalla pandemia globale COVID 19 stanno esacerbando le vulnerabilità nell’economia globale, tra cui il rischio di paralizzare – tramite gli attacchi informatici – infrastrutture critiche come la rete elettrica.
Il COVID ha cambiato la nostra vita rafforzando la dipendenza dei paesi da Internet e dalle tecnologie digitali: governi e imprese, anche per necessità, sono diventati sempre più “virtuali”. Tutto ciò negli utlimi mesi ha evidenziato non solo le falle a livello di coordinamento e cooperazione tra le nazioni e le industrie critiche ma ha esposto la nostra fragilità del sistema globale e le nostre vulnerabilità. Ad oggi è quindi necessaria una maggiore resilienza. Lo conferma l’ex segretario del DHS Michael Chertoff – Segretario della Sicurezza Interna degli Stati Uniti sino al 2009 – ma anche la Commissione europea – guidata da Ursula von der Leyen – che ha deciso di finanziare dei progetti dedicati alla sicurezza informatica. Tuttavia Chertoff ha affermato che Russia e Cina si affidano sempre di più ai mezzi digitali per proiettare il loro potere all’estero con pratiche informatiche aggressive ben prima dell’epidemia di Coronavirus.
Sotto queste luci la COVID-19 Cyber Defence Alliance tiene sotto controllo lo scenario criminale informatico confermando che la criminalità informatica, nell’attuale regime pandemico si sta espandendo velocemente.
Infrastrutture critiche e vulnerabilità
Il modo di vivere del nostro Vecchio Contintente e quella del mondo sta per essere cambiato per sempre? Gli eventi degli ultimi mesi fanno riflettere. Le crescenti tensioni in atto, aggravate dall’epidemia, non solo mettono in chiaro la fragilità dei nostri sistemi ma ci avvertono di un rischio dal quale biosgna mettersi al riparo. Oggi dipendiamo come non mai da Internet che sostiene a sua volta le infrastrutture critiche, come la distriubuzione di energia elettrica. A rischio quindi sono le infrastrutture pubbliche: esempio è stata l’incursione informatica nel sistema idrico israeliano, un attacco hacker “altamente accurato”.
Le minacce informatiche, in continua evoluzione, mettono a rischio le sicurezza delle infrastrutture critiche che sono in definitiva veri e propri sistemi strategici, essenziali per una nazione. Uno degli utlimi esempi è la recente vulnerabilità Ripple 20 che mette a rischio le infrastrutture critiche che rimangono obiettivo anche dell’hybrid warfare. Ma non finisce qui perchè c’è CESI Italia aggiunge anche il problema della disinformazione correlata alle fake news: non ultimo il caso sul pericolo del 5G che indebolirebbe il sistema immunitario.
MassloggerMalware: secondo gli esperti di cybersecurity del CERT Agid, potrebbe essere ben presto usato in campagne su obiettivi nel nostro paese. Acquistabile a buon mercato, ne è stato ipotizzato l’utilizzo nel prossimo futuro anche nello scenario italiano.
L’Italia infine, secondo il Report di Trend Micro Research, è il quarto paese al mondo a trovarsi sotto assedio delle cyber minacce dopo USA, Giappone e Francia: malware e ransomware sono le minacce più frequenti. Anche se il malware rimane il tipo più comune di attacco informatico, è seguito da attacchi DDos e Defacement e da attacchi come Phishing, Social Engineering (Ingengneria Sociale) e SQLi.
Malware e Cyber Crime
Cosa hanno scoperto gli esperti nella loro analisi? Il codice malevolo recupera informazioni dal computer (come memoria, IP o processi etc, cradenziali programmi) trafugando dati dalla vittima. Il campione analizzato, contenuto all’interno di due packer .NET: il primo ha le risorse contenenti il payload finale (e un assembly secondario per la decodifica dell’altro packer), il secondo che ne esegue l’estrazione e ciò potrebbe mettere in difficoltà l’analista che non se ne accorge.
L’analisi di CERT Agid informa che non si trovano attualmente in circolazione vere e proprie analisi di MassLogger: principalmente ci sono immagini di dump delle stringhe o delle connessioni. Inoltre si è scoperto che il gruppo che vende MassLogger possiede anche un account github NYANxCAT (o NYAN CAT).
Masslogger malware: le utlime analisi in rete
Tra le ultime analisi in rete relative a questo maware c’è quella di FR3D – Fred HK, ricercatore e sviluppatore della Malbeacon che nomina in modo divertente il masslogger una “creazione di Frankestein”.
Masslogger Analisi: MassLogger è scritto in .NET, che utilizza il codice gestito. Come qualsiasi malware, il creatore ha utilizzato packer e altri strumenti per cercare di offuscare il codice. Inoltre, per evitare che il codice fosse facilmente estratto è stata crittografata la configurazione e quindi decrittografarla durante il runtime.
Per ottenere alcune delle funzionalità di MassLogger, ha copiato e incollato il suo codice da GitHub e lo ha pubblicato insieme per creare MassLogger. Per questo motivo, il codice che ha condiviso pubblicamente, può essere utlizzato per avere un’idea di come sarebbero state le cose prima della compilazione.
Nota Esfiltrazione: MassLogger ottiene le informazioni rubate utlizzando 3 metodi: FTP, SMTP e HTTP. I primi due sono piuttosto semplici in cui le credenziali per il metodo scelto verranno archiviate nella configurazione e quindi utilizzate per inviare un’e-mail o caricare lo zip sul destinatario. HTTP è il metodo più interessante perché l’autore ha creato un pannello di controllo PHP per ricevere i log dal malware.
CyberwarfareeInternet ofThings: l’ultimo studio di BitDefender registra un aumento – per questo tipo di attacchi informatici – di circa il 38%. APT, furto di proprietà intelletuale e cyberspionaggio sono invece in aumento el 37%, senza dimenticare le minacce chatbot per quanto riguarda i social media networks.
Nuove sfide quindi per i professionisti della cybersecurity, non ultima delle quali una svolta delle operazioni delle reti per ottimizzare l’analisi dei flussi di connessione. Sembra quindi che la sicurezza informatica, così come impostata oggi e basata su un perimetro da difendere, non sia più attuabile.
CyberWarFare: la sicurezza perimetrale non è più sufficiente
Oggi la CyberWarfare, a seguito anche dell’evoluzione degli attacchi informatici, che si può descrivere come qualcosa che si trova a metà tra lo spionaggio e un atto di guerra, assume le vesti di un nuovo conflitto ibrido.
Oggi però per fronteggiare vulnerabilità e attacchi le vecchie e consolidate soluzioni – come il controllo dell’accesso – si stanno dimostrando sempre più inadeguate. L’evoluzione del CyberCrime e dei suoi attacchi – così come quello della tecnologia – stanno mettendo a dura prova i sistemi e i loro perimetri. Si inizia a parlare così di “ZeroTrust“, un modello di sicurezza di rete basato su un rigido processo di verifica delle identità.
CyberWarfare e Internet of Things: essenziale la pianificazione
Sempre lo studio di BitDefender rivela che la maggiornanza delle aziende non aveva un piano di emergenza per affrontare l’epidemia Covid-19 [dato rivelato dall’intervista a più della metà (50%) dei professionisti nel settore della sicurezza informatica (60% invece il dato italiano)].
“Nella cybersecurity, dove la posta in gioco in termini economici e di reputazione è molto alta, la capacità di cambiare, e di farlo rapidamente, senza aumentare il rischio è fondamentale – evidenzia Arnese- La pandemia Covid-19 ha mutato gli scenari aziendali del prossimo futuro quindi anche le strategie di sicurezza devono cambiare. La buona notizia è che la maggior parte dei professionisti della sicurezza informatica ha riconosciuto la necessità di un cambiamento rapido, anche se forzato dalle circostanze attuali, e ha iniziato ad agire”.
Così, mentre il Covid sta mettendo alla prova le misure difensive della sicurezza informatica ci si sta preparando ad affrontare i rischi relativi all’Internet delle Cose (IoT).
Internet of Things: le vulnerabilità dei dispostivi
I dispostivi IoT in tutto il mondo sono a rischio di attacco informatico. Da un’ articolo di SecurityAffairs, gravi vulnerabilità della sicurezza nello stack Treck TCP / IP soprannominato Ripple20 espongono milioni di dispositivi IoT in tutto il mondo agli attacchi informatici.
Ma questo esempio è solo uno dei tanti: tra i settori più a rischio però vi è l’automotive. Abbiamo già parlato del recente report di Accenture “Securing the Digital Economy: Reinventing the Internet for Trust”, in cui emerge la convinzione comune che “il progresso dell’economia digitale sarà seriamente compromesso se non ci sarà un sostanziale miglioramento della sicurezza su Internet”.
L’ascesa sempre più veloce dell’Internet of Things (IoT) ha rappresentato un’opportunità di crescita digitale per molte industrie, creando però al contempo un certo livello di complessità e di vulnerabiltà. E’ il caso del settore automotive,
delle smart e delle connected cars: parallelamente alla diffusione
delle auto connesse si sono moltiplicate le minacce e gli attacchi, che,
in Europa, rappresentano una delle minacce più frequenti alla Cyber Security.
Cybercrime e vulnerabilità: quanto l’Italia è vulnerabile agli attacchi dei cyber criminali e quindi soggetta ai rischi informatici rispetto agli altri paesi?
“Più tempo trascorri in rete, maggiore sarà la possibilità di imbatterti in un criminale informatico”.
Le classificazioni e le statistiche non sempre servono ad avere una chiara idea della portata del problema, ma la ricerca Cyber Risk Index di NorthVPN, in modo chiaro mostra che l’indice del rischio informatico dipende anche dal paese in cui si risiede e dal reddito percepito.
NorthVPN ha classificato 50 paesi in tutto il mondo e ha scoperto che nella più alta fascia si rischio si trovano i paesi più sviluppati.
L’Europa settentrionale, che detiene il più alto salario medio mensile e un tasso di penetrazione di Internet superiore al 90%, è l’area più pericolosa al mondo per svolgere attività online. L’America settentrionale non è da meno.
NorthVPN – Cyber Risk Index
Ciò significa che economie ad alto reddito, infrastrutture tecnologiche avanzate, alti livelli di urbanizzazione e digitalizzazione comportano un livello più elevato di crimini informatici e quindi un aumento di vulnerabilità. Questa potrebbe essere una nota dolente per l’Italia sotto asedio di malware e ransomware, cosa che, su scala mondiale, le ha fatto scalare le vette per ciò che concernemalware e macromalware. Non ultimo il Netwire malware che ha preso di mira proprio l’Italia – sino al 2012 – nei suoi target toccando uno dei settori più forti.
Ma diamo una rapida occhiata al rapporto e alle sue statistiche per meglio comprendere: calcolare il rischio CyberCrime non è davvero poi così semplice ma stabilire delle regole generali forse potrebbe anche funzionare.
La vulnerabilità al CyberCrime aumenta con ogni ora in più trascorsa online
Il rapporto di NorthVPN allerta sulle aree più pericolose al mondo per svolgere attività online: uno dei fattori presi in considerazione è il tasso di penetrazione di Internet da parte della popolazione.
Cybercrime vulnerabilità dei paesi: L’informazione curiosa che emerge dal rapporto è che tra i fattori con maggior impatto al rischio ci sono: l’esposizione alle minacce e il reddito. Questo collocherebbe il Regno Unito (UK) al primo posto e gli Stati Uniti d’America (USA) al secondo.
Più protetti invece sono quei paesi che trascorrono mediamente meno tempo in rete: questo è il caso degli stati europei occidentali con una media di 5 ore al giorno sui dispostivi digitali rispetto alla media globale di 6,5 ore.
Con un salario mensile 13 volte inferiore alla media, il punteggio migliore è quello dell’India, anche se mediamente i cittadini che usano internet sono più esposti rispetto agli altri.
In India: – Soltanto 1 persona su 3 usa Internet. – Meno di 1 persona su 4 usa uno smartphone. – Una piccola percentuale della popolazione usa Instagram (5.8%),
guarda video on demand (7.1%), o gioca online (6.6%). – Solo 34% della popolazione vive nelle città. È la percentuale più bassa tra quella dei 50 paesi analizzati. – Una piccolissima parte della popolazione viaggia all’estero.
NorthVPN – Quanto è soggetto il tuo paese ai rischi informatici?
Cyber crime: mentre in Italia si rafforza la collaborazione “anti-hacker” tra Sia e Polizia di Stato per il potenziamento dell’attività di prevenzione alla criminalità informatica, Berlino si sta preparando a sanzionare un gruppo di hacker russi. L’accusa è contro un noto hacker collegato al servizio di intelligence di Mosca. L’attacco in considerazione è quello del Bundestag nel 2015 per il quale oggi arrivano le prove trovate dal governo tedesco.
Ciò rappresenterebbe una svolta contro il crimine informatico da parte dell’Europa: i diplomatici si sono riuniti mercoledì a Bruxelles per discutere se la risposta debba utilizzare un nuovo regime di sanzioni informatiche.
Cosa è cambiato? Perchè solo ora, dopo infiniti colloqui e ponderazioni, si decide di agire in tal senso?
Sembra che le cose siano cambiate dopo la dichiarazione del cancelliere Angela Merkel che – precedentemente riluttante a rimproverare la Russia per gli attacchi informatici – ha dichiarato il mese scorso che Berlino non può ancora “semplicemente ignorare” un attacco “scandaloso”, per questo si attende una risposta dell’UE.
Una risposta affermativa potrebbe significare un chiaro segnale di avviso di stare alla larga dalle istituzioni politiche, in special modo quelle di Berlino: ma gli esperti sono certi che le azioni tedesche potrebbero convincere gli altri paesi UE ad adottare le stesse misure.
Cyber Crime: il bersaglio di Berlino ha il nome di Dmitry Badin
Il bersaglio di Berlino nella lotta contro il cyber crime, oltre al gruppo di criminali informatici, porta il nome di Dmitry Sergeyevich Badin.
Il giovane hacker di 29 anni, fortemente sospettato di essere dietro l’hack del Bundestag, è già ricercato dal Federal Bureau of Investigation (FBI) degli Stati Uniti per il suo coinvolgimento nell’hacking delle elezioni presidenziali del 2016. Ora anche i procuratori tedeschi hanno emesso un mandato contro di lui. Inoltre ci sarebbero anche delle prove che Badin appartenesse al servizio di intelligence militare russo del GRU al momento dell’attacco al Bundstag.
Il servizio di intelligence GRU include il famigerato gruppo di hacking noto in vari modi come APT28, Sofacy e Fancy Bear di cui si sospetta che Badin faccia parte.
La guerra cibernetica, globalmente riconosciuta come cyber warfare è una guerra silenziosa ai più, dove “learmi sono invisibili, gli schieramenti fluidi e di difficile identificazione”, ma più presente di quanto non si creda.
“Se bombardo una centrale elettrica di un altro paese si tratta di un atto di guerra. Ma è la stessa cosa se uso un computer per disattivarla?”
Sottosegretario per la sicurezza e l’antiterrorismo britannico
La cyber warfare attuale si può descrivere come qualcosa che si trova a metà tra lo spionaggio e un atto di guerra: un nuovo conflitto ibrido che ha una chiara matrice politica, come lo definisce Difesa.it, relativamente a quanto abbiamo assistito in dieci anni di guerra informatica tra USA e Iran, che rappresentano una vera e propria letteratura di riferimento.
CyberWar
Il gap tecnologico dell’Italia
Oggi bisogna prendere coscienza della pericolosità del fenomeno, ove le tensioni tra gli Stati possono portare ad un aumento dei cyber attacchi. Questo significa approvare provvedimenti, prevenire i crimini informatici, perfezionare le strategie attraverso l’intelligence.
Il gap tecnologico che ancora separa l’Italia da altri paesi avanzati, soprattutto nel settore pubblico, non ci tiene al riparo da attenzioni aggressive.
Nella stessa relazione è stato evidenziato il“crescente pericolo per le infrastrutture strategiche del nostro Paese, derivante dalla minaccia cyber”. La sola presa d’atto, però, viene suggerito, non è sufficiente, occorrono azioni concrete, con particolare riferimento allo sviluppo delle reti 5G.
Immaginiamo le nostre reti come un fortino ai tempi del West con i sodlati che dovevano proteggere il forte contro gli indiani che lo attaccavano. Cosa si faceva? I soldati, per sapere quello che stava per succedere, utilizzavano gli scouts, figure che andavano in avanscoperta e cercavano di sapere da dove sarebbe arrivato l’attacco, di che tipologia sarebbe stato, se erano pochi o erano tanti. Questo è esattamente ciò che cerchiamo di fare.
Andrea Biraghi
Guerra cibernetica: il defacing
Il defacing, che ha significato letterale di “sfregiare, deturpare, sfigurare”, è utilizzato per hackerare siti web e rivoluzionarne la pagina principale, cambiandone l’aspetto. Ma a partire da attacchi dimostrativi come il defacement che a molto a che fare con la vera e proprio propaganda, si arriva alla vera e propria intrusione in un sistema informatico anche complesso.
Quali sono i principali obiettivi? Principali obbiettivi di questa attività possono essere la sottrazione di informazioni segrete, anche industriali, la diffusione del panico o nel peggiore dei casi veri e propri attacchi alle infrastrutture critiche di un paese.
E pur se le infrastrutture critiche rimangono l’obiettivo principale di questa guerra soluzione, a colpi distacchi informatici DDoS e defacement, come riporta CybersHafarat, sono stati ultimamente danneggiati migliaia di siti web israeliani: cyber attacchi sembra coordinati da un gruppo iraniano chiamato “Hackers_Of_Savior”.
Stessa tipologia di attacchi si sono verificati dopo l’uccisione del generale Soleimani: attacchi informatici di basso livello a siti web USA, sotto forma di defacement e che potrebbero voler significare che le difese sono state penetrate più in profondità.
Cyber warfare, dopo pochi giorni dall’incursione informatica nel sistema idrico israeliano, un attacco hacker “altamente accurato” ha bloccato il porto di Shahid Rajaee sul Golfo Persico. L’Iran nega di aver compiuto il primo attacco che non sarebbe nemmeno andato a buon fine, ma la risposta di Israele – se è stata una sua risposta – sembra avere un significato con un messaggio preciso: le infrastrutturecivili sono un obiettivo inaccettabile per il cyber. La notizia del contrattacco israeliano è stata data dal Washington Post. Siamo in una nuova frontiera, dove il cyberspazio non è più un dominio separato da quello fisico.
Cyber warfare, la nuova frontiera dopo Stuxnet, Flame e Duqu
Il rapporto dell’intelligence afferma che l’attacco al porto di Shahid Rajaee sia avvenuto il 9 maggio. Il porto viene utilizzato per l’esportazione di prodotti chiave, come la benzina e nei mesi di Marzo e Aprile sono state caricate almeno 5 petroliere destinate al Venezuela.
Cyber warfare tra Iran e Israle: la nuova guerra è il quinto dominio
Colpire le infrastrutture critiche: questo l’obiettivo dell’attacco cyber dell’Iran, che sprovvisto di grandi risorse nell’esercito, nella marina o nell’areonautica militare tenderebbe ad usare droni (usati contro l’Arabia Saudita), missili e ora attacchi informatici. Ciò rende il cyber conflitto il nuovo campo di guerra in Medio Oriente.
Sulla scia del virus Stuxnet, conosciuto col nome in codice “Stars”, che aveva insidianto gli impianti nucleari iraniani. e poi poi dei suoi successori Flame e Duqu, l’Iran ha via via affinato i sui attacchi, fino ad arrivare a danneggiare elementi fisici di importanza strategica nazionale, come il sistema idrico nazionale.
Spionaggio a parte, sulla guerra cibernetica abbiamo ancora molto da imparare: esiste la questione delle diverse percezioni delle regole concordate. Questo è evidente quando, circa dieci anni fa, gli Stati Uniti fecero ricorso al sabotaggio cibernetico anziché ai missili per distruggere diverse installazioni nucleari iraniane: l’Iran rispose con attacchi informatici, distruggendo almeno 30 mila computer in Arabia Saudita e creato seri danni alle banche statunitensi. Sotto questa luce una stabilità strategica nel cyberspazio sembra difficile da mantenere.
Andrea Biraghi, Cyber attacchi 2020: i rischi di una guerra cibernetica
Si parla da anni di una guerra informatica e si sa anche che Israele, già nel 2011, ha istituito una nuova unità di difesa informatica nell’IDF di fronte alle crescenti minacce informatiche “La minaccia è reale”, avevano detto. gli ufficiali israeliani.
Gli strateghi devono essere consapevoli che parte di ogni conflitto politico oggi si svolge su Internet, le cui caratteristiche imprevedibili fanno si che le battaglie combattute nella rete possano essere altrettanto importanti, se non di più che gli eventi che si svolgono sul campo”.
[Kenneth Geers]
La cyber war è a tutti gli effetti una corsa agli armamenti dove le startegie sono quelle di “distruggere, interdire, degradare, ingannare, corrompere o usurpare la capacità degli avversari di usare la sfera del cyberspazio a proprio vantaggio” [Geopolitica.info – Cyber Warfare: il triangolo Iran-Israele-Stati Uniti].
Che cosa è l’innovazione digitale innanzitutto? Generalmente l’innovazione digitale è l’applicazione della tecnologia digitale ai problemi esistenti e contemporanei. A questo concetto sono legati i termini, oggi ricorrenti, di trasformazione digitalee digitalizzazione. Oggi anche l’Italia in corsa verso i nuovi traguardi, oggi riconosce la necessità di trasformare, innovare e adottare nuove tecnologie per rimanere competitiva a livello globale.
IDEAZIONE E INNOVAZIONE
Innovazione e ideazione: le differenze
Tuttavia, quando parliamo di innovazione, però, spesso la confondiamo con l’ideazione, che in realtà è un altro processo ancora. Sviluppare un’idea, infatti, presuppone una grande quantità di tempo e impegno. Nella fase di un’idea biosgna ancora convincere le persone che funzionerà, in qualche modo. E si ha di front una lunga lista composta di investitori, fornitori e, soprattutto, clienti e utenti finali. Innovazione, invece, signfica creare un valore da quella idea.
Questa differenziazione cosa significa? Significa innanzitutto che gli innovatori digitali effettivi sono quelli che prendono in considerazione nuovi modi per risolvere vecchi problemi e in questo caso specifico attraverso la trasformazione digitale.
L’ultimo e importante cambiamento attraverso il quale siamo passati ad esempio è stato il passaggio dall’analogico al digitale. All’innovazione però non ci sono limiti: dando valore ideale alle idee e con un buon istinto permeato dalla conoscenza e dalla competenza l’innovazione può creare valore a tutti i livelli, dal settore commerciale per arrivare a quello sociale.
Innovazione digitale: a che punto è l’Italia?
Dal punto di vista della classifica europea, l’Italia, dati 2019,rimane al quintultimo posto in Europa – classifica DESI – lontana da paesi a lei simili come Regno Unito, Spagna, Germania e Francia. Tuttavia si sta registrando una veloce crescita, testimoniata dal punteggio Desi migliorato di 5 punti e passato da 38,9 nel 2018 a 43,9 nel 2019: questo significa che la crescita è stata elevata, anche rispetto alla media europea. Questo avviene sopratutto grazie agli investimenti in ricerca e sviluppo, gli incentivi fiscali, la strategia di specializzazione intelligente nazionale e i finanziamenti per le Università meritevoli.
Ma siamo in ritardo, cosa che si tocca con mano per le piccole e medie imprese Quali sono le aree di maggior ritardo? capitale umano, uso di Internet e integrazione delle tecnologie digitali. progressi invece si registrano nella connettività e nei servizi pubblici generali. Nel pubblico l’innovazione digitale inizia a diffondersi con lo Smart Working e la Blockchain.
In tema di innovazione tecnologica l’ultima indagine triennale di Istat, l’innovazione delle piccole e medie imprese è in aumento: quasi il 49% – di quelle con 10 o più addetti – ha introdotto nuovi processi o nuove modalità organizzative. Aumentano però anche gli innovatori veri e propri, in cui prevale il settore manifatturiero (35,7% delle imprese).
Quali sono le priorità del Governo per affrontare le nuove sfide dell’Italia per l’innovazione? La trasformazione digitale delle imprese e delle pubbliche amministrazioni unitamente alla rinascita imprenditoriale italiana (in particolare negli ambiti hi-tech).
Quale è la differenza tra privacy by design e privacy by default? La privacy by design riguarda la prevenzione dei rischi, per cui la necessità di tutelare il dato sin dalla progettazione di sistemi informatici. Invece, la privacy by default (da default = impostazione predefinita) definisce le finalità e le misure per il trattamento dei dati. Sebben diversi sono entrambi divenuti due concetti fondamentali con l’entrata in vigore del nuovo regolamento europeo sulla privacy.
Vediamo però, separatemente e nello specifico il significato di ognuna delle due.
Privacy by design: significato e procedura
Abbiamo già detto che per privacy by design si intende la nuova necessità di proteggere e quindi tutelare i dati, sin dalla progettazione dei sistemi informatici che li ospitano e che di seguito ne prevedono il loro utilizzo. Quindi è un concetto che riguarda la valutazione dei rischi. Esaminiamoperò anche il concetto di Privacy enabling technologies (PETs), contenuto nel codice che prevede come fondamento delle tecnologie per il miglioramento della privacy stessa e l’utilizzo minimo dei dati stessi.
“I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità“.
Codice della Privacy
Negli ultimi anni infatti la tecnologia ha cambiato i rischi per la privacy e la protezione dei dati che si stanno affrontando in modo bilaterale: pur vero è che i rischi aumentano, ma allo stesso modo così le tecnologie che possono aiutare ad evitare i rischi per i dati stessi. L’idea quindi di modellare la tecnologia secondo i principi della privacy affronta tra l’altro i principi di minimizzazione dei dati, anonimizzazione e pseudonimizzazione. Ciò ha portato al PETs, che copre la più ampia gamma di tecnologie progettate per contrastare le violazioni delle norme sulla protezione dei dati o di contribuire al loro rilevamento.
““L’uso delle PET può contribuire all’ideazione di sistemi e servizi di informazione e comunicazione che permettono di ridurre al minimo la raccolta e l’uso di dati personali e di favorire il rispetto delle norme sulla protezione dei dati. L’uso delle tecnologie PET dovrebbe consentire di contrastare i furti di identità, le frodi e la profilazione discriminatoria”.
Commissione Europea
La privacy by design è un approccio funzionale alle dimensioni dell’azienda: l’art 25 del GDPR, infatti, si basa sulla valutazione del rischio da parte del responsabile del trattamento o dello stesso titolare.
I punti in sintesi sulla prevenzione dei rischi riguardo ai dati
Quali sono i punti più importanti? Prima di tutto la prevenzione e non la correzione di problemi nella prima fase: la progettazione! poi, non in ordine di importanza la privacy come impostazione di default ed inserita nel progetto dell’impresa che in base alle sue esigenze e il principio di trasparenza, ne valuterà la flesibilità e la funzionalità ottimale dalla fase di progettazione e durante tutto il ciclo della vita dello stesso dato ( sia legato ad un prodotto o ad un servizio). Infine bisogna ricordare che il cliente rappresenta la centralità.
Privacy by default: significato e principi
In informatica “deafult” prende il significato di scelta operativa elaborata da un sistema in assenza di istruzioni da parte dell’utente; quindi riguada il valore predefinito di un’impostazione configurabile da parte di un utente che viene applicato a programmi o applicazioni. Lo stesso significato, “impostazione predefinita” viene assegnato anche nel caso della privacy by default.
Anche in questo caso parliamo di protezione dei dati che devono essere trattati sempre attraverso un percorso di politica aziendale o amministrativa interna che ne tuteli la diffusione. Ma non solo, come chiarisce RegolamentoEuropeoProtezioneDati.com, le aziende, i loro titolari o i reesponsabili preposti dovrebbero per impostazione predefinita trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini.
In breve, la privacy per default dice alll’azienda di non ricorrere all’uso eccsessivo di dati senza avendone prima motivato l’utilizzo.
Hackerdiaerei, chi sono? Ma soprattutto è possibile manomettere i sistemi di sicurezza di volo? La seconda risposta, anche se inquietante è la più facile a cui dare risposta: si, è possibile hackerare i sistemi informatici degli aerei. Dobbiamo innanzitutto pensare che il sistema di controllo degli aerei è un enorme computer, in grado di volare anche con il famoso “pilota automatico”.
Il pilota automatico non è altro che un dispositivo meccanico/elettronico che può “guidare” un qualsiasi mezzo senza l’assistenza da parte di un umano, tuttavia anche gli aeroplani più stabili richiedono sempre l’attenzione continua del pilota per poter volare. Questo per ora esclude la sostituzione del vero e proprio pilota con un computer di bordo, che potrebbe ricordarci Hal 9000, di 2001 Odissea nello Spazio.
Pensiamo solo alle conseguenze che potrebbe avere il controllo di un aereo, magari di linea, e dei suoi sistemi informatici. KasperSky afferma che un potenziale di un attacco hacker su un aereo potrebbe essere davvero devastante e possiamo immaginarlo tutti: “pensiamo a un terrorista che non avrebbe più bisogno di prendere passeggeri in ostaggio e di fare irruzione in cabina piloti. Dovrebbe solo dotarsi di un computer portatile”.
Ecco che iniziamo a poter profilare il nostro hacker di aerei, un esperto informatico/terrorista in possesso di un computer che si trasforma in un’arma letale.
Hacker di aerei: Chris Roberts
Chris Roberts, esperto di CyberSecurity, ha affermato all’FBI di aver preso il controllo di un aereo sul quale stava volando, per un breve periodo di tempo, riuscendo anche a cambiare la rotta. Come ci sarebbe riuscito? Manomettendo l’entertainment system collegandosi alla porta USB grazie a un adattatore personalizzato. Una storia vera? In parte.
Durante gli interrogatori dell’FBI Roberts ha affermato di avere violato 15-20 volte – dal 2011 al 2014 – i sistemi di intrattenimento di bordo. In una occasione è persino riuscito a prendere il controllo del motore di un aereo su cui viaggiava dando al computer di bordo il comando ‘Clb’, ovvero ‘climb’, cioè prendere quota. Come sarebbe stato esguito il comando? “Il comando è stato eseguito da uno dei motori del velivolo e di conseguenza l’aereo “si è spostato lateralmente durante uno di questi voli”, riporta sempre il documento. Roberts ha detto di essere a conoscenza di ‘falle’ nei sistemi informatici di tre modelli Boeing e di un modello Airbus. Inoltre, l’esperto ha hackerato i sistemi di intrattenimento di bordo prodotti dalle compagnie Thales e Panasonic”. [leggi la notizia su Repubblica.it]
Sicurezza in volo: il Traffic Alert and Collision Avoidance System (TCAS)
Una notizia di questi giorni avvisa che i ricercatori avvertono che i sistemi degli aeroplani possono essere falsificati compromettendo la sicurezza del volo degli aerei vicini. In che modo? Attraverso il sistema di sicurezza dell’aeromobile noto come “Traffic Alert and Collision Avoidance System” (TCAS) testimoniato dallo studio di Pen Test Partnersche descrive una tecnica di hacking ai danni di uno dei sistemi di controllo di volo utilizzati sui velivoli di linea.
Il report di PTP, come affermato da SecurityInfo.it, spiega che la vulnerabilità interessa il sistema TACS il cui compito è quello di notificare avvisi quando viene rilevata una possibile collisione in volo. Con un atrezzatura da poche decine di dollari – una chiavetta USB per la trasmissione di video – e un un transponder, i ricercatori, hanno dimostrato come sia possibile ingannare il sistema TACS creando “aerei fantasma”.
L’Intelligenza artificiale (AI) sta cambiando il mondo diventando sempre più autonoma nelle sue scelte e decisioni? In alcune visioni futuristiche si teme l’AI possa scatenare le guerre, ma se fosse proprio lei a salvarci?
Algoritmo: “un insieme ordinato di istruzioni che possono essere usate per fare dei calcoli, risolvere problemi e prendere decisioni. Un algoritmo non è un particolare calcolo, ma il metodo seguito per fare il calcolo”.
Yuval Noah Harari
La nostra specie ha conquistato il mondo e quello che ci ha sempre contraddistinto è la coscienza ma un algoritmo non richiede necessariamente di coscienza per poter funzionare. Questo è il dubbio amletico che è abbastanza diffuso e che ne determina principalmente i pro e i contro.
Ciò che si teme è la capacità decisionale delle macchine, che un giorno possano renderci schiavi, mentre forse non ci accorgiamo che ne siamo abbastanza dipendenti già ora.
E’ il caso, ad esempio, della capacità decisionale delle macchine, intese come armi autonome sul campo di guerra in grado di decidere se “premere o no il grilletto”, che in termini etici ci fa riflettere sul fatto se sia etico o meno permettere a delle macchine di uccidere e quanto questo potrebbe rivoltarsi contro l’umanità in futuro.
Ma non solo. Si è vero, può darsi che l’intelligenza artificiale potrà trovarsi davanti ad una scelta, anche piccola e “per avere la sicurezza che non commetta errori, i suoi programmatori dovranno prendere in considerazioni tutte le possibili implicazioni di una data scelta in un dato contesto e così prevedere possibili casi in cui le macchine potrebbero comportarsi in modo sbagliato dal punto di vista etico”.
Ma nel suo piccolo l’Intelligenza Artificiale sta già “prendendo decicisioni”, non solo sta cambiando il modo di lavorare, migliorando i processi aziendali e riducendone i costi, ma ha impieghi specifici a supporto dell’attività dei tribunali. AI Luminance è una piattaforma utilizzata per la due diligence, per l’analisi e la predisposizione automatica di atti, documenti. L’AI sta cambiando la customer care, con la virtualizazione sta cambiando anche il settore del gaming, ed è già in grado di “prevedere tutte le possibili varianti di gioco decine di mosse più avanti”. L’AI sta cambiando il settore automotive e sta cambiando i paradigmi di funzionamento dell’intero settore digitale. In poche parole siamo già nell’era dell’Intelligenza Artificiale.
Intelligenza artificiale predittiva e in grado di leggere nel pensiero
Ci sono due articoli che oggi mi hanno colpito in maggior modo: il primo parla di come l’AI abbia predetto la pandemia attuale impedendodi far crollare le borse; il secondo invece con il tracciato dei movimenti della corteccia celebrale umana si riesca ora a leggere la mente umana con un livello di affidabiltà del 97%. Li riporto qui sotto, a voi il giudizio. Forse, una maggior consapevolezza sull’AI, eviterebbe le tante visioni apocalittiche legate ad una Super Intelligenza. Andrea Biraghi
CyberSecurityeSicurezzaNazionale: dal 6 maggio diremo addio a CERT-PA e CERT Nazionale che trasferiranno le loro funzioni al CSIRTItalia.
Cosa cambierà dunque? Il CSIRT, Computer Security Incident Response Team istituito presso il Dis, dunque è ai nastri di partenza, mentre le altre due strutture tremineranno tutti i loro servizi, sia reattivi che proattivi e cesseranno di esistere come soggetti autonomi.
La decisione è rientrata nell’ambito del piano di attuazione della Direttiva NIS (Decreto legislativo 18 maggio 2018 n. 65) che prevede la costituzione in Italia dello stesso CSIRT, le cue attività sono disciplinate dal DPCM dell’8 Agisto 2019: “Disposizioni sull’organizzazione e il funzionamento del Computer Security Incident Response Team – CSIRT italiano”.
I compiti del CSIRT: CyberSecurityeSicurezzaNazionale
L’attività del CSIRT è disciplinata dal Dpcm 8 agosto 2019: dal 6 maggio 2020, in caso di incidente cibernetico e/o di segnalazione di evento, il CSIRT avrà il ruolo di nuovo ed unico interlocutore, ma giàgià riceve le notifiche obbligatorie e volontarie degli OSE, operatori di servizi essenziali e Fsd, Fornitori di Servizi Digitali ai sensi appunto della Direttiva Nis.
Leggi a tale riguardo – Direttiva NIS: strategie per la Cyber Security, Andrea Biraghi
CyberSecItalia, riassume i compti del CSIRT in tre mission principali:
Ricezione delle notifiche su incidenti relativi alla sicurezza, gestione dell’evento informandone gli Stati UE coinvolti
Garanzia della collaborazione all’interno della rete Csirt parallelamente allo scambio di informazioni.
Il Dipartimento delle Informazioni per la Sicurezza ha sottolineato che con la collocazione del Csirt presso il Dis, verrà favorita “una più efficace gestione tecnica degli incidenti a livello nazionale e internazionale, grazie alle sinergie garantite dalle altre funzioni già assicurate dal Dipartimento in tale ambito, quali il ‘punto di contatto unico nazionale Nis’ per la gestione operativa di incidenti transfrontalieri, il ‘Nucleo per la Sicurezza Cibernetica (Nsc)’ per la gestione operativa di incidenti che hanno un impatto sulla sicurezza nazionale, e le attivazioni che deriveranno dal cosiddetto ‘Perimetro di sicurezza nazionale cibernetica’.”
Leggi l’articolo su CyberSecItalia – Sicurezza Nazionale, dal 6 maggio via al CSIRT Italia
Tra ransomware e malaware nel 2020 l’Italia è tra i paesi più colpiti: secondo il Rapporto di Trend Micro Research nel 2019 il nostro Paese è secondo in Europa e settimo su scala mondiale.
Nel The Sprawling Reach of Complex Threats ransomware sempre più mirati affliggono il settore governativo o quello pubblico relativo anceh alle infrastrutture critiche si sta assistendo ad un cambiamento delle strategie dei cyber criminali. I criminali informatici infatti sono in grado di eseguire azioni più rapide e mirate.
Uno dei maggiori protagonisti della criminalità informatica nel 2019 è stato Ryuk: aziende e enti governativi di tutto il mondo sono stati colpiti da questo tipo di minaccia che cripta i file per chiedere un riscatto. Tra i paesi più colpiti: Spagna, Germania, Cina, Algeria e India. Negli ultimi tre anni, sono stati colpiti milioni di utenti, compromettendo una grande quantità di dati e causando notevoli perdite economiche.
Ma nel 2019 globalmente sono stati copilti almeno 100 paesi, nei quali il settore sanitario rimane il principale obiettivo ransomware: olo negli USA ha colpito 700 strutture. Non immuni il settore governativo e il settore dell’istruzione ed entrambi sono impossibilitati a porare offline i loro servizi a causa di consegeunze che avrebbero comuqneu una vasta portata.
“Ryuk utilizza una miriade di escamotage per ottenere l’ingresso nel sistema IT, insistere e crittografare i file delle sue vittime. Per questo motivo, se non si dispone di una protezione adeguata e non si seguono le linee guida appropriate, questa minaccia può essere molto difficile da contrastare”. DataManager
Ransomware 2020: furti e vulnerabilità online
Come conseguenze del lockdown e dello smart working si sono verificati altri problemi rispetto a vulnerabilt e crminalità informatica nel mobile banking.
Su CorriereComunicazioni.it si legge che tra i nuovi attacchi informatici ci sono messaggi di posta elettronica fraudolenti che pubblicizzano sedicenti cure contro il Coronavirus o fittizie iniziative di solidarietà per sottrarre ai destinatari somme di denaro e credenziali di accesso ai conti online. A lanciare l’allarme sulla cybersecurity sono Bankitalia e Ivass: tra le loro attività ci sono quelle del Certbi, con l’obiettivo di proteggere i sistemi informatici interni e contribuire a garantire la sicurezza del sistema finanziario e assicurativo.
Leggi l’articolo integrale – In Italia è allarme hacker: Bankitalia e Ivass potenziano la cybersecurity
CoronaVirus, CyberSecurity e digitalizzazione: sino ad ora la digitalizazone non era mai stata messa cosi tanto alla prova. Questo non solo riguarda lo smart working, ma la tenuta della sicurezza, la gestione delle vulnerabilità e la capacità delle reti e dei sistemi. Una questione che riguarda da vicino la CyberSecurity.
La pandemia e l’emergenza sanitaria hanno portato le le organizzazioni a escludere i grandi incontri mettendo alla prova chiunque non abbia mai sperimentato il lavoro da remoto. Gli stessi lavoratori, che operavano sotto la sicurezza della connettività in ufficio oggi si trovano in una situazione molto diversa con le stesse richieste di solida sicurezza relativa alla gestione dei dati e il loro trasferimento. Ci si trova quindi a dover affrontare rischi che non sono affatto trascurabili: reti Wi-Fi domestiche non garantite, dispositivi intelligenti non garantiti e innumerevoli altre variabili che trasformano il proprio laptop in un “cavallo di Troia”. La sfida così diviene quella di garantire livelli di sicurezza elevati anche a casa.
Il problema infatti è la poca preparazione di molte aziende riguardo la digitalizzazione, che le espone alle potenziali minacce.
CoronaVirus e CyberSecurity: le opportunità valgono anche per i cyber criminali
I criminali informatici stanno usando la crisi sanitaria globale come un’opportunità per colpire organizzazioni e individui vulnerabili: il telelavoro, il panico generale e l’incertezza che si sta creando intorno al Covid19 stanno solo semplificando questa missione.
I cyber criminali, infatti, tentando di capitalizzare la crisi a proprio beneficio, tenatno di infettare i computer e dispositivi mobile con nuovi malware e vari tipi di truffe. Gli attacchi sono stati indirizzati anche verso le strutture sanitarie e governative sia in Europa, che negli Stati Uniti d’America ma il problema, anche qui è globale.
Covid-19: fake news e ransomware
La maggior parte dei recenti Cyber attacchi sfruttano principalmente i timori legati all’epidemia di COVID-19, alimentati dalla disinformazione e dalle fake news, per distribuire malware tramite le applicazioni Google Play, link e allegati dannosi ed eseguire attacchi ransomware.
Cybersecurity: opportunità per capire cosa non funziona
Non tutto viene per nuocere e soprattutto, dice un detto biosgnerebe fare di necessità virtù: Sul caso INPS , CyberSecItalia, ha intervistato Raoul Chiesa, uno dei massimi esperti nazionali in tema di sicurezza cibernetica. Chiesa, che non ritiene l’incidente un attacco hacker ma bensi interno, afferma anche che si tratti slo della punta dell’iceberg di quello che in Italia non fnziona in ambito di sicurezza informatica.
Leggi l’intervista – Sito INPS in down. “L’attacco hacker? Una bugia che fa capire perché la cybersecurity in Italia non funziona”
AndreaBiraghiCyberSecurity: rassegna stampa Ottobre Novembre 2019. Sono le parole di Sean McFate,ex paracadutista americano e ora consigliere del Pentagono, che ci fanno pensare di essere in un film di Hollywood, ma la cyber war, afferma McFate non è come i film ci vogliono fare credere.
In un articolo del Telegraph UK McFate afferma che “quando le persone pensano al cyber pensano al sabotaggio, ma il vero potere del cyber è l’informazione; plasmare la percezione della realtà della gente e creare una storia. Questo è il futuro della guerra, non dei carri armati. È un modo per entrare nella società e per eroderla dall’interno”.
La guerra così per Sean McFate non riguarda più solo le armi e la potenza di fuoco: “ci sono molti altri modi per vincere e perdere”.
Come? Disinformazione, offuscamento, software dannoso e sfruttamento dell’uso dei social media da parte dei leader nazionali; tra alcune delle nuove linee sul fronte informatico.
In vista anche e soprattutto del 5G si impone un nuovo impegno in materia di sicurezza delle reti e dei sistemi informativi.
Le trasformazioni digitali stanno spingendo le organizzazioni a ripensare le minacce alla sicurezza.La terza edizione annuale del “Rapporto sullo stato della cibersicurezza” di Wipro fornisce fornire una prospettiva per la Cyber Sicurezza globale.
Cyber Security 2019: la NSA lancia una nuova organizzazione per la Cyber Difesa
La National Security Agency (NSA) degli Stati Uniti ha lanciato una nuova organizzazione per migliorare le difese informatiche del paese. I 3punti principali della nuova organizzazione sono:
aiuterà a prevenire le minacce alla sicurezza nazionale e alle infrastrutture critiche.
il suo focus iniziale dovrebbe essere sulla base industriale di difesa e sul rafforzamento della sicurezza delle armi del paese.
verrà completata anche la missione di White Hat dell’NSA, fornendo informazioni sulle minacce e collaborando con clienti e partner per aiutarli a difendersi dai crimini informatici.
Mentre il mondo sta affrontando l’emergenza legata alla pandemia di CoronaVirus i criminali ne approfittano per sfruttare la crisi a proprio beneficio: si tratta però di minacce invisibili che devono essere affrontate aumentando la resilienza di infrastrutture e strutture più a rischio.
A rischio i datisensibili delle pubbliche amministrazioni, delle infrastrutture e delle banche e per ultimo ma non meno importante delle strutturesanitarie. Gli attacchi a queste ultime infatti riescono a bypassare i controlli di sicurezza dei firewall, così da avere facile accesso ai dati sensibili archiviati sui server Web.
Un attacco importante è stato fatto anche all’Organizzazioen Mondiale della Sanità (OMS): gli hacker hanno cercato di violarne i computer senza successo per entrare in possesso di infromazioni su cure e test. A raccontarlo a Reuters è Flavio Aggio, Chief Information Security Officer dell’OMS e così scrive Cyber Italia : “si tratta di dati che in questo momento hanno un valore non quantificabile e che, oltre ad essere monetizzati, possono essere utilizzati per diffondere fake news, aggiungendo incertezza ad una situazione già caotica”.
Cyber Attacchi Covid 19: la riunione straordinaria del Nucleo Sicurezza Cibernetica
A causa dei recenti attacchi informatici al settore sanitario, il Nucleo Sicurezza Cibernetica ha allertato, attraverso il CNAIPIC, la rete sanitaria nazionale per innalzare le difese su reti ed infrastrutture.
La sanità è uno dei settori nei quali gli attacchi sono cresciuti esponenzialmente: si tratta di un settore debole, dove la sicurezza informatica deve essere sviluppata ed implementata anche a livello di formazione ed infromazione: i “cattivi” colpiscono dove è più facile avere successo e i casi registrati in Italia non sono altro che la punta dell’iceberg.
Il livello di allerta è stato innalzato e la vigilanza da parte degli apparati di sicurezza resta alta.
CyberSecurityLeonardo ex Finmeccanica: le strategie sono quelle di aumentare e migliorare la capacità di resilienza cyber dell’Europa, questa l’intenzione espressa da Alessandro Profumo durante il Cybertech Europe 2019 a Roma. Non solo, Profumo ha ricordato che il gruppo “è disposto a ricoprire un ruolo chiave nel panorama europeo della sicurezza informatica”, per affrontare le nuove sfide globali.
L’attenzione è puntata su 3 sistemi complessi: il Decision Support System (DSS), il Cyber Range & Training e il Critical Infrastructure Security.
Nel 2019 il gruppo ha comunicato di poter considerare investimenti azionari così come accordi di collaborazione: un articolo di Reuters fa anche il punto con la ricerca di partnership con società high tech.
Tra le preziose partnership di Leonardo appare anche il nome di Saipem che si è rivolata la gruppo dopo il Cyber Attacco del 2018. Tuttavia, il gruppo, che conta la Nato e il ministero della difesa britannico tra i suoi clienti per prodotti e servizi di cyber security, ha creato una nuova divisione specializzata nel settore che impiega circa 1.500 dipendenti e registra un fatturato annuo di 400 milioni di euro, vale a dire il 3% dei ricavi totali di Leonardo.
Cyber Security Leonardo strategie: il Security Supervision System
Cyber Security Leonardo: le strategie di rezilienza sono anche dedicate alla città e alle sue importanti infrastrutture, questo per affrontare gli innumerevoli rischi ai quali l’ambiente urbano è esposto.
Di questo si è occupato il progetto Harmonise di Leonardo-Finmeccanica che ha sviluppato il così detto il Security Supervision System, una piattaforma di simulazione e supporto decisionale che riguarda l’intervento tempestivo in caso di disastri naturali o umani al ripristino delle condizioni iniziali.
Leonardo: resilienza digitale anche per le infrastrutture strategiche quindi.
Sarà Leonardo a garantire cybersecurity al “Lighthouse Plant” sviluppato da Ansaldo Energia, una delle prime quattro “Fabbriche Intelligenti” previste dal Piano Industria 4.0, promosse dal Cluster Fabbrica Intelligente e finanziate dal Mise. L’accordo rafforza ulteriormente la partnership tra le due aziende nell’ambito della protezione cyber delle infrastrutture strategiche.
Natoesicurezza: dal Rapporto 2019 emerge che l’81% delle persone in tutta l’Alleanza ritiene che la collaborazione tra Europa e Nord America sulla sicurezza sia importante e di seguito sono anche d’accordo con il principio della difesa collettiva.
Quest’anno la NATO festeggia il suo anniversario: il Trattato del Nord Atlantico, che ha determinato la sua cosituzione, è stato infatti firmato a Washington il 4 aprile del 1949. Da allora l’orgaizzazione rappresenta uno strumento di difesa collettiva e di cooperazione militare tra i suoi Stati Membri, nonché foro di dialogo politico, come cita la pagina del Ministero degli Affari Esteri e della Cooperazione Internazionale.
Oggi però la sfida è anche rappresentata dalle capacità di adattamento e di acquisizioni di funzioni nuove che con il tempo e il progresso si sono aggiunte. Negli ultimi anni la NATO ha continuato a rispondere alle sfide alla sicurezza da e verso molte direzioni: rafforzato difesa, aumentato la prontezza delle forze, modernizzando l’intera struttura. Sono perciò stati registrati notevoli progressi nella lotta contro l’ISIS, ma non è ancora finita, cosi come in Afghanistan, dove si cerca di creare le condizioni per la pace.
Il Rapporto 2019 ricorda il rapido cambiamento tecnologico che sta trasformando il mondo in cui tutti viviamo: per ciò a favore dell’innovazione si è investito in tecnologie emergenti come l’Intelligenza Artificiale, il calcolo quantistico e il 5G.
Il Rapporto, quindi, fa anche luce sul fatto che la NATO ha dovuto aumentare la sua resilenza anche nel Cyberspazio, adattandosi ad un mondi in rapido cambiamento.
NATO e sicurezza: Cyberspazio tra le priorità
Il Cyberspazio è parte dei compiti principali dell Nato in materia di sicurezza e difesa colletiva: una delle vie prioritarie, segnalate dal Rapporto 2019, è il rafforzamento delle difese informatiche dell’Alleanza.
Al riguardo è stato reso attivo un centro operativo per il cybersapzio, per assicurare un rapido intervento delle forze NATO anche nella rete, cosi come sulla terra, in aria e in mare.
L’intenzione è quella di poter e saper affrontare le minacce informatiche sempre più complesse in modo più rapido ed efficiente: ma non solo, perchè la difesa contro gli attacchi informatici richiede anche la cooperazione tra organizzazioni internazionali, governi e industria.
D’altronde la politica internazionale e di seguito la geopolitica stanno cambiando con l’avvento della dimensione Cyber.
Interessante a questo proposito l’articolo di Andrea Leoni su EuropaAtlantica.it che così esordisce:
“Il Cyberspazio, considerato dalla NATO come quinto dominio operativo, in aggiunta ad aria, acqua, terra e spazio, il segretario generale Jens Stoltenberg, nel 2019, ha dichiarato che un attacco nel cyberspace ad uno degli alleati innescherebbe un “collective defence commitment”, come previsto dall’Articolo 5 del Trattato Nord Atlantico. Una dichiarazione forte, che risente però dei limiti legati al cyber warfare: la differente percezione dei danni causati da un cyber attacco e da un attacco con armi convenzionali, e la difficoltà dell’ attribuire con assoluta certezza la responsabilità di un attacco“
Emergenza CoronaVirus alias Covid-19: le start up sono chiamate a partecipare alla call della Comissione Europea, per presentare soluzioni innovative con lo scopo di affrontare l’epidemia e lo stato di urgenza. La chiamata è stata fatta dal Consiglio europeo per l’innovazione e la scadenza per le domande all’acceleratore EIC è alle 17:00 di mercoledì 18 marzo (ora di Bruxelles).
“C’è una singola luce scientifica, e dovunque si accenda significa accenderla ovunque”,
Isaac Asimov
C’è forse ancora poco tempo per partecipare ma il progetto ha un budget di 164 milioni di euro e si tratta di un invito “dal basso verso l’alto”: questo significa che non ci sono priorità tematiche predefinite e i candidati con innovazioni pertinenti al Coronavirus saranno valutati allo stesso modo degli altri candidati. Questo significa anche un fondamentale aiuto nell’accesso ad altri finanziamenti e fonti di investimento.
Un vecchio proverbio, ma vero, dice che biosgnerebba fare di necessità virtù, e in questo periodo come non mai la nostra società sta facendo nascere idee, iniziative impensabili: ci si è accorti che tante cose non vanno, che la tecnologia è fondamentale anche per il progresso.
L’EIC, infatti sta già supportando una serie di start-up e PMI con innovazioni rilevanti per il Coronavirus: il progetto EpiShuttle per unità di isolamento specializzate, il progetto m-TAP per la tecnologia di filtrazione per rimuovere materiale virale e il progetto MBENT per tracciare la mobilità umana durante le epidemie.
Emergenza CoronaVirus: potenziamento della rete dei servizi
Su Corriere Informazioni su legge che l’articolo 79 del Decreto approvato dal Governo, dedicato all’emergenza coronavirus si intende adottare nuove “Misure destinate agli operatori che forniscono reti e servizi di comunicazioni elettroniche”. Co ciò si intende mettere gli operatori di Tlc e tutti gli attori della filiera delle comunicazioni elettroniche nelle condizioni di intraprende misure e iniziative atte a potenziare le infrastrutture e a garantire il funzionamento delle reti e l’operatività e continuità dei servizi.
Leggi la notizia su CorriereComunicazioni.it – Tlc pilastro-Paese: ecco le misure per potenziare reti e servizi
IntelligenzaartificialeeCybersecurity: Andrea Biraghi news sulla sicurezza informatica.
L’AI diventa sempre più importante per le nuove sfide nel settore della sicurezza informatica e della protezione dei dati. Ma quando l’intervento umano si verifica come essenziale?
Ce lo racconta AgendaDigitale.eu, esaminado contesti, situazioni e scenari, dal caso di successeo di AlphaGo , software di gioco, l’ambito della diagnostica per immagini, dove l’AI non ha una regola per capire se la propria analisi sia o meno corretta. Ma c’è un’altro tema importante, ed è quello relativo tema della responsabilità dell’errore del programma da aggiungere a quello della sicurezza (security) del programma, che infine viene tradotto in sicurezza (safety) del paziente.
Infine c’è la question legata alla guida autononoma, dove “il processo di analisi di un sistema di machine learning è diverso da quello umano”, ciò significa che gli errori che può compiere l’Intelligenza Artificiale sono spesso radicalmente diversi da quelli umani.
Il rapporto tra Intelligenza artificiale, uomo e Cybersecurity
Quale rapporto hanno Inteligenza Artificiale, uomo e Cybersecurity? Se ne parla in uno speciale articolo su BiMag.it. Si parla oggi di un approccio ibrido che fonde due elementi: apprendimento umano e machine learning.
A partire dall’affermazione di Denis Cassinerio, Regional Sales Director SEUR di Bitdefender, si passa a parlare dei recenti attacchi informatici e degli impatti che questi possono avere sulle aziende, ad esempio, ma anche sulle pubbliche Amminstrazioni e sulla infrastrutture pubbliche e private. Si passa poi ad un’importante domanda: il machine learning e l’intelligenza artificiale sono affidabili negli ambienti aziendali?
Tutte le aziende che desiderano un più rapido processo di rilevazione e mitigazione delle minacce informatiche per evitare che abbiano un impatto significativo sulla loro attività, dovrebbero adottare il machine learning e l’utilizzo di sistemi di intelligenza artificiale, che si basa sull’analisi dei comportamenti e il rilevamento delle anomalie“.
Denis Cassinerio, Regional Sales Director SEUR di Bitdefender
Le parole finali di Cassinero sono: “mentre l’intelligenza artificiale ha il potenziale per diventare un’incredibile arma informatica automatizzata, l’approccio ibrido tra uomo e macchina ha attualmente dimostrato i migliori risultati”
Deepfake: cosa è? Il deepfake è una tecnica per la sintesi dell’immagine umana da parte dell‘intelligenza artificiale (AI). Tramite l’apprendimento automatico immagini e video vengono sovrapposti per creare fakenews e niente meno che crimini informatici.
Spesso video manipolati e alterati, creano notizie e false informazioni inganevvoli, volte ad influenzare l’opionone pubblica e mettendo a rischio la vera informazione.
L’analisi di AgendaDigitale.eu parla del deepfake come frutto non solo dei processi AI e Big Data, ma di “un ecosistema media in cui non è più possibile distinguere ciò che è vero da ciò che è falso e in generale di una società ostaggio di simulacri e finzioni, come aveva previsto Baudrillard”.
«Con la modernità, in cui non smettiamo di accumulare, di aggiungere, di rilanciare, abbiamo disimparato che è la sottrazione a dare la forza, che dall’assenza nasce la potenza. E per il fatto di non essere più capaci di affrontare la padronanza simbolica dell’assenza, oggi siamo immersi nell’illusione inversa, quella, disincantata, della proliferazione degli schermi e delle immagini» (J. Baudrillard, Il delitto perfetto. La televisione ha ucciso la realtà)
Deepfake: il Rapporto Deeptrace
Le insidie dei deepfake vengono raccontate per la prima volta dal Rapporto dei ricercatori della società di sicurezza informatica Deeptrace: il numero di video manipolati, riporta LabParlmanento.it è raddoppiato rispetto al 2018: “a settembre 2019 si contavano qualcosa come 14.678 video contraffatti” e il 96% dei video contraffatti fanno riferimento alla pornografia. Ma le contraffazioni riguardano anche i “falsi politici” costruiti appositamente per indebolire le domocrazie.
Il watermarking a tutela della contraffazione
In che modo verificare l’autore di un prodotto, riconoscere i falsi e tutelare la paternità della creazione? Ancora una volta AgendaDigitale.eu ci insegna qualcosa di importante: “come la paternità di un documento cartaceo è suggellata dall’apposizione della firma, così la paternità di qualunque tipologia di produzione artistica è garantita dall’impronta del suo autore”.
La tecnica del watermarking digitale consiste quindi in una sorta di “firma digitale” inserita all’interno del file multimediale che può essere utilizzata per estarre meta datie acquisire indicazioni.
Per raggiungere davvero l’indipendenza digitale l’Europa infatti deve fare ancora grandi passi, tra cui il rafforzamento della cooperazione tra industria, istituzioni e Paesi alleati. Leonardo punta l’attenzione e guarda anche alle piattaforme e a 3 sistemi complessi: il Decision Support System (DSS), il Cyber Range & Training e il Critical Infrastructure Security.
Ma di cosa si tratta e come vengono utilizzati nella Cyber Security?
1 — Il Decision Support System (DSS) di Leonardo, che misura in modo dinamico l’impatto dei rischi cibernetici, si basa sui sistemi di Intelligenza Artificiale, Big Data, Analytics e IoT. Correlando dati e fonti informative (come threat intelligence, risk assessment, SIEM ed asset management), l’intento è quello di riuscire a misurare una minaccia alla luce delle esperienze pregresse. Il risultato è una migliore capacità analitica e minori tempi di comprensione con capacità di risposte veloci, elevate ed efficienti.
2 —Il Cyber Range & Training, un ambiente integrato per l’addestramento Cyber, permette invece, facendo leva su tecnologie di simulazione e virtualizzazione, di generare scenari complessi di Cyber Warfare. Attraverso la costruzione di esperienze cibernetiche realistiche e immersive, gli studenti possono sviluppare le loro capacità di risposta ad un attacco, interpretandone gli effetti e imparare a contenerlo in modo efficace.
3 — Critical Infrastructure Security: anche se in Europa manca una chiara definzione delle infrastrutture critiche, tutti concordano di innalzare il loro livello di protezione e difesa. L’obiettivo è la loro resilienza informatica se non altro per garantire la continuità dei servizi. Ma riguardo a questo punto fare chiarezza diventa indispensabile.
Rassegna stampaAndrea Biraghi: Cyber Security Marzo 2020, utlime notizie dalla rete sulla Sicurezza Informatica e l’Intelligenza Artificiale.
Mentre sta emergendo una nuova tendenza ransomware, ovvero l’utilizzo delle criptovalute come ricatto e pagamento di riscatto,
il 2020 si sta evidenziando come anno cruciale per comprendere e testare quali scenari si delineeranno nella competizione internazionale sul 5G.
Le nuove tecniche dei cyber criminali non solo si affinano diventando sempre più veloci: sembra che si basino anche sull’utilizzo di tecnologie già consoldidate, come i malware di stato.
Ma non solo, il panorama del Cyber Spazio si sta arricchendo di nuovi ma anche da vecchi elementi che tornano alla ribalta: tra questi il grande ritorno degli hacktivisti.
In materia di difesa invece Il Dipartimento della Difesa, adotterà presto una serie di precise regole per lo sviluppo e l’utilzzo dell’intelligenzaartificiale.
Rassegna stampa Andrea Biraghi: 5G la posta in gioco USA-CINA
La guerra dei dazi tra Stati Uniti d’America (USA) e Cina, ha una posta in gioco molto alta: la superiorità tecnologica per i prossimi decenni, di cui gli USA vogliono mantenere il primato. Le misure volte a frenare la scalata di Pechino, infatti, evidenziano in modo netto come sia visto come vero e prorpio nemico contro i propri obiettivi. Inoltre lo scontro, che vede nella partnership tra pubblico e privato un elemento decisivo, l’Europa gioca la sua partita per non rimanere fuori dai giochi.
Leggi e approfondisci su AgendaDigitale.eu – 5G: la vera posta in gioco nello scontro Usa-Cina e il ruolo dell’Ue
Ransomware e malware: pagamenti di riscatti in criptovalute
Sembra che la nuova era della criminalità informatica sia contrasegnata dai malaware: nuovi ransomware si stanno dimostrando molto efficaci e pericolosi. Ma perchè cyber criminali chiedono il pagamento di riscatto in criptovaluta? La risposta è legata al fatto che le criptovalute forinscono un metodo di pagamento anonimo non rintracciabile.
Mounir Hahad, dei Juniper Threat Labs di Juniper Networks, spiega anche che “gli autori della minaccia hanno capito che il mining di criptovalute non sarebbe stato redditizio quanto il ransomware”.
Leggi su CWI.it – I recenti attacchi ransomware definiscono la nuova era del malware
Dall’altra parte, invece, c’è chi usa i malware di stato: i criminali informatici in questo modo, usando tecnologie già consolidtate, risparmiano tempo e risorse, rendendo la loro identificazione ancora più difficile.
Malware dalla Corea del Nord: Pentagono FBI e Dipartimento di Homeland Security hanno scoperto un nuovo malware prodotto da Hidden Cobra, un team di hacker controllato dal Governo della Corea del Nord.
Ultime notizie: Dipartimento di Difea e Intelligenza Artificiale
Il Dipartimento della Difesa statunitense, sta regolando i principi e le norme in materia di utilizzo dell’Intelligenza Artificiale (AI), enfatizzandone il controllo umano.
Sicurezzainfrastrutturecritiche: un nuovo ransomware spaventa il governo USA e la CISA, agenzia di cyber security, che avvertono dell’esistenza di una nuova pericolosa minaccia.
L’avviso della CISA avviene in risposta a un attacco informatico mirato a una struttura di compressione di gas naturale che ha utilizzato lo spear-phishing per fornire ransomware alla rete interna dell’azienda.
IMPATTO: pur non avendo avuto conseguenze sul controllo delle operazini e sui controllori logici (PLC) l’arresto operativo, deliberato, ha avuto però conseguente perdita di produttività e ricavi.
CONSEGUENZA: i dati critici sono stati cirttografati e i server sono stati messi fuori servizio per due giorni.
Ecco l’annuncio dell’agenzia: “Un attore di minacce informatiche ha utilizzato un collegamento di spear-phishing per ottenere l’accesso iniziale alla rete di tecnologia dell’informazione dell’organizzazione prima di passare alla sua rete di tecnologia operativa. L’attore di minaccia ha quindi distribuito ransomware di materie prime per crittografare i dati per l’impatto su entrambe le reti“.
Contro la sicurezza delle infratstrutture e le loro vulnerabilità gli attacchi di ransomware continuano a intensificarsi in frequenza e in scala, non solo. Il nuovo attacco rivela che il phishing si rivela ancora e putroppo uno strumento efficace per abbattere le barriere della sicurezza.
Sicurezza infrastrutture critiche e dei sistemi strategici
Le minacce informatiche, in continua evoluzione, mettono a rischio le infrastrutture critiche che sono in definitiva veri e propri sistemi strategici, essenziali per una nazione.
Il ransomware temuto dagli Stati Uniti non è l’unico nel cyber spazio: un’altra minaccia recente è Ekan, che coplisce i sistemi industriali.
Ekan, riesce a manomettere i sistemi di controllo industriale IC su cui si basano ad esempio le dighe e le centrali elettriche con lo scopo di mantenere le apparecchiature in sicurezza. Il suo codice cerca e blocca fin modo forzato le applicazioni utilizzate nei sistemi di controllo industriale ICS.
DifesaeSicurezza: l’Italia sta formando i suoi super team per la sicurezza cibernetica e il Ministero della Difesa è pronto a varare il Comando delle operazioni in rete (Cor). Durante la conferenza della quarta edizione di ITASEC (la conferenza italiana sulla CyberSecurity), Angelo Tofalo, sottosegretario alla Difesa con delega al cybersecurity, ha infatti affermato che “Tra gli obiettivi di breve termine della Difesa, quello di rendere operativo il nuovo Comando delle operazioni in rete per la condotta di operazioni di difesa del cyber spazio ha un ruolo prioritario”.
Della nascita dei nuovi super team per la cybersecurity e dell’attuale fase storica cyber-guerriglia permanente ne parla Wired.it, spiegando anche i motivi per cui è oggi necessario alzare i livelli della cyber difesa e migliorare le risposte in fase di attacco. Da qui la necessaria riorganizzazione delle forze di cybersecurity, riunendo sotto un unico comando Areonautica, Marina, Esercito, Carabinieri e dicastero stesso.
E’ stato intanto sottoscritto l’accordo tra Franco Gabrielli, capo della Polizia e direttore generale della Pubblica Sicurezza e Angelo Borrelli, capo del Dipartimento della Protezione Civile. Il documento stabilisce la collaborazione e l’implementazione delle strategie in materia di prevenzione e lotta al Cyber Crime.
Un modello da imitare sarebbe sicuramente quello di Israele, leader della difesa contro le minacce informatiche, con il suo protocollo CyberSecurity, il prodotto di una strategia unica, che potrebber orientare gli sforzi nazionali in campo cibernetico.
Israele, così, considera le minacce informatiche alla stesso modo di quelle fisiche, per ciò anche profondamente coinvolto nello sviluppo di nuove tecnologie relative al dominio cibernetico. In questo Paese, inoltre, gli studenti vengono incoraggiati ad approfondire materie come scienza, tecnologia, matematica o ingegneria per prepararsi alle sfide del futuro.
Cyber Difesa Italia: il perimetro di sicurezza nazionale cibernetica
Cyber Difesa e Sicurezza: in Italia si attende ancora chiarezza in materia normativa. Più precisamente il decreto-legge 105/2019, che ha determinato l’istituzione del perimetro di sicurezza cibernetica, è ancora soggetto ad alcuni dubbi interpretativi.
Intanto il rischio cyber aumenta di giorno in giorno, rappresentanto il primo fattore di rischio per le aziende. Non solo, la capacità dello Stato di gestire i rischi provenienti dal cyber spazio sta diventando una delle priorità strategiche anche per le amministrazioni pubbliche.
Ne parla Samuele Domignoni su Ispionline.it: uno spazio cibernetico legato anche alle dinamiche geopolitiche. “È ormai appurato” scrive Domignoni “che gli Stati nazionali sono degli attori estremamente rilevanti e attivi nell’arena digitale”.
Con gli attacchi informatici in continuo sviluppo le divisioni Cyber e i team di sicurezza devono sempre stare sull’attenti e devono prepararsi per nuovi tipi di minacce e vulnerabilità.
Ma quali sono le situazioni di pericolo reale ahe arrivano dal mondo del Cyber Spazio 2020?
Per comprendere e conoscere le statistiche in tempo reale un utile strumento è la mappa in tempo reale di Kaspersky.
Attacchi informatici e pericoli reali nel 2020
1 – Attacchi Cloud. Alcuni tipi di attacchi recenti sono mirati al Cloud e alle sue applicazioni: le difese perimetrali si sono dimostrate inefficaci. Il risultato nel 2019 è stato l’aumento di incidenti, tra cui la violazione dei dati di Microsoft a causa di un’errata configurazione del database. Ed ecco che l’errore umano torna in campo: i criminali informatici infatti sfruttano più volentieri questa debolezza piuttosto che i difetti tecnici di sicurezza.
Ci si aspetta che il ransomwareprenderà sempre più di mira il Cloud, con veri e propri attacchi mirati: i nuovi attacchi nel 2020 utilizzeranno la memoria scraping di dati sensibili durante l’utilizzo da parte delle applicazioni, in particolare in ambienti cloud pubblici, per ottenere l’accesso ai dati durante la decrittografia. Secondo il Threat Lab di WatchGuard, sempre più a rischio sono gli archivi di file, bucket S3 e ambienti virtuali. Intanto le cifre dei riscatti aumentano in modo allarmante. Il migliore modo pere prevenirli? Pratiche di sicurezza IT e pratiche proattive.
2 – TecnologiaSwarm. In poche parole si tratta di sistemi decentralizzati che utilizzano l’automazione come l’Intelligenza Artificiale, che agisce in modo simile ad uno sciame di insetti. Ma questa tecnologia, utlissima in tanti campi, come la medicina o i trasporti, può essere sfruttata per attaccare reti e dispositivi.
Gli “sciami di bot” specializzati, utilizzati a scopo malevolo, possono infiltrarsi in un network, attaccarne le vulnerabilità, sopraffarne le difese interne ed estrarne i dati. Quel che preoccupa è anche la loro capacità di colpire più più bersagli contemporaneamente.
3 – 5G. L’avvento del 5G può fungere infine da “catalizzatore” per gli attacchi basati sul Swarm. Si è già parlato di come il suo avvento ponga nuove sfide alla Cyber Security in termini di attacchi di 5 generazione ma si deve anche prendere in considerazione come potrebbero essere vulnerabili anche agli attacchi informatici sostenuti da Stati stranieri.
4 – Gli attacchi sostenuti dagli Stati Stranieri. Ultimo ma non meno importante è un documento redatto dalla Commissione Ue e dall’Agenzia europea per la cybersicurezza (Enisa). Il documento mette in guardia contro il rischio di consegnare la realizzazione di infrastrutture della telefonia mobile nelle mani di aziende legate a governi non democratici e poco affidabili (implicito il riferimento a società straniere come Huawei).
Cybercrime, furti di identità e nuovi ransomware: nuovi rischi nei settori automotive e gaming online legato al mondo dei videogames.
I videogames e il gaming online infatti sembrano oggi il luogo ideale per commettere crimini informatici: Agenda Digitale avvisa di tutti i rischi legati a questo settore, terreno fertile anche per il fenomeno del cyberbullismo o il così detto “bullismo da tastiera”, attacchi offensivi ripetuti, fatti su internet e sui social network anche da utenti giovanissimi verso i loro coetanei.
Un altra cosa è invece il cybercrime ad esso legato: con la maggiore possibilità di rimanere meno esposti al rischio, le azioni criminali sono mirate a rubare le identità, anche con attacchi ransomware ma riguardano ad esempio anche il riciclaggio di denaro, con il risultato che nel 2019 ci sono stati, a livello globale – ma soprattutto negli USA e negli Stati Uniti – ben 16 milioni di attacchi. L’Italia non è esclusa. Gli esperti di Cybersecurity affermano che i criminali informatici, per trarre i loro profitti, usino botnet AIO e credential stuffing.
Agenda Digitale riporta minuziosamente i rischi che si corrono soprattutto nelle chat e tramite uso di tecniche di ingegneria sociale. Per approfondire leggi l’articolo: “Gaming online, tutti i rischi: dal cybercrime al cyberbullismo”.
Cybercrime: le minacce informatiche dell’automotive
Il Cybercrime e lo cyber spionaggio prendono di mira le smart cities e il trasporto connesso: con una stima di 250 milioni di veicoli su strada connessi nel 2020 la questione sicurezza è più importante che mai. Le preoccupazioni riguardano soprattutto sicurezza, privacy e resilienza dei nuovi veicoli, ove le applicazioni IoT rappresentano un valore aggiunto ma anche potenziali rischi.
Gabriele Zanoni, consulting systems engineer di FireEye afferma che alcuni ricercatori hanno dimostrato come alcune vulnerabilità presenti nei software di controllo di un veicolo, possano essere state sfruttate per introdurre codici malevoli e modificare, ad esempio, il funzionamento dello sterzo. [Fonte: Repubblica.it].
Lo afferma anche Mary Teresa Barra – General Motors – che proteggere le automobili da incidenti causati da attacchi informatici “è una questione di sicurezza pubblica”.
L’industria automobilistica nel 2020 quindi necessita di adeguamentoai protocolli e strategie mirate di sicurezza, contro i pericoli legati a data breach, errori, fughe di dati.
Le officine sono pronte ad affrontare questo tipo di problematiche? Risponde Andrea Lorenzoni, Project Manager Cyber Security, nell’articolo: “Automobile connessa, anche in officina corre il cyber-rischio”
CyberSecurity2020: quali sono le innovazioni e le nuove tecnologie che domineranno il 2020? Quale sarà l’insieme dei mezzi rivolti alla protezione dei sistemi informatici per la sicurezza? Ma soprattutto quali saranno le nuove minacce informatiche nei prossimi 12 mesi?
Oggi, le sfide correlate alla Cyber Security si stanno evolvendo rapidamente, soprattutto nel campo delle infrastruttre critiche – che forniscono i servizi essenziali che sono alla base della società – e nello specifico quelle legate al settore energia. Oggi l’Intelligence, per proteggerle, si basa su due principali tipi di approccio: quantitativo, ovvero il processo di modellizzazione statistica della Data Science, attraverso il Machine Learning e il Data Mining qualitativo, puntando l’attenzione soprattutto sulla loro resilenza e sulla capacità di ripristino. Soprattutto le infrastrutture stanno diventando vulnerabili agli attacchi digitali, e le violazioni non solo comportano la perdita di informazioni e dati importantissimi, perchè riguardano le stesse persone (vd Cyber Security e Privacy: un data breach da 1,2 miliardi di record).
Questa introduzione, tende a far comprendere il ruolo vitale che la cyber sicurezza svolge nel proteggerci (privacy, i diritti, libertà), quanto sia diventata oramai di interesse pubblico e quanto durante il 2020 sarà più importante che mai. Oggi si discute delle questioni più urgenti che il mondo e il settore dell’IT si trovano ad affrontare, anche in previsione dei nuovi attacchi di Quinta Generazione: lo sviluppo delle tecnologie 5G e Internet of Things (IoT) aumenteranno infatti le vulnerabilità degli utenti con attacchi estremanete articolati.
Un’azienda che investe moltissimo sulla divisione sicurezza informatica, in un contesto in cui aumentano gli attacchi gravi è Leonardo Spa: Barbara Poggiali, nominata a capo della divisione, ha presentato a Profumo ha presentato al numero uno di Leonardo il piano industriale per il mercato cybersecurity preparandosi alle nuove sfide, delle reti di quinta generazione e dell’internet delle cose.
Cyber Security: l’agenda del 2020
In cima all’agenda della sicurezza informatica 2020 e tra i nuovi trend della Cyber Security c’è sicuramente l’IntelligenzaArtificiale, che ricoprirà, nella “corsa agli armamenti” contro la criminalità informatica, sempre più un ruolo crescente e di primo piano sia in ambito di attacco che di difesa. Si punta alla capacità dell’AI di individuare, tra le altre cose, gli schemi di comportamento che stanno alla base degli attacchi informatici e quindi smascherarli. In via di continuo sviluppo sono gli algoritmi di sicurezza di apprendimento profondo (Deep Learning), l’automazione di sistemi vulnerabili all’errore umano e la protezione dell’identità biometrica.
Ciò che fa preoccupare sono le tensioni politiche ed economiche, e le guerre commerciali tra est e ovest, che naturalmente portano a maggiori minacce alla sicurezza. Internet è stato costruito e progettato privo di frontiere o restrizioni alla libera circolazione di informazioni e idee, per e a favore della cooperazione internazionale (anche se chi fornisce i servizi è obbligato comunque a rispettare leggi e regolamenti). Le barriere economiche potrebbero nel 2020 prevenire gli effetti di una cooperazione nazionale.
Altro punto importante sono le campagnedidisinformazione, le fake news e i relativi deepfakes, in arrivo con le nuove elezioni presidenziali statunitensi 2020.
Il deificitdicompetenze nella Cyber Security deve essere reintegrato: questo significa un necessario nuovo ricorso agli investimenti nella formazione del personale nonché nuove assunzioni di esperti competenti in grado di individuare le minacce.
Automotive e IoT: le minacce in Europa
L’hackingdeiveicoli e il furto didati continuano a crescere: le minacce nel settore automotive continuano a crescere. In un recente report di Accenture “Securing the Digital Economy: Reinventing the Internet for Trust” emerge la convinzione comune che “il progresso dell’economia digitale sarà seriamente compromesso se non ci sarà un sostanziale miglioramento della sicurezza su Internet”.
tGli aggressori infati sono in grado di targettizzare i veicoli per accedere agli account di posta elettronica e quindi alle informazioni personali, oppure ai servizi Cloud, ai quali vengono inviati i nostri dati personali per le operazioni di analisi e archiviazione.
Infrastrutture critiche e CyberSecurity: CyberSecurity360 afferma che nel 2019 “rispetto al 2018, negli ultimi dodici mesi è cresciuta l’attività di contrasto operata dal CNAIPIC – Centro Nazionale Anticrimine per la Protezione delle Infrastrutture Critiche”. In un mondo sempre più connesso aumenta la necessità di proteggere con nuove strategie gli apparati strategici del Paese che sono nel mirino degli attacchi criminali informatici.
Durante lo scorso anno il CNAIPIC ha gestito circa 1.181 attacchi: 243 legati a servizi web legati a siti istituzionali e 938 ad aziende e PA locali. Gli alert e le segnalazioni di possibili attacchi verso le infrastrutture critiche nazionali sono aumentati del 30% e sono arrivati a circa 82.484.
In Italia ci sono state tre operazioni importanti: il sequestro preventicvo della piattaforma Exodus, l’operazione Lux (manomissione dei contatori degli esercizi commerciali) e il contrasto ad un gruppo criminale che sottraeva informazioni e dati da database pubblici. [Fonte: Cyber security, il bilancio del 2019: tutti i dati della Polizia Postale – CyberSecurity360]
Infrastrutture critiche e Cybersecurity: in tutto il mondo gli apparati strategici vengono presi di mira dai cyber criminali. Gli obiettivi sono centrali elettriche, ferrovie nazionali e sistemi sotterranei locali o altre forme di trasporto pubblico.
“Tale è la nostra dipendenza dall’elettricità che un blackout prolungato metterebbe a repentaglio i sistemi di trasporto, la fornitura di acqua dolce, le comunicazioni e le banche”.
A livello mondiale, secondo gli esperti Clusit, nel Rapporto 2019 sulla sicurezza Informatica emerge che nel 2018 gli attacchi e le minacce sono cresciuti del 38%. Con un aumento invece del 99% nell’arco di 12 mesi ad essere a repentaglio è la Sanità con attacchi di Phishing e Social Engineering. Ma ciò che più preoccupa è l’aumento del Cyber Spionaggio, con finalità geopolitiche, industriale e militari.
La Sanità, che ha subito l’incremento maggiore (99% rispetto al 2017) è nel mirino dei cyber criminali e il settore pubblico risulta anch’esso tra i maggiormente colpiti. L’aumento dell’aggressività degli attacchi verso sanità e infrastrutture critiche e e’levato incremento dell’utilizzo di tecniche sconosciuti (+47%) dimostra la presenza di una continua ricerca di nuove modalità di attacco e la rapida evoluzione degli attori in gioco, delle loro modalità e delle finalità dei loro attacchi.
Infrastrutture Critiche Energia e l’approcio dell’Intelligence
Oggi ogni infrastruttura critica è basata sull’IT e secondo la definizione del Dipartimento per la sicurezza interna degli Stati Uniti (DHS), “Le infrastrutture critiche della nazione forniscono i servizi essenziali che sono alla base della società statunitense e servono da spina dorsale dell’economia, della sicurezza e della salute della nostra nazione”.
Le infrastrutture critiche sono riconosciute come primarie: la Direttiva Europea che definisce l’infrastruttura critica è la 114/08 CE, ovvero “un sistema o parte di un sistema, ubicato negli stati membri ed essenziale al mantenimento delle funzioni vitali della società, della salute, della sicurezza e del benessere economico e sociale dei cittadini, il cui danneggiamento o la cui distruzione avrebbe un impatto significativo”.
Oggi l’Intelligence ha due principali tipi di approccio per la loro protezione: quantitativo, ovvero il processo di modellizzazione statistica della Data Science, attraverso il Machine Learning e il Data Mininge qualitativo, ovvero capacità di pensiero critico da parte dell’uomo. Ma quando si parla di Infrastrutture critiche il focus non è solo puntato sulla protezione da attacchi e minacce, ma anche sulla resilenza e sulla capacità di ripristino.
La CyberSecuirty e le sfide ad essa correlate si stanno evolvendo rapidamente, motivo per cui la Commissione europea ha adottato una serie di misure tra cui l’istituzione di un quadro legislativo globale.
Tra tutti i settori quello dell’energia rappresenta alcune particolarità che richiedono particolare attenzione:
reazioni in tempo reale, per cui l’autenticazione di un comando o la verifica di una firma digitale non possono semplicemente essere introdotte a causa del ritardo che impongono
inteconnessione di rete elettriche e gasdotti: un black out in un paese significa interruzione in un altro.
progettazioni: molti sistemi sono stati progettati prima che la digitalizzazione entrasse in gioco inoltre l’Internet Of Things pone nuove questioni in materia di sicurezza e minacce informatiche
Nel seguente video George Wrenn, Chief Security Officer e VP Cybersecurity di Schneider Electric, discute dei rischi che emergono all’intersezione tra sistemi informatici e fisici.
Cyber attacchi 2020: il dominio cibernetico assume sempre più rilevanza nelle dinamiche della politica internazionale. Il cyberspazio è diventato un dominio globale sul quale il potere e gli Stati vorrebbero imporre la propria sovranità, con la possibilità di variarne la mappatura: dopo terra, mare, aria e spazio extra-atmosferico, il cyber spazio rappresenta la quinta dimensione della conflittualità.
Cyber attacchi 2020: solo nel Dicembre 2019 IT Governance ha rilevato 90 importanti violazioni di dati e attacchi informatici che includono la compromissione di con 627.486.696 records. Se si guarda in modo complessivo al 2019 ogni 14 secondi un business è stata attaccato da ransomware ogni 14 secondi: il rapporto Clusit che ha operato una panoramica degli eventi di cyber-crime più significativi ha evidenziato un trend di crescita significativo.
Il cyber spazio è divenuto nuova frontiera per le cyber spie e le operazioni di web intelligence: le ultime tecniche usate, anche se non nuove, sono state quelle di mimetizzazione informatica “false flag” come quelle scoperte dal National Cyber Security Center, in cui Mosca ha usato come cavallo di Troia le operazioni nel web dell’intelligence iraniana.
Spionaggio a parte, sulla guerra cibernetica abbiamo ancora molto da imparare: esiste la questione delle diverse percezioni delle regole concordate. Questo è evidente quando, circa dieci anni fa, gli Stati Uniti fecero ricorso al sabotaggio cibernetico anziché ai missili per distruggere diverse installazioni nucleari iraniane: l’Iran rispose con attacchi informatici, distruggendo almeno 30 mila computer in Arabia Saudita e creato seri danni alle banche statunitensi. Sotto questa luce una stabilità strategica nel cyberspazio sembra difficile da mantenere.
La consapevolezza della rilevanza strategica del cyber spazio emerge nel documento “National Strategy to Secure Cyberspace” approvato dalla Casa Bianca nel 2003. Il documento paragona il cyber space ad un “sistema nervoso – il sistema di controllo del paese – composto da centinaia di migliaia di computer interconnessi, server, router, cavi in fibra ottica che permettono alle nostre infrastrutture critiche di lavorare. Così, il sano funzionamento dello spazio cibernetico è essenziale per la nostra sicurezza nazionale”.
Il rischio di cyber attacchi tra Usa e Iran è aumentato dopo l’uccisione del generale Soleimani ma già nel 2019 gli Stati Uniti hanno effettuato un’operazione cibernetica segreta contro l’Iran (che ha negato il suo coinvolgimento) in seguito agli attacchi del 14 settembre contro le strutture petrolifere dell’Arabia Saudita, come ha riportato Reuters. Il gruppo militante Houthi allineato all’Iran nello Yemen ha ne invece rivendicato la responsabilità. Durante tutto il 2019 gruppi di hacker iraniani hanno ripetutamente attaccato vari obiettivi negli Stati Uniti: l’obiettivo principale di questi attacchi è stato cyber-spionaggio, parte invece sono legati alla criminalità informatica.
Cyber space 2020
Ma ora più che mai gli USA sono in allerta, le infrastrutture critiche al primo posto, secondo l’avviso del (National Terrorism Advisory System (NTAS). Mentre il report Eurasia 2020 assicura che non ci sarà una vera e propria guerra tra Iran e USA, l’Iran continuerà a colpire le petroliere nel Golfo, e porterà avanti attacchi cyber contro cittadini e aziende degli Stati Uniti e i loro alleati. I cyber attacchi del 2020, con il progresso della tecnologia, possono essere dirompenti e diventare distruttivi.
I malware e il controllo delle informazioni, in una guerra non cinetica, possono essere usati come vera e propria arma anche su paesi con maggior potenzialità militare e il campo di battaglia si allargherebbe.
Prevenire gli attacchi informatici è diventata la principale priorità per le aziende di ogni dimensione. In parallelo stanno aumentando anche i budget per acquistare ed integrare nuove soluzioni per la sicurezza informatica al pari dello sviluppo di team interni dedicati all’IT. Il risultato è un continuo aumento della spesa in nuove soluzioni per tenersi al passo con l’evoluzione degli attacchi. Questo perchè man mano che le reti diventano sempre più complesse le minacce aumentano in modo proporzionale, intervenire sulle intrusioni prima che si verifichino assume un’importanza ancora maggiore.
Utilizzando le migliori pratiche della Chaos Engineering (Ingegneria del Caos) è possibile oggi comprendere meglio i punti deboli dei sistemi ed infrastrutture, prevedendo dove e come un hacker potrebbe infiltrarsi nella rete e quali siano le migliori misure di sicurezza da adottare.
Chaos Engineering e Cyber Security
Il processo noto come ingegneria del caos, che può determinare un enorme ritorno sugli investimenti, è stato utilizzato ad esempio in Netflix: il team IT ha ideato un software, chiamato Chaos Monkey, per tenere sotto stress i server e gli applicativi in modo da renderli resilienti nelle occasioni più difficili. L’idea era quindi quella di simulare il tipo di errori casuali del server che si verificano nella vita reale. Jason Yee, Technical Evangelist di DataDog, descrive così questo processo: …”in un ambiente accuratamente monitorato con ingegneri pronti ad individuare qualsiasi problema, possiamo sempre imparare quali sono le debolezze del nostro sistema, e costruire meccanismi di recupero automatico in grado di contrastarle”.
Chaos Monkey, che randomicamente termina istanze, ha un vantaggio considerevole: poter limitare i malfunzionamenti ad un periodo di tempo in cui il team è pronto ad intervenire, e soprattutto poter essere a conoscenza di quale istanza è stata terminata. Ad ogni guasto programmato si può analizzare la situazione e vedere se il sistema è riuscito ad adattarsi prontamente, evidenziando le debolezze e rendendo l’intero sistema più robusto, fino al momento in cui i fallimenti non verranno più notati.
Prevenire gli attacchi informatici significa fermare gli hacker prima che si infiltrino in un sistema: in sistemi grandi e complessi, è in sostanza impossibile prevedere dove si verificheranno gli “errori”. La differenza dell’ingegneria del caos sta nel vedere invece questi errori come opportunità: siccome il fallimento è inevitabile, perché non provocarlo in modo deliberato tentando di risolvere gli errori generati in modo casuale di modo che i sistemi e i processi possano poi gestirli?
La risposta è che sebbene gli esperimenti di caos possano avere conseguenze negative a breve termine, essi identificano più spesso i rischi maggiori che si profilano per il futuro. Gli esperimenti quindi dovrebbero essere progettati per formire indicazioni utili senza mettere a rischio i sistemi.
Prevenire gli attacchi informatici in futuro: AI e Chaos Engineering
L’ingegneria del caos è un modo proattivo di identificare le debolezze e prevenire gli attacchi prima che i danni siano irreparabili. Si tratta di un porcesso che incoraggia gli sviluppatori a cercare lacune e bug che potrebbero non incontrare normalmente, affinando la loro reattività e la resilenza.
Essere proattivi, senza quindi attendere che le minacce arrivino, è la chiave per rimanere sicuri: difatti molte violazioni dei dati nascono in questo modo, con criminali che scoprono le lacune di sicurezza non rilevate in precedenza. In teoria quindi la chaos engineering e l’introduzione di esperimenti casuali per testare la stabilità generale dei sistemi è l’unico modo per mantenerli sicuri.
In modo molto probabile questo processo sarà in futuro affiancato dall’Intelligenza Artificiale (AI) e dall’apprendimento automatico: si prevede qundi lo sviluppo di sistemi intelligenti che monitoreranno prestazioni e stabilità durante i test e che saranno in grado di identificare minacce prima sconosciute.
Cyber Security e AI: quali sono le sfide del 2020 e gli scenari futuri nell’epoca della cyberwar?
Nel 2020 l’intelligenza artificiale (AI) potrebbe controllare tutte le indagini sulla sicurezza interna, indagare sulle potenziali minacce e produrre report: tutto questo molto più velocemente di qualsiasi essere umano.
Intelligenza artificiale
Se l’AI può rappresentare una soluzione per i professionisti della sicurezza informatica, per contrastare in modo veloce ed efficace gli attacchi, potrebbe però diventare un’arma nelle mani dei criminali informatici. Gli aggressori infatti dipenderanno sempre più da questa tecnologia per risucire a decodificare i meccanisimi di difesa delle organizzazioni, arrivando a simulare gli schemi comportamentali per infiltrarsi nei sistemi. Le loro reti infatti stanno aggiornando le tecniche di hacking e per contrastarli non basterà l’intervento umano: ricordiamoci che ad un criminale informatico basta solo una porta aperta per entrare, mentre un sistema per difendersi le deve tenere tutte chiuse. Le possibili falle sono numerose e l’intensificazione delle soluzioni attraverso l’innovazione e la tecnologia è indispensabile.
Cyber Security e AI: tra le previsioni per il 2020 l’intelligenza artificiale (AI) e il machine learning (ML) c’è la gestione degli asset management, con il successivo miglioramento della resilenza degli endpoint. Un altro punto importante riguarda il rilevamento delle minacce informatiche: l’AI è infatti in grado di esaminare una vasta gamma di set di dati, arrivando a risultati sempre più precisi. Automatizzare le operazioni di sicurezza, che stanno diventando un problema di big data, diventerà via via più importante, e l’umo da solo non rappresenta più una risposta efficace.
Se nel 2020 è previsto che almeno il 63% delle imprese adotterà sistemi e soluzioni di intelligenza artificiale è perchè quest’ultima è in grado di offrire un ambiente più sicuro. Ma anche i sistemi AI possiedono potenziali vulnerabilità, basti pensare alle implicazioni del’Internet of Things (IoT) o ai veicoli a guida automatica (self-driving cars). I sistemi IoT sono infatti esposti a rischi collegati alla sicurezza: oggi è quindi indispensabile proteggerli e quanto mai sono importanti soluzioni di cyber security per risolvere le loro vulnerabilità. Diviene anche fondamentale lo sviluppo di modelli di digital forensics per recuperare le prove degli attacchi.
Cyber Security e AI: sicurezza e vulnerabilità
Il problema della sicurezza legata agli algortimi AI è nota da tempo: tra le vulnerabilità tempo fa era stata rilevata quella legata al riconsocimento delle email spam, oltre al problema delle contaminazioni di dati attraverso il poisoning.
Di recente le comunità scientifiche stanno lavorando proprio al problema della sicurezza: le contromisure che si stanno adottando sono volte a mitigare la vulnerabilità degli algoritmi, legata al fatto che nessuno di loro è stato progettato per riconoscere alcune particolari trasformazioni ostili dei dati in ingresso.
Cyber Security e Privacy: tra i maggiori data breach del 2019, ce n’è uno che ha esposto 4,1 miliardi di record.
Recentemente è stato scoperto, su un serve non protetto (accessibile senza password) un gigantesco database di 4 terabytes contenente 1,2 milardi di record di informazioni personali, inclusi account di social media (tra cui Facebook, Linkedin, Twitter), indirizzi e-mail e numeri di telefono, raggiungibili da chiunque. I dati non includonoi informazioni sensibili come numeri di carta di credito o numeri di previdenza sociale. Il server era raggiungibile all’indirizzo: http://35.199.58.125:9200.
La scoperta è stata fatta dal Ceo di Night di Lion Security, Vinny Troia, durante una scansione di routine per individuare i dati non protetti: la maggior parte di questi, ritiene l’esperto in security che ha denunciato il fatto al Federal Bureau of Investigation (FBI), sono raccolti su un server Google Cloud da una società privata, “People Data Labs”. L’amministratore delegato di People Data Labs, Sean Thorne, ha ammesso che alcuni dati prvengono dalla sua azienda ma sospetta che siano stati aggregati da un’altra società che unisce vari data point.
“E’ la prima volta che vedo tutti questi profili social raccolti ed integratu con le informazioni del profilo utente in un unico database di queste dimesnioni” afferma Vinny Troia. Criminali informatici e malintenzionati possono utilizzare tutti questi dati per dirottare gli account
Per verificare la violazione dei propri account si può utilizzare il sito specializzato “Have I Been Pwned“.
Cyber Security i maggiori attacchi alla privacy del 2019
Cyber Security e Privacy: sempre più frequentemente sentiamo parlare di violazioni di dati o alla sicurezza, sempre più spesso di malware e vunerabilità che i cirminali infromatici sfruttano a proprio vantaggio. Le Agenzie federali riconoscono la crescente minaccia di questi exploit, attacchi che possono essere piccoli ma anche portare a grandi disastri. Attacchi che vengono portati a termine per guadagni monetari, per monitorare determinati individui e ottenere informazioni sensibili per lo spionaggio.
Putroppo con l’aumentare degli attacchi informatici è difficile saper cosa ci riserva il futuro. I dati online non sono così sicuri come si pensa, soprattutto se non si seguono buone pratiche di sicurezza per garantire la propria privacy.
Cyber Security Ultime notizie: nel WhitePaper di Yoroi dal titolo”Data Leak: quanto siamo a rischio?”, viene confermato che i dati di “multinazionali, enti governativi, organi di polizia, partiti politici, software house, provider di servizi, case editrici, giornali, associazioni no profit e social networks sono stati trafugati ed utilizzati per alimentare l’economia cyber-criminale. Molti di questi account, credenziali o accessi sono stati, ad un certo punto della loro storia, venduti o ceduti all’interno di mercati neri e Darknet, dando la possibilità ad altri attaccanti di abusarne, ponendo a rinnovato rischio i milioni di utenti coinvolti nella compromissione di queste entità“.
Cyber Security Ultime Notizie: i maggiori attacchi del 2019
Tra i maggiori attacchi del 2019 vi sono: Dunkin Donuts Credential Stealing ,Whatsapp Hack, Fortnite Breach, Capital One Bank, Toyota Data Breach e iPhone Surveillance.
Quest’ultimo, scoperto dal team Project Zero di Google, che ha rivelato che numerosi “siti Web compromessi” sono stati utilizzati per attaccare l’iPhone, anche quello più aggiornato. Quindi visitare il sito compromesso è stato sufficiente per consentire al server exploit di attaccare il dispositivo e, nel caso di successo, installare un impianto di monitoraggio sul dispositivo.
I siti non sono stati divulgati, ma sembra abbiano preso di mira una determinata area geografica o demografica. La natura dell’attacco dissipa anche la convinzione che l’iPhone non sia suscettibile a gravi violazioni della sicurezza indiscriminata.
