Sul blog della Kraken Security Labs è stato condivisa la dimostrazione dell’hacking di impronte digitali e quindi sostenuto come ciò può rendere inutile l’autenticazione biometrica come metodo di verifica.
La ricerca che porta il titolo “Your Fingerprint Can Be Hacked For $5. Here’s How” mostra quindi un trucco per hackerare le impronte digitali, che può essere elaborato con l’utilizzo di apparecchiature facilmente reperibili che possono essere trovate sul mercato a circa $ 5.
L’autenticazione delle impronte digitali è una comoda alternativa alle password e ai codici PIN.
Chi vuole passare il tempo a digitare una lunga serie di numeri, lettere e caratteri quando è sufficiente un semplice tocco? Sfortunatamente, questa comodità ha un costo. Perché, a differenza di una normale password, lasci la tua impronta digitale sulle porte dei taxi, sugli schermi dell’iPhone e sui bicchieri di vino del tuo ristorante locale.
Kraken Security Labs
Hacking di impronte digitali: il video dimostrativo
Nello specifico, tutto ciò che serve a un aggressore è catturare una fotografia dell’impronta digitale di qualcuno per riprodurla digitalmente.
Le persone infatti lasciano le loro impornte ovunque:su diverse superfici, come mobili, superfici di dispositivi e molto altro, e chiunque può copiare l’impronta digitale del suo bersaglio.
Dopo aver scattato una fotografia, l’avversario può ricreare digitalmente l’impronta digitale tramite qualsiasi software, come Adobe Photoshop . Una volta fatto, l’aggressore deve quindi stampare l’impronta digitale su un foglio di acetato. Una semplice stampante laser può servire a questo scopo. Ciò produrrà un modello 3D dell’impronta digitale target. Quindi, si stende la colla per legno sulla stampa, si lascia asciugare ed ecco l’impronta digitale duplicata pronta per la scansione.
Proteggersi dagli attacchi
Un’impronta digitale – afferma Kraken Security – non dovrebbe essere considerata un’alternativa sicura a una password complessa. In questo modo le informazioni – e, potenzialmente, i criptoasset – sono vulnerabili anche agli aggressori meno sofisticati.
Dovrebbe essere chiaro ormai che, sebbene la tua impronta digitale sia unica per te, può ancora essere sfruttata con relativa facilità. Nella migliore delle ipotesi, dovresti considerare di utilizzarlo solo come autenticazione a secondo fattore (2FA).
Cyber spionaggio delle tecniche di hacking da parte della Nord Corea per rubare ai ricercatori cinesi tecniche e strategie.
Secondo una ricerca di CrowdStrike condivisa esclusivamente con The Daily Beast, hacker con sospetti legami con la dittatura di Pyongyang hanno perseguito i ricercatori cinesi della sicurezza in un apparente tentativo di spionaggio per rubare le loro tecniche di hacking.
Gli hacker nordcoreani – secondo CrowdStrike – avrebbero preso di mira i ricercatori di sicurezza cinesi con documenti esca in lingua cinese etichettati “Securitystatuscheck.zip” e “_signed.pdf“, nella speranza che i ricercatori sarebbero stati costretti a fare clic sulle esche.
I documenti, che CrowdStrike ha scoperto a giugno, contenevano informazioni sulla sicurezza informatica del Ministero della Pubblica Sicurezza cinese e del Comitato tecnico nazionale per la standardizzazione della sicurezza delle informazioni.
Cyber Spionaggio la banda hacker Stardust Chollima dal Nord Corea
CrowdStrike chiama la banda di hacker nordcoreana “Stardust Chollima” – ma che altri ricercatori etichetterebbero come Lazarus Group – con ogni probabilità ha inviato le esche tramite e-mail, ha detto a The Daily Beast Adam Meyers, vice presidente dell’intelligence di CrowdStrike. Questa campagna sembra imitare le precedenti missioni di hacking nordcoreane che utilizzavano e-mail e social media per tentare di distribuire malware ai ricercatori di sicurezza, afferma Meyers.
La tattica potrebbe ampliare la roadmap del team di hacker di Kim Jong Un per superare in astuzia altri hacker in tutto il mondo.
Per la Corea del Nord, che gestisce operazioni di hacking volte a raccogliere entrate per finanziare il regime, incluso il suo programma di armi nucleari, il nuovo know-how di hacking potrebbe fare la differenza.
E queste operazioni, ha detto Meyers a The Daily Beast, probabilmente consentono ai nordcoreani di rubare exploit o apprendere nuove abilità di hacking che altrimenti non avrebbero.
“Per la ricerca sulla vulnerabilità in particolare sarebbe interessante: in effetti ti permette di raccogliere e rubare armi che puoi usare per altre operazioni. Potrebbe anche fornire loro informazioni su nuove tecniche di cui non sono a conoscenza e su come viene condotta la ricerca”, ha affermato Meyers. “Ti consente anche di sapere come appare la posizione di sicurezza in altri paesi”.
Leggi anche: Cina e spionaggio: la criminalità non sarà più la norma, gli hacker saranno statali
La sicurezza IoT (internet of things o Internet delle cose) è un settore della tecnologia dell’informazione che si concentra sulla protezione di dispositivi endpoint, reti e dati relativi a dispositivi connessi come frigoriferi intelligenti, telecamere di sicurezza a monitor o automobili e le loro applicazioni e i dati associati che possono essere compromessi.
Ma perché la sicurezza IoT è necessaria ed importante? Dopotutto, le tecnologie “intelligenti” dovrebbero anche essere sicure, giusto? Se però alla nostra rete continuiamo ad aggiungere dispositivi più punti di ingresso andremo a creare e se solo uno di questi dispositivi presenta una vulnerabilità può essere la porta attraverso la quale entrerà un malintenzionato, mettendo i nostri dati a richio. Pensiamo poi a coa può succedere ad un’azienda o ad un’organizzazione.
Secondo Mike Nelson, vice presidente di IoT Security di DigiCert risponde:
“In sostanza, l’IoT consiste nel connettere le cose per creare nuovi dati utilizzabili. Ogni volta che la connettività viene introdotta in un sistema, i rischi informatici aumentano. Se non protetta, questa connettività può aprire backdoor nella rete dell’organizzazione. Inoltre, con la crescente connettività, i nuovi dati generati e trasmessi creano ulteriori rischi. Ogni volta che questi dati contengono informazioni aziendali o personali sensibili, devono essere trattati in modo confidenziale”.
Quando acquistiamo dispositivi IoT, ci aspettiamo che siano sicuri. Sappimao anche però che nessuna tecnologia o software è sicuro al 100%. Bioagna ricordare che anche i dispositivi IoT sono progettati e programmati dalle persone e le persone commettono errori. E anche un errore insignificante può avere un grande impatto: pensiamo solo ad un dispositivo intelligente usato in ambito medico.
Secondo Niko Sagiadinos, sviluppatore e proprietario della società di digital signage SmilControl :
“I dispositivi IoT possono essere utilizzati come gateway per l’infrastruttura digitale dell’azienda o del Paese. Cavalli di Troia per lo spionaggio, malware per il sabotaggio e ransomware per ricatto fraudolento”.
Infine il Threat Intelligence Report di NetScout afferma che molti dispositivi IoT possiedono vulnerabilità note che li rendono facili da compromettere se connessi ad Internet. A ciò si aggiunge che molti non dispongono di un meccanismo di aggiornamento software e quindi ad un certo pnto della loro vita.
Prese di mira le reti informatiche nel settore delle telecomunicazioni che secondo il rapporto CrowdStrike sono sotto attacco. Il gruppo di criminali informatici potrebbe essere potenzialmente collegato alla Cina, ma al momento non ci sono evidenze che gli attacchi possanno essere collegati a questo paese.
Le società di telecomunicazioni sono state a lungo un obiettivo primario per gli stati-nazione, con attacchi o tentativi visti da Cina, Russia, Iran e altri paesi e secondo il rapporto LightBasin (UNC1945) si rivolge costantemente al settore su scala globale almeno dal 2016. Il gruppo ha compromesso – con successo – almeno 13 gruppi di telecomunicazioni solo negli ultimi due anni.
Adam Meyers di CrowdStrike ha affermato che la sua azienda ha raccolto le informazioni rispondendo a incidenti in più paesi, qundi martedi la società ha pubblicato tutti dettagli tecnici per consentire ad altre società di verificare attacchi simili. Meyers ha infatti sottolineato la criticità di proteggere tutti gli aspetti dell’infrastruttura di telecomunicazioni che sono sotto attaccao e che secondo sempre la società continueranno ad essere prese di mira.
LightBasin inizialmente ha avuto accesso al primo server eDNS tramite SSH da una delle altre società di telecomunicazioni sotto attacco e compromesse, utilizzando password estremamente deboli e di terze parti (ad es. Huawei).
Successivamente, LightBasin ha implementato la propria backdoor SLAPSTICK PAM sul sistema per trasferire le credenziali in un file di testo offuscato. LightBasin è poi passato a sistemi aggiuntivi per impostare più backdoor SLAPSTICK.
Successivamente, LightBasin è tornato ad accedere a diversi server eDNS da una delle società di telecomunicazioni compromesse mentre implementava un impianto di segnalazione del traffico ICMP tracciato da CrowdStrike come PingPong con il nome file /usr/bin/pingg, con persistenza stabilita tramite lo script SysVinit modificato /etc/rc .d/init.d/sshd attraverso la seguente riga aggiuntiva:
Italia seconda in Europa per attacchi informatici: sono le rilevazioni di CheckPoint Software Technologies, che afferma che gli attacchi ammontano a oltre 900 a settimana.
Tra i settori colpiti da attacchi cyber gravi negli ultimi dodici mesi, spiccano (in ordine decrescente): “Multiple Targets”: 20% del totale. Si tratta di attacchi realizzati in parallelo verso obiettivi molteplici, spesso indifferenziati, che vengono colpiti “a tappeto” dalle organizzazioni cyber criminali, secondo una logica “industriale”. Gli attacchi verso questa categoria di obiettivi sono tuttavia in calo del 4% rispetto al 2019.
Come in tutti i Paesi, il ransomware è stato la forma di attacco più utilizzata e, in Italia, la percentuale di organizzazioni colpite da ransomware ogni settimana nel 2021, è del 1.9%
Il rapporto Clusit 2021, registra nell’anno della pandemia il record negativo degli attacchi informatici: a livello globale sono stati infatti rilevati 1.871 gli attacchi gravi di dominio pubblico nel corso del 2020. L’impatto degli attacchi – sottolineano gli esperti – ha risvolti in ogni aspetto della società, della politica, dell’economia e della geopolitica
Settore Governativo, Militare, Forze dell’Ordine e Intelligence hanno subìto il 14% degli attacchi a livello globale, mentre la Sanità, è stata colpita dal 12% del totale degli attacchi. Il settore Ricerca/Istruzione,ha ricevuto l’11% degli attacchi, i Servizi Online, colpiti dal 10% degli attacchi complessivi. Sono cresciuti, inoltre, gli attacchi verso Banking & Finance (8%), Produttori di tecnologie hardware e software (5%) e Infrastrutture Critiche (4%).
Raapporto Clusit – Settori più colpiti
Attacchi informatici in italia e a livello globale: distribuzione degli attaccanti
L’81% degli attacchi è rappresentato dalla categoria del cyber crime: il numero è quello più elevato negli ultimi dieci anni, con una crescita del +77% rispetto al 2017 (1 .517 contro 857) e del +9,7% rispetto al 2019 .
A dimunire per contro sono gli attacchi provenienti dalla categoria “Hacktivism”, che diminuiscono ancora (-2,1%) rispetto al 2019.
Nle 2020, aumentano gli attacchi gravi compiuti per finalità di “Cyber Espionage/Sabotage” (+30,4%) e quelli appartenenti alla categoria “Cyber Warfare” (+17,1%) ma risluat smepre più difficile distinguerli.
Secondo le dichiarazioni di Microsoft – rilasciate la scorsa settimana – gli hacker sostenuti dallo stato russo stanno avendo un maggiore successo nel violare obiettivi negli Stati Uniti e altrove. Microsoft ha anche aggiunto: il loro obiettivo e target principale degli attacchi sono le organizzazioni governative.
Secondo i ricercatori, le organizzazioni governative hanno rappresentato e rappresnetano ancora oltre la metà degli obiettivi per i gruppi di hacker collegati a Mosca per l’anno fino a giugno 2021, rispetto a solo il 3% dell’anno precedente.
Il tasso di successo delle loro intrusioni – tra obiettivi governativi e non governativi – è passato dal 21% al 32% anno su anno. Intanto il governo USA cerca di rafforzare le difese contro lo spionaggio informaticocollaborando con gli alleati e condividendo pubblicamente le attività dei cyber criminali. La collaborazione è un punto fondamentale dell’azione contro la criminalità informatica sottolinea la CNN perchè si sta assistendo ad un condidervole aumento degli attacchi.
Il colleggamento degli hacker dello stato russo con le tensioni geopolitiche
Gli hacker russi dietro l’hacking di SolarWinds stanno cercando di infiltrarsi nelle reti governative statunitensi ed europeei dati includono l’operazione di spionaggio russa che ha violato almeno nove agenzie federali statunitensi nel 2020 sfruttando il software realizzato da SolarWinds, una società con sede in Texas.
Lo stesso gruppo russo dietro quell’attività ha continuato negli ultimi mesi a tentare di violare le organizzazioni governative statunitensi ed europee.L’amministrazione Biden ad aprile ha incolpato il servizio di intelligence estero russo, l’SVR, per quella campagna di spionaggio.
CNN
Mosca ha negato perà il suo coinvolgimento.
Tuttavia nel report di Microsoft – che ricorda chel ‘attività informatica è spesso correlata a dinamiche e tensioni geopolitiche più ampie – si legge che il 58% dei tentativi di hacking legati al governo ha avuto origine in Russia, seguito dal 23% dalla Corea del Nord, dall’11% dall’Iran e dall’8% dalla Cina. Questi ultimi sono stati registrati come i paesi più attivi.
Secondo Microsoft infatti mentre la Russia ha rafforzato le sue presenze di truppe lungo il confine con l’Ucraina all’inizio di quest’anno, lo stesso gruppo di hacker che ha effettuato le violazioni di SolarWinds ha “pesantemente preso di mira gli interessi del governo ucraino”.
“Storicamente, gli attacchi agli stati-nazione tendono a seguire dove si trova una priorità geopolitica per un paese”
Cristin Goodwin, capo dell’unità di sicurezza digitale di Microsoft alla CNN.
Il gruppo di cyber criminali Nobelium – gruppo sostenuto dalla Russia che ha violato SolarWinds – hanno individuato una nuova backdoor.
Sono i ricercatori Microsoft ad avvisare del nuovo malware ad accesso remoto chiamato FoggyWeb: il malware sarebbe utilizzato da aprile 2021 per mantenere la persistenza sui server Active Directory compromessi.
Secondo il ricercatore Microsoft Ramin Nafisi, la backdoor di FoggyWeb viene utilizzata come parte del processo per ottenere le credenziali utente che gli hacker di Nobelium utilizzano per spostarsi in una rete e accedere a informazioni più preziose.
Dopo aver compromesso un server Active Directory Federation Services (AD FS) tramite exploit di bug, FoggyWeb viene quindi installato per consentire agli hacker di persistere sul server. Da lì, le credenziali vengono raccolte a distanza.
La stessa backdoor è crittografata all’interno di un’applicazione di caricamento progettata per camuffarsi da una DLL Windows legittima. Una volta caricato, FoggyWeb opera con privilegi di amministratore.
FoggyWeb è una backdoor in grado di estrarre in remoto informazioni sensibili da un server ADFS compromesso. Può anche ricevere componenti dannosi aggiuntivi da un server di comando e controllo (C2) ed eseguirli sul server compromesso.
Dopo aver compromesso un server ADFS, è stato osservato che NOBELIUM ha rilasciato i seguenti due file sul sistema (sono necessari privilegi amministrativi per scrivere questi file nelle cartelle elencate di seguito):
Microsoft – FoggyWeb: Targeted NOBELIUM malware leads to persistent backdoor
“Una volta che Nobelium ottiene le credenziali e compromette con successo un server, l’attore fa affidamento su tale accesso per mantenere la persistenza e approfondire la sua infiltrazione utilizzando malware e strumenti sofisticati”
Ritenuto operante con il sostegno del governo russo, Nobelium, noto anche come Cozy Bear e APT29, è responsabile dell’hacking di SolarWinds nel 2020 e di numerose successive violazioni della rete, grazie a una backdoor installata a Orion, l’IT di SolarWinds piattaforma di gestione.
Sebbene SolarWinds sia stato di gran lunga il più grande colpo di hacking, Nobelium ha operato per più di mezzo decennio ed è stato coinvolto in una serie di altri attacchi, in particolare la violazione del 2016 del Comitato nazionale democratico.
SpywarePegasus: serve una migliore regolamentazione della tecnologia di sorveglianza e a chiederla è l’ONU.
Lunedì le Nazioni Unite hanno lanciato l’allarme per le notizie secondo cui diversi governi hanno utilizzato malware per telefoni israeliani per spiare attivisti, giornalisti e altri, sottolineando l’urgente necessità di una migliore regolamentazione della tecnologia di sorveglianza.
Attivisti, giornalisti per i diritti umani ed oppositori politici sono stati oggetto di tentativi di hacking tramite Pegasus spyware di NSO Group. Secondo un’indagine circa 37 smartphone – su 67 esaminati – sono stati violati con successo utilizzando lo strumento di sorveglianza, sviluppato dall’azienda israeliana di armi informatiche NSO. Il leak contine circa 5.000 numeri di telefono. il TheGuardian riporta che “si ritiene che un gruppo di 10 governi siano clienti NSO che aggiungono numeri al sistema, con l’elenco che include Azerbaigian, Kazakistan, Ruanda ed Emirati Arabi Uniti, tra gli altri”. NSO Group è noto per la produzione di strumenti di hacking, utilizzati dai governi e dalle forze dell’ordine di tutto il mondo. Lo strumento più noto dell’azienda è “Pegasus”, uno spyware in grado di eseguire il jailbreak di un dispositivo come un iPhone, installare malware e consentire l’esportazione dei dati dell’utente.
Andrea Biraghi – Pegasus spyware: l’hacking tool per spiare giornalisti e attivisti
L’uso del malware “Pegasus” per curiosare nelle comunicazioni telefoniche di politici, giornalisti, attivisti e uomini d’affari è stato rivelato dall’outlet francese Forbidden Stories e dal gruppo per i diritti umani Amnesty International. Queste ONG hanno ottenuto un elenco trapelato di 50.000 numeri di telefono, alcuni dei quali presumibilmente violati dal malware Pegasus, e hanno condiviso i dati con 17 media. Le Monde era uno di questi punti vendita, che domenica ha iniziato a pubblicare storie sulle violazioni della sicurezza.
Nel frattempo il The Washington Post, il The Guardian e Le Monde, insieme ad altri media internazionali hanno rivelato uno spionaggio potenzialmente molto più esteso di quanto si pensasse in precedenza utilizzando il malware del gruppo NSO di Israele, in grado di accendere la fotocamera o il microfono di un telefono e raccogliere i suoi dati.
Michelle Bachelet, Alto Commissario delle Nazioni Unite per i diritti umani, ha affermato che l’apparente uso diffuso del software spia Pegasus per minare illegalmente i diritti di coloro che sono sotto sorveglianza, inclusi giornalisti e politici, è “estremamente allarmante” e parla di “alcune delle peggiori paure” che circondano il potenziale uso improprio di tali tecnologie.
.. i rapporti sullo spyware Pegasus “confermano l’urgente necessità di regolamentare meglio la vendita, il trasferimento e l’uso della tecnologia di sorveglianza e garantire una stretta supervisione e autorizzazione”
“Puntiamo ad aumentare la nostra presenza come partner preferenziale delle istituzioni europee; attualmente circa il 60% dei nostri clienti sono governi o istituzioni, mentre il restante 40% sono privati”.
La divisione, può già annoverare la Nato tra i suoi clienti. Ha recentemente cercato alleanze con altri gruppi per ampliare la sua gamma di servizi, e in futuro potrà anche percorrere nuove acquisizioni e fusioni
Tommaso Profeta, responsabile della divisione Cyber security di Leonardo – Formiche.net
Volontà che è stata già espressa da Alessandro Profumo durante il Cybertech Europe 2019 a Roma, dove ha ricordato che il gruppo “è disposto a ricoprire un ruolo chiave nel panorama europeo della sicurezza informatica”, per affrontare le nuove sfide globali. L’obiettivo è quello di aumentare e migliorare la capacità di resilienza cyber dell’Europa, ma anche quello di rendere l’Italia una nazioen cyber sicura.
Bruxelles prevede di investire oltre 1,6 miliardi di euro in infrastrutture di sicurezza informatica come parte del suo programma Europa digitale per il periodo 2021-2027. Leonardo e il partner contrattuale Cronos International, una società informatica belga, hanno recentemente vinto un contratto di sei anni da 85 milioni di euro (101 milioni di dollari) per fornire servizi all’infrastruttura di informazione e comunicazione del Parlamento europeo.
Leonardo: scudo digitale dell’Italia per la sicurezza informatica
Il gruppo Leonardo è al centro del perimetro di sicurezza informatica o cibernetica del nostro Paese e tra le linee programmatiche per il 2030 c’è anche la costruzione di una filiera cloud nazionale con il recente accordo con il service provider Aruba.
La battaglia per la tutela dei nostri dati è la partita del decennio. E Leonardo deve giocarla in prima linea per muoversi come attore in questa variegata e ramificata filiera industriale che si sta costruendo.
Repubblica
Inoltre proprio nel periodo della pandemia, la divisione cyber security di Leonardo, ha continuato a garantire la sicurezza e la protezione dei confini per l’intero Paese. La sua divisone cyber, specializzata in gestione delle minacce informatiche e nella tempestività delle risposte grazie ad un team di esperti in Threat Intelligence, è in grado di elaborare i dati in modo dinamico cosi come evolvono attacchi e attaccanti.
Riguardo alla protezione dei dati l’obiettivo è quello di garantire al cittadino italiano un’unica identità digitale per intragire anche con la PA attraverso un unico “sportello” digitale, con il quale “poter consultare i propri dati anagrafici, chiedere e ottenere permessi, tracciarli qualora non arrivino in tempo, e pagare i servizi”.
Le economie dei governi di tutto il mondo fanno sempre più affidamento su infrastrutture dipendenti dallo spazio; si è quindi aperta una nuova frontiera per la sicurezzainformatica.
Looking for Space Security
Sembra un’epoca passata quando avevamo bisogno di fare riferimento a una mappa cartacea per orientarci in una nuova città o trovare i migliori sentieri escursionistici. Oggi, la maggior parte di noi apre semplicemente Google Maps sul proprio smartphone per trovare la nostra posizione esatta, grazie ai satelliti GPS che orbitano a 20.200 km sopra le nostre teste.
Solo pochi anni fa, la connessione Internet su un aereo era inaudita. Ora possiamo navigare su un volo transatlantico grazie ai satelliti per le comunicazioni a circa 35.000 chilometri di distanza. La maggior parte di noi dà per scontata la tecnologia spaziale nella vita di tutti i giorni.
Con i satelliti che supportano le comunicazioni globali – per non parlare di una serie di funzioni economiche, governative e militari quotidiane – non dovrebbe sorprendere che si tratti anche un potenziale obiettivo per i criminali informatici.
Poiché Internet stesso si estende fino all’ultima frontiera, potenzialmente alle colonie umane su Marte, quando SpaceX o qualche altra agenzia o azienda riuscirà a crearle in un futuro non così lontano, è importante esplorare le più ampie implicazioni della sicurezza informatica nell’era dello spazio. La nostra schiacciante dipendenza dalla tecnologia spaziale ci pone in una posizione precaria.
La sicurezza dei satelliti GPS nello spazio
In settori come i trasporti e la logistica, i dati sulla posizione vengono registrati regolarmente in tempo reale dai satelliti GPS e inviati ai back office consentendo ai team di monitorare i conducenti e le risorse. Le organizzazioni che hanno avamposti remoti o navi oceaniche ovviamente non possono connettersi online tramite una rete mobile o via cavo, devono invece utilizzare i satelliti per le comunicazioni. Inoltre, i satelliti memorizzano le informazioni sensibili che raccolgono da soli, che potrebbero includere immagini di installazioni militari riservate o infrastrutture critiche. Tutti questi dati sono obiettivi interessanti per vari tipi di criminali informatici.
Fonte Immagine: Longitude 109 – Looking for space Security, Andrea Biraghi.
La continua proliferazione dell’esplorazione spaziale non farà che aumentare la portata del nostro ambiente connesso. Dato l’elevato valore dei dati memorizzati sui satelliti e altri sistemi spaziali, sono bersagli potenzialmente interessanti per chiunque voglia sfruttare questa situazione per realizzare un profitto illegale. Sebbene risiedere nel vuoto dello spazio profondo li renda meno vulnerabili agli attacchi fisici, i sistemi spaziali sono ancora controllati da computer a terra. Ciò significa che possono essere infettati proprio come qualsiasi altro sistema informatico più vicino a noi. Gli aggressori non devono nemmeno essere hacker provenienti esclusivamente da nazioni che trattano o lavorano con lo “spazio”, così come non hanno nemmeno bisogno di avere accesso fisico diretto ai sistemi di controllo appartenenti a organizzazioni come NASA, ESA o Roscosmos. In un mondo così interconnesso, hanno tempi facili.
Fonte Immagine: Longitude 109 – Looking for space Security, Andrea Biraghi.
Mentre i sistemi di navigazione satellitare come GPS (USA), GLONASS (Russia) e Beidou (Cina) potrebbero non essere gli obiettivi più facili da hackerare, ci sono dozzine di altri proprietari di satelliti per comunicazioni globali che non hanno assolutamente lo stesso livello di protezione. Inoltre, migliaia di altre società affittano la larghezza di banda dai proprietari di satelliti per vendere servizi come TV satellitare, telefono e Internet. Poi ci sono centinaia di milioni di cittadini e aziende in tutto il mondo che li utilizzano. In altre parole, è una superficie di attacco potenziale molto ampia collegata direttamente a Internet.
Secondo Will Roper della US Air Force, ci affidiamo ancora alle procedure di sicurezza informatica degli anni ’90 per proteggere i satelliti orbitali. Questo perché i sistemi basati sullo spazio sono tipicamente costruiti in un ambiente a scatola chiusa o (scusate il gioco di parole) nel vuoto. Il problema è che quasi tutti i sistemi oggi contengono software: la Stazione Spaziale Internazionale è basata sul sistema operativo Linux e il Mars Curiosity Rover esegue il VxWorks altamente specializzato sui suoi computer di bordo.
La criticità di qualsiasi tipo di software è che può contenere bug che i cybercriminali potrebbero tentare di sfruttare. Ad esempio, immagina il tipo di ransomware che i criminali informatici potrebbero chiedere se rilevassero un satellite da 400 milioni di dollari. Per dimostrare il rischio, oltre a sensibilizzare l’opinione pubblica sul loro programma di bug bounty, l’Air Force degli Stati Uniti ha recentemente sfidato gli hacker a tentare di dirottare un satellite in orbita.
La sicurezza nazionale, l’avanzamanto militare e la corsa allo spazio
Come molte tecnologie su cui siamo arrivati a fare affidamento, i sistemi spaziali sono in gran parte il risultato di obiettivi di sicurezza nazionale e avanzamento militare. La corsa allo spazio stessa era una competizione tra gli Stati Uniti e l’Unione Sovietica. Fortunatamente, le nazioni si sono unite per vietare le armi di distruzione di massa dallo spazio e promuovere l’uso pacifico dell’ultima frontiera.
Sfortunatamente, le più grandi potenze del mondo non stanno facendo un buon lavoro nel mantenere lo spazio un ambiente pacifico per tutti e hanno iniziato a fare pressione l’una sull’altra testando nuove capacità controverse. In effetti, i satelliti da ricognizione sono stati dispiegati nello spazio dagli anni ’50 e tutte le superpotenze del mondo ora dipendono da loro per prendere decisioni militari strategiche. Che si tratti di rilevare lanci di missili o intercettare onde radio vaganti, queste macchine gestiscono regolarmente alcuni dei dati più sensibili di tutti, il tipo di informazioni che potrebbero causare una guerra se finiscono nelle mani sbagliate.
Gli attacchi sponsorizzati dagli stati
Ovviamente, questo aumenta gli incentivi per gli aggressorisponsorizzatidallostato ad hackerare i loro rivali nello stesso modo in cui la commercializzazione dello spazio rende i satelliti per le comunicazioni obiettivi attraenti per i criminali informatici. Gli attacchi sponsorizzati dallo Stato contro le risorse spaziali potrebbero manifestarsi in vari modi: il disturbo del segnale GPS potrebbe rendere inutili i sistemi di guida missilistica. L’accesso a collegamenti satellitari non crittografati potrebbe consentire agli hacker di dirottare le comunicazioni satellitari. Le operazioni civili e militari potrebbero anche essere direttamente influenzate se gli Stati Uniti dovessero disattivare il GPS che è interamente di proprietà del governo degli Stati Uniti mentre viene utilizzato in tutto il mondo.
Galileo: il nuovo sistema di posizionamento
Proprio per far fronte a tale eventualità, nel 2003, l’Europa ha avviato il progetto Galileo, per creare un nuovo sistema di posizionamento. Questo progetto è nato dall’esigenza di evitare il monopolio commerciale statunitense sul servizio di posizionamento, che fino ad allora era l’unico disponibile. Per molto tempo, infatti, gli unici sistemi esistenti furono GPS e GLONASS, la versione russa, ma quest’ultimo rimase a lungo inefficiente. Per questo motivo è stato stabilito in tutto il mondo l’utilizzo esclusivo del servizio di posizionamento americano, in quanto è l’unico disponibile a livello globale.
L’idea nasce, non solo per evitare un monopolio commerciale, ma anche (e soprattutto) per la volontà di essere immuni dalla possibilità che il governo americano possa decidere le sorti del sistema di posizionamento mondiale, visto che gli USA si riservano il diritto di poter diminuire la precisione del servizio o addirittura di disattivarlo completamente. Un evento non solo teorico, ma avvenuto durante la Guerra del Golfo.
Lanciato ufficialmente nel 2003, il progetto europeo Galileo richiedeva un accordo tra l’Unione Europea e l’ESA (Agenzia spaziale europea); a differenza del GPS, il sistema di posizionamento Galileo garantisce la massima accuratezza, affidabilità ed esattezza in ogni momento e continuità di servizio. È rivolto al sistema globale ed è caratterizzato da un’elevata copertura, pensata per un uso non solo militare ma anche prevalentemente civile. Prevede infatti un miglioramento della precisione di posizionamento, riducendo la probabilità di errore, e una pronta risposta ad eventuali emergenze.
Nato molto più tardi rispetto al GPS, era dotato nativamente di sistemi di sicurezza per evitare attacchi informatici e / o jamming. In particolare il Programma Galileo incorpora nella sua base di servizi un servizio di autenticazione dei messaggi di navigazione, che consiste nella firma digitale dei dati di navigazione del servizio aperto (OS), per garantire l’autenticità dei dati, e un servizio di autenticazione commerciale (CAS), che consiste della crittografia di uno dei segnali Galileo per la protezione dagli attacchi di replay del segnale.
Le sfide globali della sicurezza informatica correlate alle tecnologie dello spazio
Questa è una chiara e tangibile dimostrazione di quanto sia grave il rischio per la sicurezza informatica correlato alla tecnologia spaziale. Tornando al contesto più ampio, la sfida più grande per la sicurezza informatica dell’era spaziale è quindi il fatto che così poche organizzazioni, tutte fortemente dipendenti dai finanziamenti di una manciata di governi, alla fine hanno il controllo su tutte le risorse spaziali. Quasi tutte le strutture di lancio del mondo sono di proprietà dei governi di Stati Uniti, Russia, Cina, Francia, Giappone e Corea del Sud. Più in basso nella gerarchia, ci sono altre dozzine di società che possiedono satelliti e molte società che possiedono sistemi di raccolta dati sulla superficie terrestre.
Ciò rappresenta un quadro piuttosto povero per la democratizzazione dei dati delle informazioni: la capacità per gli utenti finali di accedere alle informazioni digitali. Con il potere di garantire l’accesso e la gestione delle risorse digitali nello spazio nelle mani di così pochi, il rischio di attacchi è inferiore, ma tali sistemi sono anche obiettivi di alto valore per gli aggressori sponsorizzati dallo stato.
La sicurezza di dati nello spazio
Teniamo anche conto che le cose stanno gradualmente cambiando con la democratizzazione dello spazio e dei dati. Le società private promettono già di offrire modi più veloci ed economici per accedere allo spazio. Alcune aziende stanno persino lavorando per mettere l’archiviazione dei dati nel cloud dove è più sicuro dalle violazioni dei dati che si basano sull’interazione fisica: nello spazio. Tuttavia, se qualcuno ha accesso digitale, è tutto ciò che serve per compromettere il sistema, anche se risiede a migliaia di miglia di distanza dalla terra.
Allo stesso tempo, è difficile sostenere che lo spazio sia democratico quando è una frontiera esclusiva solo per gli individui, le imprese e i governi più ricchi del mondo.
Le cose cambieranno senza dubbio, ma potremmo dover aspettare qualche secolo prima che accada, nel frattempo assisteremo a una guerra silenziosa tra grandi potenze che sposterà anche la disputa sui dati, che ora è quotidiana qui sulla terra, nello spazio.
Secondo il rapporto Cyber Threatscape Report 2020 di Accenture gli hacker di stato e i gruppi criminali ransomware stanno raffinando le loro tattiche per infliggere ancora più danni. Nel rapporto vengono rivelate le minacce attuali nel panorama Cyber.
Cyber Threatscape – Rapporto 2020
Nuovi strumenti open source sono distribuiti in rete sfruttano i sistemi di posta elettronica e utilizzano l’estorsione online. Il rapporto, esamina le tattiche, le tecniche e le procedure impiegate dai criminali informatici ed hacker sponsorizzati dallo stato negli utlimi 12 mesi per comprendere e prevedere le loro prossime mosse e capire come potrebbero evolversi gli incidenti informatici nel 2021.
Gli attori delle minacce stanno impiegando nuovi TTP per aiutare a raggiungere i loro obiettivi di lunga data di sopravvivenza del regime, accelerazione economica, superiorità militare, operazioni di informazione e spionaggio informatico.
Il ransomware è diventato sempre più popolare tra i malintenzionati, poiché il furto di dati aumenta la pressione sulle vittime: tra gli attacchi ransomware rivoluzionari la minaccia Maze5
Hacker di stato e cyber crime: il rapporto Accenture 2020
Il rapporto Accenture è essenzialmente diviso in 5 punti principali e identifica quattro elementi di sicurezza adattiva che possono aiutare: una mentalità sicura, accesso sicuro alla rete, ambienti di lavoro protetti e collaborazione flessibile e sicura. La vera necessità è quella poi di comprendere le sfide per aumentare la resilienza.
Identifica cosi 5 fattori che stanno influenzando il panorama delle minacce informatiche:
1 – La trasformazione digitale e la pandemia di Covid hanno accelerato il bisogno di una sicurezza adattiva, ove prevenire è meglio che curare.
Le problematiche relative al lavoro da remoto, ad esempio, hanno messo alla prova il monitoraggio della sicurezza delle imprese, dalle piattaforme ai dispositivi. In questo caso si è rilevato a un aumento delle opportunità di ingegneria sociale. I gruppi di cyber-spionaggio e i criminali informatici hanno tentato e tentano di trarre vantaggio da dipendenti vulnerabili che non hanno familiarità con la gestione dei loro ambienti tecnologici.
Le interruzioni mondiali, economiche e aziendali hanno posto enormi sfide finanziarie alle imprese. Tali pressioni fluiscono inevitabilmente verso le operazioni di sicurezza delle informazioni per mantenere o aumentare la copertura sotto vincoli sempre più rigidi.
2 – L’economia è sempre quindi più vulnerabile e i criminali informatici continueranno a lavorare per monetizzare l’accesso ai dati o alle reti, forse in modo più frequente. I gruppi del cybercrime stanno adottando nuove tecniche mirando ai sistemi che supportano Microsoft Exchange7 e OWA, come i server di accesso client (CAS).
Tutto ciò corrisponde ad una sfida per la cybersecurity, oltre al fatto che gli hacker di stato sono sempre più difficili da rilevare , identificare e minitorare. Accenture afferma che i CISO dovrebbero impegnarsi con i leader aziendali per pianificare, prepararsi e fare pratica per una maggiore resilienza della sicurezza informatica, supportati dalle giuste risorse e investimenti.
3 – I cyber attacchi sono più complicati da rilevare, riescono a nascondere bene le loro tracce e sempre più organizzati, tendendo a compromettere le supply chain delle loro vittime. I gruppi di minacce riconosciuti hanno preso di mira organizzazioni governative e società, portando al furto di informazioni. Queste attività sono avvenute in Europa, Nord America e America Latina, e c’è stata un’attività significativa rivolta alle economie emergenti e all’India.
4 – Il ransomware diviene sempre più un modello di business redditizio e scalabile. Il riscatto e l’approcio “nome e vergogna” aumentano la pressione sulle vittime affinchè paghino. Vd Maze Ransomware.
5 – I sistemi e i dispositivi sono esposti a sempre maggiore connettività: i dispostivi Cloud sono sempre più diffusi come le minacce OT (Opreational Technology) che richiedono livelli di sicurezza adeguati.
Convergenza tra sicurezzainformatica e sicurezza fisica significa unire due entità che se lasciate separate diventano oggi deboli mettendo a rischio ognuno di noi.
Inoltre, le organizzazioni pubbliche e private che le uniscono, nello stesso dipartimento, hanno sicuramente dei vantaggi sia in termini di efficienza che di efficacia. Efficienza poichè, dovendo interagire con un “unico team” i processi vengono semplificati, in questo mood la produttività viene semplificata e migliorata. Efficacia perchè le competenze multidisciplinari unite “sotto ad un unico tetto” collaborando sono in grado di affrontare il panorama di vulnerabilità e minacce al meglio.
Security Convergence
Una strategia di sicurezza completa nel mondo contemporaneo, richiede soluzioni che tengano conto sia della sicurezza fisica che di quella informatica. Pensando alla sicurezza cyber-fisica in modo unificato, oggi i leader possono e devono investire in una tecnologia digitale avanzata che renda la loro rete e le loro strutture più sicure.
Articolo tratto da “Preparing for physicaland cybersecurityconvergence“, Issue 8, scritto da Andrea Biraghi per Longitude, Ottobre 2020.
Convergenza tra sicurezza informatica e fisica: Andrea Biraghi per Longitude
In questo scenario ricco di tecnologia, le componenti del mondo reale interagiscono con il cyberspazio attraverso sensori, computer, sistemi di comunicazione, portandoci rapidamente verso quella che è stata chiamata la convergenza Cyber-Physical World (CPW).
Flussi di informazioni vengono scambiati continuamente tra il mondo fisico e quello cibernetico, adattando questo mondo convergente al comportamento umano e alle dinamiche sociali. Alla fine, gli esseri umani rimangono al centro di questo mondo, poiché le informazioni relative al contesto in cui operano sono l’elemento chiave nell’adattamento delle applicazioni e dei servizi CPW. D’altra parte, un’ondata di reti e strutture sociali (umane) sono oggi protagoniste di un nuovo modo di comunicare e di paradigmi informatici. Per quanto riguarda questo mondo illimitato e gli scenari collegati, è importante approfondire alcuni dei problemi, delle sfide e delle opportunità di sicurezza, perché la sicurezza fisica è sempre più collegata alla sicurezza informatica.
Prepararsi alla convergenza tra sicurezza informatica e fisica
Internet of Things (IoT)
Entro il 2020 ci saranno più di 230 miliardi di oggetti intelligenti attivi (noti come IoT – Internet of Things), 24,4 miliardi dei quali saranno direttamente collegati alla rete; ognuno di noi è già completamente immerso in un panorama tecnologico da cui dipendiamo per tante elementari azioni durante la giornata: ad esempio il sistema di navigazione dell’auto per spostarsi, il cellulare o le applicazioni per ordinare lo shopping online e così via.
Tuttavia, le persone difficilmente si fermano a riflettere sul fatto che ci sono anche molti altri elementi della loro vita che dipendono assolutamente dal mondo cibernetico. Giusto per fare qualche esempio nel mondo dei trasporti, quasi tutte le metropolitane di nuova costruzione, i treni ad alta velocità, gli atterraggi di aeromobili in condizioni di scarsa visibilità, sono tutti governati da computer che gestiscono i sistemi a cui sono dedicati in maniera assolutamente “ umano meno ”. Le metropolitane sono quindi “driver less”, il macchinista è presente solo per gestire le emergenze, negli aeroplani l’atterraggio con nebbia è gestito da un sistema automatico a terra che dialoga con i sistemi di controllo dell’aereo permettendogli di atterrare anche senza vedendo la pista.
Possiamo quindi facilmente comprendere la difficile correlazione tra sicurezza informatica e sicurezza fisica dei passeggeri. Se qualcuno avesse la capacità di violare uno qualsiasi di questi sistemi, potrebbe causare danni alla vita umana, cortocircuitando così istantaneamente il mondo cibernetico e fisico. È solo un primo esempio di come le due realtà siano ora collassate in un nuovo unico universo.
Cyber Security: convergenza OT e IT
Spostiamo la nostra attenzione sull’assistenza sanitaria, che grazie ai progressi tecnologici, ci ha permesso di aumentare l’aspettativa di vita media in tutto il mondo, non solo grazie ai farmaci ma anche ai dispositivi elettronici.
Pacemaker e defibrillatori impiantati che informano i medici in tempo reale sul comportamento del tuo cuore e che reagiscono ad ogni problema stimolando il muscolo a ripartire o cambiare ritmo, tutti questi dispositivi comunicano continuamente dall’interno del tuo corpo con una piccola scatola all’esterno, in mettiti in contatto con il medico che ti sta curando.
Questi dispositivi medici in rete e altre tecnologie mobili per la salute (mHealth) sono un’arma a doppio taglio: hanno il potenziale per svolgere un ruolo di trasformazione nell’assistenza sanitaria, ma allo stesso tempo possono diventare un veicolo che espone i pazienti e gli operatori sanitari alla sicurezza e rischi per la sicurezza informatica come essere violato, essere infettati da malware ed essere vulnerabili ad accessi non autorizzati. I problemi di sicurezza del paziente – lesioni o morte – legati alle vulnerabilità di sicurezza dei dispositivi medici collegati in rete sono una preoccupazione fondamentale; dispositivi medici compromessi potrebbero anche essere utilizzati per attaccare altre parti della rete di un’organizzazione.
Nuove vulnerabilità trovate nei gateway industriali dai ricercatori di sicurezza di Trend Micro: non tutti prestano attenzione alla sicurezza informatica ma gli attacchi critici sono dietro l’angolo.
I ricercatori di Trend Micro hanno testato cinque gateway di protocollo, trovando numerose vulnerabilità, tra cui alcune critiche. Una di queste permette agli hacker di disabilitare i sensori per monitorare temperatura e prestazioni di una struttura. Compito dei gateway infatti è monitorare i macchinari e interagirvi.
Conosciuti anche come traduttori di protocolli, i gateway industriali permettono ai macchinari, ai sensori e ai computer che operano nelle fabbriche di comunicare tra di loro e con i sistemi IT, sempre più connessi a questi ambienti.
Il numero delle vulnerabilità rilevate negli utlimi mesi del 2020 resta alto: i crescenti incidenti dovuti agli attacchi informatici sono in costante aumento. Tra le vulnerabilità non ultime quelle relative ai sistemi Scada / ICS utilizati per automatizzare il controllo dei processi e la raccolta dei dati. I sistemi Scada sono infatti divenuti oggi obiettivi ad alto valore del cyber crime che tenta di interrompere le operazioni aziendali.
Tutte le vulnerabiltà critiche trovate da Trend Micro nei gateway industriali
Tra le vulnerabilità rilevate anche una debole implementazione della crittografia e un bug che potrebbe consentire a un utente malintenzionato di inviare pacchetti dannosi ai gateway, costringendoli a riavviarsi. Tra le raccomandazioni vi è quella di accertarsi che siano presenti adeguate funzionalità di sicurezza e quella di tempo nel configurare e proteggere i gateway, utilizzando credenziali forti. Ma vediamo, nel dettaglio – come riassume ItisMagazine.it – il report parla di:
Vulnerabilità nelle autenticazioni che permettono accessi non autorizzati
Crittografia debole
Deboli meccanismi di confidenzialità dei dati
Denial of service
Difetti nelle funzioni di traduzione che possono essere utilizzati per operazioni di sabotaggio
Cybersecurity: vulnerabilità e sfide, rassegna stampa Andrea Biraghi | Agosto 2020
Attacco ai database: secondo NordPass oltre Oltre dieci bilioni di credenziali utente sono state lasciate esposte online grazie a database non protetti. La scoperta è stata fatta grazie anche alla collaborazione di un white hacker che ha scoperto per l’esattezza in numeri: 9.517 database non garantiti contenenti 10.463.315.645 voci, che includono come e-mail, password e numeri di telefono di 20 paesi diversi.
I database più a rischio sono stati registrati in Cina (4000), Stati Uniti (3000) e India (520), con il risultato di 2,6 miliardi potenziali utenti che potrebbero essere inclusi nei database.
Attacco ai database (non protetti)
Ai database non protetti – per chi sa come farlo anche se non autorizzato- si può accedere facilmente ed è necessario operare per garantire sicurezza. Un database non protetto significa che un hacker non avrebbe nemmeno bisogno di violarlo per accedere a moltissimi dati oltre alle password degli account.
E con i dati alla mano, che rappresentano un prezioso bottino, i criminali informatici, possono esegurie attacchi di phishing o socialengineering. Il 95% delle volte le violazioni avvengo tramite i database che se esposti rappresentano una vera minaccia per gli utenti e una buona protezione è reppresentata in larga percentuale dall’utilizzo della crittografia dei dati.
#Phishing secondo la società di #sicurezza Abnormal Security i messaggi automatizzati da Microsoft SharePoint sono stati imitati per una campagna di phishing che tenta di rubare le credenziali di #Office365, secondo la società di https://t.co/HmtX8FIfvj
Purtroppo la scoperta di NordPass non è stata l’unica: all’inzio dell’anno è toccato a Verdict a scoprire un server non protetto con i dati personali di 17.379 professionisti del settore nautico.
Allo stesso modo sono stati colpiti milioni di dati di utenti di UFO Vpn – che ha base a Hong Kong – inclusi i loro dati IP e cronologia di navigazione, che sono rimasti esposti dopo un attacco informatico, insieme a dati anagrafici, password, indirizzi email. La vulnerabilità riscontrata è legata ai database ElasticSearch utilizzati dal provider e che risultavano privi di protezione.
Attacco “Meow” ai database:
Gli attacchi “Meow” – così chiamato perhè i dati sono sovrascrtti con la parola Meow o cancellati senza prevedere un riscatto – hanno spazzato via quasi 4mila database: aggressori e lotivazioni rimangono ancora sconosciuti ma anche questi inciddenti hanno fatto puntare l’attenzione su negligenza nel campo della sicurezza informatica. I contentui dei databse sono stati completamente cancellati e questo fa pensare all’enorme danno che ne può derivare.
Anche in questo caso i bersagli hanno le stesse caratteristiche che abbiamo accennato sopra: 987 databse ElasticSearch e 70 vittime MongoDB, sprovvisti di sistema di autenticazione per l’accesso.
Leggi la notizia su SecurityInfo.it – Attacco Meow fa strage di database esposti.
Mentre gli attacchiransomware e malware nel 2020 diventano sempre più numerosi e aggressivi, le organizzazioni non riescono a fare fronte con le loro sole risorse.
L’effetto della trasformazione digitale e del lavoro da casa hanno moltiplicato i danni: in continuo aumento dalla prima metà dell’anno le analisi degli attacchi informatici sono stati sintetizzati da SkyBox Security che acceta l’aumento del 72% di nuovi campioni di malware crittografato.
L’aumento degli attacchi si registra dall’inzio dell’epidemia di Covid_19, grazie anche al gran numero di imprese e aziende che sono passate al lavoro da remoto: ciò ha portato nuovi rischi e vulnerabilità. [leggi: Digital transformation amazing challenge].
Per fonteggiare e prevenire perdite o incidenti informatici è oggi quindi necessario adottare le misuere corrette per porre rimedio – innanzitutto – alle loro vulnerabilità, sfuttate dagli hacker. Oggi, oltre che essere una priorità, è divenunto anche un compito molto pressante per molti che devono affrontare la creazione di una nuova resilienza.
La superificie di attacco – per i criminali informatici è aumentata anche grazie allo smart working e alla poca formazione in materia di sicurezza informatica dei dipendenti delle aziende. La realtà però è che un ransomware può bloccare vaste aree di un’infrastruttura. [leggi: Come costruire una vera agilità aziendale, Andrea Biraghi: sfide e opportunità post Covid].
Attacchi ransomware e malware: Mata framework
Uno degli ultimi avvisi arriva da Kaspersky che sta allertando i Security Operation Center (SOC) su un nuovo malware che ha scoperto, sembra collegato al famigerato gruppo di hacker nordcoreano noto come Lazzaro. Soprannominato “MATA“, il framework è apparentemente in uso dall’aprile del 2018, principalmente per attacchi informatici progettati per rubare i database dei clienti e distribuire ransomware. Però di tempo ne è passato e ora sembra sia stato implementato per attaccare e-commerce, sviluppatori di software e ISP in Polonia, Germania, Turchia, Corea, Giappone e India.
Mata è in grado ci colpire i sistemi Windows, Linux e Mac Os: è poi costituito da diversi componenti, tra cui un loader, un orchestrator e plugin.
Protezione delle infrastrutture critiche e Scada (Supervisory Control and Data Acquisition): quali sono gli scenari attuali del 2020 in materia di sicurezza e difesa?
I crescenti incidenti dovuti agli attacchi informatici ai settori delle infrastrutture critiche sono in costante aumento, così come il numero delle vulnerabilità rilevate negli utlimi mesi del 2020. Non ultime quelle relative ai sistemi Scada / ICS utilizati per automatizzare il controllo dei processi e la raccolta dei dati. I sistemi Scada sono infatti divenuti oggi obiettivi ad alto valore del cyber crime che tenta di interrompere le operazioni aziendali.
Protezione delle Infrastrutture Critiche
La crescente necessità di proteggere le infrastrutture, in special modo quelle pubbliche, rileva la necessità di ridurre la tempistica sulla previsione degli attacchi e ridurre al minimo la potenziale esposizione alle minacce informatiche e cyber attacchi.
— Pierluigi Paganini – Security Affairs (@securityaffairs) July 15, 2020
Protezione di Infrastrutture critiche e gli incidenti coinvolgono i sistemi Scada
Gli Scada, che abbiamo visto necessari per monitorare e controllare da remoto impianti industriali ed infrastrutturali e fungono da controllo di vigilanza: insieme ai sistemi di controllo industriale (ICS) sono componenti fondamentali per il funzionamento di impianti industriali e infrastrutture critiche. Putroppo però molti ICS non sono progettati per resistere agli attacchi informatici e i criminali informatiic stanno prendendo di mira questi sistemi con sempre più maggiore intensità.
Su Resource.InfosecInstitute.com sono stati pubblicati i dati di uno studio della società di sicurezza ICS Dragos che ha analizzato 438 vulnerabilità ICS segnalate in 212 avvisi di sicurezza nel 2019. L’analisi esguita ha rivelato che il 26% degli avvisi sono correlati a difetti zero-day. Tutto ciò preoccupa gli esperti di sicurezza informatica, poichè le vulnerabilità zero-day negli attacchi ha un’alta probabilità di successo.
Inoltre è stato rilevato che la maggior parte delle vulnerabilità erano insite nella rete dei sistemi di controllo per sfruttare i difetti derivanti, ad esempio, dalle workstation ingegneristiche, dai sistemi di interfaccia uomo-macchina (HMI) e altri dispositivi.
La maggior parte degli avvisi (circa il 75%) sono legati a vulnerabilità che potrebbero essere sfruttate dalla rete, mentre i difetti rimanenti potrebbero essere sfruttati solo da aggressori con accesso locale o fisico alla macchina mirata. Il 50% degli avvisi sono legati a vulnerabilità che potrebbero causare sia una perdita di controllo.
Il rischio derivante dagli attacchi che sfruttano i difetti relativi agli avvisi è molto elevato e oggi vi è la la necessità di impedire le violazioni di accesso da parte di utenti non autorizzati.
Le reti, i server, i client, i device mobili, gli oggetti IoT sono sempre più presi di mira e cyber attacchi alle infrastrutture critiche non accennano a cambiare rotta: la loro possibile interruzione unita a quella dei loro servizi è diventata oggetto di priorità.
IntelligenzaartificialeeCybersecurity: Andrea Biraghi news sulla sicurezza informatica.
L’AI diventa sempre più importante per le nuove sfide nel settore della sicurezza informatica e della protezione dei dati. Ma quando l’intervento umano si verifica come essenziale?
Ce lo racconta AgendaDigitale.eu, esaminado contesti, situazioni e scenari, dal caso di successeo di AlphaGo , software di gioco, l’ambito della diagnostica per immagini, dove l’AI non ha una regola per capire se la propria analisi sia o meno corretta. Ma c’è un’altro tema importante, ed è quello relativo tema della responsabilità dell’errore del programma da aggiungere a quello della sicurezza (security) del programma, che infine viene tradotto in sicurezza (safety) del paziente.
Infine c’è la question legata alla guida autononoma, dove “il processo di analisi di un sistema di machine learning è diverso da quello umano”, ciò significa che gli errori che può compiere l’Intelligenza Artificiale sono spesso radicalmente diversi da quelli umani.
Il rapporto tra Intelligenza artificiale, uomo e Cybersecurity
Quale rapporto hanno Inteligenza Artificiale, uomo e Cybersecurity? Se ne parla in uno speciale articolo su BiMag.it. Si parla oggi di un approccio ibrido che fonde due elementi: apprendimento umano e machine learning.
A partire dall’affermazione di Denis Cassinerio, Regional Sales Director SEUR di Bitdefender, si passa a parlare dei recenti attacchi informatici e degli impatti che questi possono avere sulle aziende, ad esempio, ma anche sulle pubbliche Amminstrazioni e sulla infrastrutture pubbliche e private. Si passa poi ad un’importante domanda: il machine learning e l’intelligenza artificiale sono affidabili negli ambienti aziendali?
Tutte le aziende che desiderano un più rapido processo di rilevazione e mitigazione delle minacce informatiche per evitare che abbiano un impatto significativo sulla loro attività, dovrebbero adottare il machine learning e l’utilizzo di sistemi di intelligenza artificiale, che si basa sull’analisi dei comportamenti e il rilevamento delle anomalie“.
Denis Cassinerio, Regional Sales Director SEUR di Bitdefender
Le parole finali di Cassinero sono: “mentre l’intelligenza artificiale ha il potenziale per diventare un’incredibile arma informatica automatizzata, l’approccio ibrido tra uomo e macchina ha attualmente dimostrato i migliori risultati”
Rassegna stampaAndrea Biraghi: Cyber Security Marzo 2020, utlime notizie dalla rete sulla Sicurezza Informatica e l’Intelligenza Artificiale.
Mentre sta emergendo una nuova tendenza ransomware, ovvero l’utilizzo delle criptovalute come ricatto e pagamento di riscatto,
il 2020 si sta evidenziando come anno cruciale per comprendere e testare quali scenari si delineeranno nella competizione internazionale sul 5G.
Le nuove tecniche dei cyber criminali non solo si affinano diventando sempre più veloci: sembra che si basino anche sull’utilizzo di tecnologie già consoldidate, come i malware di stato.
Ma non solo, il panorama del Cyber Spazio si sta arricchendo di nuovi ma anche da vecchi elementi che tornano alla ribalta: tra questi il grande ritorno degli hacktivisti.
In materia di difesa invece Il Dipartimento della Difesa, adotterà presto una serie di precise regole per lo sviluppo e l’utilzzo dell’intelligenzaartificiale.
Rassegna stampa Andrea Biraghi: 5G la posta in gioco USA-CINA
La guerra dei dazi tra Stati Uniti d’America (USA) e Cina, ha una posta in gioco molto alta: la superiorità tecnologica per i prossimi decenni, di cui gli USA vogliono mantenere il primato. Le misure volte a frenare la scalata di Pechino, infatti, evidenziano in modo netto come sia visto come vero e prorpio nemico contro i propri obiettivi. Inoltre lo scontro, che vede nella partnership tra pubblico e privato un elemento decisivo, l’Europa gioca la sua partita per non rimanere fuori dai giochi.
Leggi e approfondisci su AgendaDigitale.eu – 5G: la vera posta in gioco nello scontro Usa-Cina e il ruolo dell’Ue
Ransomware e malware: pagamenti di riscatti in criptovalute
Sembra che la nuova era della criminalità informatica sia contrasegnata dai malaware: nuovi ransomware si stanno dimostrando molto efficaci e pericolosi. Ma perchè cyber criminali chiedono il pagamento di riscatto in criptovaluta? La risposta è legata al fatto che le criptovalute forinscono un metodo di pagamento anonimo non rintracciabile.
Mounir Hahad, dei Juniper Threat Labs di Juniper Networks, spiega anche che “gli autori della minaccia hanno capito che il mining di criptovalute non sarebbe stato redditizio quanto il ransomware”.
Leggi su CWI.it – I recenti attacchi ransomware definiscono la nuova era del malware
Dall’altra parte, invece, c’è chi usa i malware di stato: i criminali informatici in questo modo, usando tecnologie già consolidtate, risparmiano tempo e risorse, rendendo la loro identificazione ancora più difficile.
Malware dalla Corea del Nord: Pentagono FBI e Dipartimento di Homeland Security hanno scoperto un nuovo malware prodotto da Hidden Cobra, un team di hacker controllato dal Governo della Corea del Nord.
Ultime notizie: Dipartimento di Difea e Intelligenza Artificiale
Il Dipartimento della Difesa statunitense, sta regolando i principi e le norme in materia di utilizzo dell’Intelligenza Artificiale (AI), enfatizzandone il controllo umano.
DifesaeSicurezza: l’Italia sta formando i suoi super team per la sicurezza cibernetica e il Ministero della Difesa è pronto a varare il Comando delle operazioni in rete (Cor). Durante la conferenza della quarta edizione di ITASEC (la conferenza italiana sulla CyberSecurity), Angelo Tofalo, sottosegretario alla Difesa con delega al cybersecurity, ha infatti affermato che “Tra gli obiettivi di breve termine della Difesa, quello di rendere operativo il nuovo Comando delle operazioni in rete per la condotta di operazioni di difesa del cyber spazio ha un ruolo prioritario”.
Della nascita dei nuovi super team per la cybersecurity e dell’attuale fase storica cyber-guerriglia permanente ne parla Wired.it, spiegando anche i motivi per cui è oggi necessario alzare i livelli della cyber difesa e migliorare le risposte in fase di attacco. Da qui la necessaria riorganizzazione delle forze di cybersecurity, riunendo sotto un unico comando Areonautica, Marina, Esercito, Carabinieri e dicastero stesso.
E’ stato intanto sottoscritto l’accordo tra Franco Gabrielli, capo della Polizia e direttore generale della Pubblica Sicurezza e Angelo Borrelli, capo del Dipartimento della Protezione Civile. Il documento stabilisce la collaborazione e l’implementazione delle strategie in materia di prevenzione e lotta al Cyber Crime.
Un modello da imitare sarebbe sicuramente quello di Israele, leader della difesa contro le minacce informatiche, con il suo protocollo CyberSecurity, il prodotto di una strategia unica, che potrebber orientare gli sforzi nazionali in campo cibernetico.
Israele, così, considera le minacce informatiche alla stesso modo di quelle fisiche, per ciò anche profondamente coinvolto nello sviluppo di nuove tecnologie relative al dominio cibernetico. In questo Paese, inoltre, gli studenti vengono incoraggiati ad approfondire materie come scienza, tecnologia, matematica o ingegneria per prepararsi alle sfide del futuro.
Cyber Difesa Italia: il perimetro di sicurezza nazionale cibernetica
Cyber Difesa e Sicurezza: in Italia si attende ancora chiarezza in materia normativa. Più precisamente il decreto-legge 105/2019, che ha determinato l’istituzione del perimetro di sicurezza cibernetica, è ancora soggetto ad alcuni dubbi interpretativi.
Intanto il rischio cyber aumenta di giorno in giorno, rappresentanto il primo fattore di rischio per le aziende. Non solo, la capacità dello Stato di gestire i rischi provenienti dal cyber spazio sta diventando una delle priorità strategiche anche per le amministrazioni pubbliche.
Ne parla Samuele Domignoni su Ispionline.it: uno spazio cibernetico legato anche alle dinamiche geopolitiche. “È ormai appurato” scrive Domignoni “che gli Stati nazionali sono degli attori estremamente rilevanti e attivi nell’arena digitale”.
Con gli attacchi informatici in continuo sviluppo le divisioni Cyber e i team di sicurezza devono sempre stare sull’attenti e devono prepararsi per nuovi tipi di minacce e vulnerabilità.
Ma quali sono le situazioni di pericolo reale ahe arrivano dal mondo del Cyber Spazio 2020?
Per comprendere e conoscere le statistiche in tempo reale un utile strumento è la mappa in tempo reale di Kaspersky.
Attacchi informatici e pericoli reali nel 2020
1 – Attacchi Cloud. Alcuni tipi di attacchi recenti sono mirati al Cloud e alle sue applicazioni: le difese perimetrali si sono dimostrate inefficaci. Il risultato nel 2019 è stato l’aumento di incidenti, tra cui la violazione dei dati di Microsoft a causa di un’errata configurazione del database. Ed ecco che l’errore umano torna in campo: i criminali informatici infatti sfruttano più volentieri questa debolezza piuttosto che i difetti tecnici di sicurezza.
Ci si aspetta che il ransomwareprenderà sempre più di mira il Cloud, con veri e propri attacchi mirati: i nuovi attacchi nel 2020 utilizzeranno la memoria scraping di dati sensibili durante l’utilizzo da parte delle applicazioni, in particolare in ambienti cloud pubblici, per ottenere l’accesso ai dati durante la decrittografia. Secondo il Threat Lab di WatchGuard, sempre più a rischio sono gli archivi di file, bucket S3 e ambienti virtuali. Intanto le cifre dei riscatti aumentano in modo allarmante. Il migliore modo pere prevenirli? Pratiche di sicurezza IT e pratiche proattive.
2 – TecnologiaSwarm. In poche parole si tratta di sistemi decentralizzati che utilizzano l’automazione come l’Intelligenza Artificiale, che agisce in modo simile ad uno sciame di insetti. Ma questa tecnologia, utlissima in tanti campi, come la medicina o i trasporti, può essere sfruttata per attaccare reti e dispositivi.
Gli “sciami di bot” specializzati, utilizzati a scopo malevolo, possono infiltrarsi in un network, attaccarne le vulnerabilità, sopraffarne le difese interne ed estrarne i dati. Quel che preoccupa è anche la loro capacità di colpire più più bersagli contemporaneamente.
3 – 5G. L’avvento del 5G può fungere infine da “catalizzatore” per gli attacchi basati sul Swarm. Si è già parlato di come il suo avvento ponga nuove sfide alla Cyber Security in termini di attacchi di 5 generazione ma si deve anche prendere in considerazione come potrebbero essere vulnerabili anche agli attacchi informatici sostenuti da Stati stranieri.
4 – Gli attacchi sostenuti dagli Stati Stranieri. Ultimo ma non meno importante è un documento redatto dalla Commissione Ue e dall’Agenzia europea per la cybersicurezza (Enisa). Il documento mette in guardia contro il rischio di consegnare la realizzazione di infrastrutture della telefonia mobile nelle mani di aziende legate a governi non democratici e poco affidabili (implicito il riferimento a società straniere come Huawei).
Cybercrime, furti di identità e nuovi ransomware: nuovi rischi nei settori automotive e gaming online legato al mondo dei videogames.
I videogames e il gaming online infatti sembrano oggi il luogo ideale per commettere crimini informatici: Agenda Digitale avvisa di tutti i rischi legati a questo settore, terreno fertile anche per il fenomeno del cyberbullismo o il così detto “bullismo da tastiera”, attacchi offensivi ripetuti, fatti su internet e sui social network anche da utenti giovanissimi verso i loro coetanei.
Un altra cosa è invece il cybercrime ad esso legato: con la maggiore possibilità di rimanere meno esposti al rischio, le azioni criminali sono mirate a rubare le identità, anche con attacchi ransomware ma riguardano ad esempio anche il riciclaggio di denaro, con il risultato che nel 2019 ci sono stati, a livello globale – ma soprattutto negli USA e negli Stati Uniti – ben 16 milioni di attacchi. L’Italia non è esclusa. Gli esperti di Cybersecurity affermano che i criminali informatici, per trarre i loro profitti, usino botnet AIO e credential stuffing.
Agenda Digitale riporta minuziosamente i rischi che si corrono soprattutto nelle chat e tramite uso di tecniche di ingegneria sociale. Per approfondire leggi l’articolo: “Gaming online, tutti i rischi: dal cybercrime al cyberbullismo”.
Cybercrime: le minacce informatiche dell’automotive
Il Cybercrime e lo cyber spionaggio prendono di mira le smart cities e il trasporto connesso: con una stima di 250 milioni di veicoli su strada connessi nel 2020 la questione sicurezza è più importante che mai. Le preoccupazioni riguardano soprattutto sicurezza, privacy e resilienza dei nuovi veicoli, ove le applicazioni IoT rappresentano un valore aggiunto ma anche potenziali rischi.
Gabriele Zanoni, consulting systems engineer di FireEye afferma che alcuni ricercatori hanno dimostrato come alcune vulnerabilità presenti nei software di controllo di un veicolo, possano essere state sfruttate per introdurre codici malevoli e modificare, ad esempio, il funzionamento dello sterzo. [Fonte: Repubblica.it].
Lo afferma anche Mary Teresa Barra – General Motors – che proteggere le automobili da incidenti causati da attacchi informatici “è una questione di sicurezza pubblica”.
L’industria automobilistica nel 2020 quindi necessita di adeguamentoai protocolli e strategie mirate di sicurezza, contro i pericoli legati a data breach, errori, fughe di dati.
Le officine sono pronte ad affrontare questo tipo di problematiche? Risponde Andrea Lorenzoni, Project Manager Cyber Security, nell’articolo: “Automobile connessa, anche in officina corre il cyber-rischio”
CyberSecurity2020: quali sono le innovazioni e le nuove tecnologie che domineranno il 2020? Quale sarà l’insieme dei mezzi rivolti alla protezione dei sistemi informatici per la sicurezza? Ma soprattutto quali saranno le nuove minacce informatiche nei prossimi 12 mesi?
Oggi, le sfide correlate alla Cyber Security si stanno evolvendo rapidamente, soprattutto nel campo delle infrastruttre critiche – che forniscono i servizi essenziali che sono alla base della società – e nello specifico quelle legate al settore energia. Oggi l’Intelligence, per proteggerle, si basa su due principali tipi di approccio: quantitativo, ovvero il processo di modellizzazione statistica della Data Science, attraverso il Machine Learning e il Data Mining qualitativo, puntando l’attenzione soprattutto sulla loro resilenza e sulla capacità di ripristino. Soprattutto le infrastrutture stanno diventando vulnerabili agli attacchi digitali, e le violazioni non solo comportano la perdita di informazioni e dati importantissimi, perchè riguardano le stesse persone (vd Cyber Security e Privacy: un data breach da 1,2 miliardi di record).
Questa introduzione, tende a far comprendere il ruolo vitale che la cyber sicurezza svolge nel proteggerci (privacy, i diritti, libertà), quanto sia diventata oramai di interesse pubblico e quanto durante il 2020 sarà più importante che mai. Oggi si discute delle questioni più urgenti che il mondo e il settore dell’IT si trovano ad affrontare, anche in previsione dei nuovi attacchi di Quinta Generazione: lo sviluppo delle tecnologie 5G e Internet of Things (IoT) aumenteranno infatti le vulnerabilità degli utenti con attacchi estremanete articolati.
Un’azienda che investe moltissimo sulla divisione sicurezza informatica, in un contesto in cui aumentano gli attacchi gravi è Leonardo Spa: Barbara Poggiali, nominata a capo della divisione, ha presentato a Profumo ha presentato al numero uno di Leonardo il piano industriale per il mercato cybersecurity preparandosi alle nuove sfide, delle reti di quinta generazione e dell’internet delle cose.
Cyber Security: l’agenda del 2020
In cima all’agenda della sicurezza informatica 2020 e tra i nuovi trend della Cyber Security c’è sicuramente l’IntelligenzaArtificiale, che ricoprirà, nella “corsa agli armamenti” contro la criminalità informatica, sempre più un ruolo crescente e di primo piano sia in ambito di attacco che di difesa. Si punta alla capacità dell’AI di individuare, tra le altre cose, gli schemi di comportamento che stanno alla base degli attacchi informatici e quindi smascherarli. In via di continuo sviluppo sono gli algoritmi di sicurezza di apprendimento profondo (Deep Learning), l’automazione di sistemi vulnerabili all’errore umano e la protezione dell’identità biometrica.
Ciò che fa preoccupare sono le tensioni politiche ed economiche, e le guerre commerciali tra est e ovest, che naturalmente portano a maggiori minacce alla sicurezza. Internet è stato costruito e progettato privo di frontiere o restrizioni alla libera circolazione di informazioni e idee, per e a favore della cooperazione internazionale (anche se chi fornisce i servizi è obbligato comunque a rispettare leggi e regolamenti). Le barriere economiche potrebbero nel 2020 prevenire gli effetti di una cooperazione nazionale.
Altro punto importante sono le campagnedidisinformazione, le fake news e i relativi deepfakes, in arrivo con le nuove elezioni presidenziali statunitensi 2020.
Il deificitdicompetenze nella Cyber Security deve essere reintegrato: questo significa un necessario nuovo ricorso agli investimenti nella formazione del personale nonché nuove assunzioni di esperti competenti in grado di individuare le minacce.
Automotive e IoT: le minacce in Europa
L’hackingdeiveicoli e il furto didati continuano a crescere: le minacce nel settore automotive continuano a crescere. In un recente report di Accenture “Securing the Digital Economy: Reinventing the Internet for Trust” emerge la convinzione comune che “il progresso dell’economia digitale sarà seriamente compromesso se non ci sarà un sostanziale miglioramento della sicurezza su Internet”.
tGli aggressori infati sono in grado di targettizzare i veicoli per accedere agli account di posta elettronica e quindi alle informazioni personali, oppure ai servizi Cloud, ai quali vengono inviati i nostri dati personali per le operazioni di analisi e archiviazione.
Infrastrutture critiche e CyberSecurity: CyberSecurity360 afferma che nel 2019 “rispetto al 2018, negli ultimi dodici mesi è cresciuta l’attività di contrasto operata dal CNAIPIC – Centro Nazionale Anticrimine per la Protezione delle Infrastrutture Critiche”. In un mondo sempre più connesso aumenta la necessità di proteggere con nuove strategie gli apparati strategici del Paese che sono nel mirino degli attacchi criminali informatici.
Durante lo scorso anno il CNAIPIC ha gestito circa 1.181 attacchi: 243 legati a servizi web legati a siti istituzionali e 938 ad aziende e PA locali. Gli alert e le segnalazioni di possibili attacchi verso le infrastrutture critiche nazionali sono aumentati del 30% e sono arrivati a circa 82.484.
In Italia ci sono state tre operazioni importanti: il sequestro preventicvo della piattaforma Exodus, l’operazione Lux (manomissione dei contatori degli esercizi commerciali) e il contrasto ad un gruppo criminale che sottraeva informazioni e dati da database pubblici. [Fonte: Cyber security, il bilancio del 2019: tutti i dati della Polizia Postale – CyberSecurity360]
Infrastrutture critiche e Cybersecurity: in tutto il mondo gli apparati strategici vengono presi di mira dai cyber criminali. Gli obiettivi sono centrali elettriche, ferrovie nazionali e sistemi sotterranei locali o altre forme di trasporto pubblico.
“Tale è la nostra dipendenza dall’elettricità che un blackout prolungato metterebbe a repentaglio i sistemi di trasporto, la fornitura di acqua dolce, le comunicazioni e le banche”.
A livello mondiale, secondo gli esperti Clusit, nel Rapporto 2019 sulla sicurezza Informatica emerge che nel 2018 gli attacchi e le minacce sono cresciuti del 38%. Con un aumento invece del 99% nell’arco di 12 mesi ad essere a repentaglio è la Sanità con attacchi di Phishing e Social Engineering. Ma ciò che più preoccupa è l’aumento del Cyber Spionaggio, con finalità geopolitiche, industriale e militari.
La Sanità, che ha subito l’incremento maggiore (99% rispetto al 2017) è nel mirino dei cyber criminali e il settore pubblico risulta anch’esso tra i maggiormente colpiti. L’aumento dell’aggressività degli attacchi verso sanità e infrastrutture critiche e e’levato incremento dell’utilizzo di tecniche sconosciuti (+47%) dimostra la presenza di una continua ricerca di nuove modalità di attacco e la rapida evoluzione degli attori in gioco, delle loro modalità e delle finalità dei loro attacchi.
Infrastrutture Critiche Energia e l’approcio dell’Intelligence
Oggi ogni infrastruttura critica è basata sull’IT e secondo la definizione del Dipartimento per la sicurezza interna degli Stati Uniti (DHS), “Le infrastrutture critiche della nazione forniscono i servizi essenziali che sono alla base della società statunitense e servono da spina dorsale dell’economia, della sicurezza e della salute della nostra nazione”.
Le infrastrutture critiche sono riconosciute come primarie: la Direttiva Europea che definisce l’infrastruttura critica è la 114/08 CE, ovvero “un sistema o parte di un sistema, ubicato negli stati membri ed essenziale al mantenimento delle funzioni vitali della società, della salute, della sicurezza e del benessere economico e sociale dei cittadini, il cui danneggiamento o la cui distruzione avrebbe un impatto significativo”.
Oggi l’Intelligence ha due principali tipi di approccio per la loro protezione: quantitativo, ovvero il processo di modellizzazione statistica della Data Science, attraverso il Machine Learning e il Data Mininge qualitativo, ovvero capacità di pensiero critico da parte dell’uomo. Ma quando si parla di Infrastrutture critiche il focus non è solo puntato sulla protezione da attacchi e minacce, ma anche sulla resilenza e sulla capacità di ripristino.
La CyberSecuirty e le sfide ad essa correlate si stanno evolvendo rapidamente, motivo per cui la Commissione europea ha adottato una serie di misure tra cui l’istituzione di un quadro legislativo globale.
Tra tutti i settori quello dell’energia rappresenta alcune particolarità che richiedono particolare attenzione:
reazioni in tempo reale, per cui l’autenticazione di un comando o la verifica di una firma digitale non possono semplicemente essere introdotte a causa del ritardo che impongono
inteconnessione di rete elettriche e gasdotti: un black out in un paese significa interruzione in un altro.
progettazioni: molti sistemi sono stati progettati prima che la digitalizzazione entrasse in gioco inoltre l’Internet Of Things pone nuove questioni in materia di sicurezza e minacce informatiche
Nel seguente video George Wrenn, Chief Security Officer e VP Cybersecurity di Schneider Electric, discute dei rischi che emergono all’intersezione tra sistemi informatici e fisici.
Prevenire gli attacchi informatici è diventata la principale priorità per le aziende di ogni dimensione. In parallelo stanno aumentando anche i budget per acquistare ed integrare nuove soluzioni per la sicurezza informatica al pari dello sviluppo di team interni dedicati all’IT. Il risultato è un continuo aumento della spesa in nuove soluzioni per tenersi al passo con l’evoluzione degli attacchi. Questo perchè man mano che le reti diventano sempre più complesse le minacce aumentano in modo proporzionale, intervenire sulle intrusioni prima che si verifichino assume un’importanza ancora maggiore.
Utilizzando le migliori pratiche della Chaos Engineering (Ingegneria del Caos) è possibile oggi comprendere meglio i punti deboli dei sistemi ed infrastrutture, prevedendo dove e come un hacker potrebbe infiltrarsi nella rete e quali siano le migliori misure di sicurezza da adottare.
Chaos Engineering e Cyber Security
Il processo noto come ingegneria del caos, che può determinare un enorme ritorno sugli investimenti, è stato utilizzato ad esempio in Netflix: il team IT ha ideato un software, chiamato Chaos Monkey, per tenere sotto stress i server e gli applicativi in modo da renderli resilienti nelle occasioni più difficili. L’idea era quindi quella di simulare il tipo di errori casuali del server che si verificano nella vita reale. Jason Yee, Technical Evangelist di DataDog, descrive così questo processo: …”in un ambiente accuratamente monitorato con ingegneri pronti ad individuare qualsiasi problema, possiamo sempre imparare quali sono le debolezze del nostro sistema, e costruire meccanismi di recupero automatico in grado di contrastarle”.
Chaos Monkey, che randomicamente termina istanze, ha un vantaggio considerevole: poter limitare i malfunzionamenti ad un periodo di tempo in cui il team è pronto ad intervenire, e soprattutto poter essere a conoscenza di quale istanza è stata terminata. Ad ogni guasto programmato si può analizzare la situazione e vedere se il sistema è riuscito ad adattarsi prontamente, evidenziando le debolezze e rendendo l’intero sistema più robusto, fino al momento in cui i fallimenti non verranno più notati.
Prevenire gli attacchi informatici significa fermare gli hacker prima che si infiltrino in un sistema: in sistemi grandi e complessi, è in sostanza impossibile prevedere dove si verificheranno gli “errori”. La differenza dell’ingegneria del caos sta nel vedere invece questi errori come opportunità: siccome il fallimento è inevitabile, perché non provocarlo in modo deliberato tentando di risolvere gli errori generati in modo casuale di modo che i sistemi e i processi possano poi gestirli?
La risposta è che sebbene gli esperimenti di caos possano avere conseguenze negative a breve termine, essi identificano più spesso i rischi maggiori che si profilano per il futuro. Gli esperimenti quindi dovrebbero essere progettati per formire indicazioni utili senza mettere a rischio i sistemi.
Prevenire gli attacchi informatici in futuro: AI e Chaos Engineering
L’ingegneria del caos è un modo proattivo di identificare le debolezze e prevenire gli attacchi prima che i danni siano irreparabili. Si tratta di un porcesso che incoraggia gli sviluppatori a cercare lacune e bug che potrebbero non incontrare normalmente, affinando la loro reattività e la resilenza.
Essere proattivi, senza quindi attendere che le minacce arrivino, è la chiave per rimanere sicuri: difatti molte violazioni dei dati nascono in questo modo, con criminali che scoprono le lacune di sicurezza non rilevate in precedenza. In teoria quindi la chaos engineering e l’introduzione di esperimenti casuali per testare la stabilità generale dei sistemi è l’unico modo per mantenerli sicuri.
In modo molto probabile questo processo sarà in futuro affiancato dall’Intelligenza Artificiale (AI) e dall’apprendimento automatico: si prevede qundi lo sviluppo di sistemi intelligenti che monitoreranno prestazioni e stabilità durante i test e che saranno in grado di identificare minacce prima sconosciute.
Pillole sulla collaborazione tra Leonardo Finmeccanica e NATO in materia di Cyber Security.
Guerra agli hacker
Il nuovo accordo firmato da Leonardo-Finmeccanica con la“NCIA” (NATO Communication and Information Agency), agenzia della Nato, prevede l’estensione — per ulteriori 18 mesi — dei servizi di protezione informatica per l’Alleanza Atlantica e il supporto dell’Alleanza nello svolgimento della propria missione.
L’accordo “NCIRC — CSSS” (NATO Security Incident Response Capability — Cyber Security Support Services), riguarda le attività di sicurezza cibernetica erogate da Leonardo (ex Finmeccanica) nell’ambito del programma NCIRC — FOC (Full Operational Capability).
Leonardo Finmeccanica: al via i centri d’addestramento
In materia di Difesa e Sicurezza la Cyber Security diventa sempre di più un’arma strategica e Leonardo sta lavorando ad un vero e proprio “poligono virtuale” in campo informatico (IT), il primo cyber range italiano per la Difesa e per gestire le infrastrutture critiche: i possibili scenari vengono virtualizzati per sviluppare strategie e componenti di difesa con l’intelligenza artificiale (AI).
Il centro, che trova collocazione nella scuola di telecomunicazioni della Difesa ha l’obiettivo di addestrare i cyber-soldati “ricreando in un perimetro chiuso e sicuro scenari di minacce hacker”: un vero e proprio centro di addestramento dove verranno insegnate anche le tecniche di attacco.
“La guerra elettronica e quella cyber stanno convergendo” ha affermato Francesco Vestito, a capo del Cioc.
L’obiettivo della NATO è preparare l’Alleanza atlantica alla risposta di un attacco esterno e alla sfida — in questo caso — di mantenere attivi i servizi e difendere le reti vittime delle intrusioni. La squadra che ci lavora è stata formata dalla Ncia e conta rappresentati di diversi paesi, Stati membri dell’Alleanza, come anche Turchia, Norvegia, Croazia, Romania, Bulgaria e Slovenia.
Lo scenario dei conflitti nel cyber spazio è stato riconosciuto al Summit di Varsasi del 2016 come quinto dominio operativo al pari di aria, mare, terra e spazio extratmosferico.
Il cyberspazio “dominio delle operazioni”? Al vertice di Varsavia il cyberspazio è stato riconosciuto come “un dominio di operazioni in cui la NATO deve difendersi con la stessa efficacia che ha in volo, a terra e in mare”: il cyberspazio quindi sarà uno dei luoghi dove la NATO svilupperà le tecniche di difesa. È stata evidenziata anche la cooperazione NATO-UE in materia di sicurezza e difesa informatica.
Scoperte 74.360 varianti sconosciute di malware. Boom dei kit ransomware-as-a-service (RaaS) e malware open-source. Per essere efficienti, le imprese devono sfruttare tecnologie innovative come l’apprendimento automatico, in modo da poter intervenire in anticipo contro le strategie di attacco che mutano costantemente.
Difendere il proprio ecosistema digitale ed informatico non è cosa facile oggi. Che siano aziende, amministrazioni pubbliche, organizzazioni internazionali, o piccole realtà, fino alla nostra casa, ogni dispositivo collegato in rete è una porta che favorisce un attacco.
Nell’ultimo Rapporto SonicWall, relativo alle minacce informatiche rilevate in 200 Paesi di tutto il mondo nel primo semestre 2019, si evidenzia un’escalation nell’utilizzo di diversi strumenti cyber crime, soprattutto il nuovo ransomware as a service, il malware open sourcee il tradizionale cryptojacking.
