Blog sulla sicurezza informatica e l’informazione dei sistemi
Andrea Biraghi, Cyber Security manager e direttore della divisione Security and information Systems, lavora da anni per il mantenimento della sicurezza dei sistemi informativi. In una società sempre più digitalizzata ed interconnessa è divenuto ormai indispensabile prendere atto delle minacce esistenti nella rete Internet: solo un costante impegno ed aggiornamento rendono possibile affrontare e combattere i Cyber criminali e riprendersi in fretta dalla loro violazioni. La posta in gioco è alta e la sicurezza dei servizi web è fortemente legata al nostro sviluppo economico: basti pensare al rapido aumento delle connessioni, degli utenti, l’aumento del valore di numerose transazioni effettuate attraverso le reti, la crescita delle imprese legate al commercio elettronico.
Nuovi severi standard “anti hacker” per i produttori di tecnologia digitale connessa ad Internet in Uk: la nuova legge introdotta oggi dal governo inglese ha l’obiettivo di proteggere dagli attacchi degli hacker su telefoni, tablet, smart TV, fitness tracker e altri dispositivi collegabili a Internet.
La nuova legge – Product Security and Telecommunications Infrastructure Bill (PSTI) – richiederà a produttori, importatori e distributori di tecnologia digitale che si connettono a Internet o ad altri prodotti di assicurarsi di soddisfare i nuovi severi standard di sicurezza informatica, con multe salate per coloro che non si conformano.
I nuovi standardi di sicurezza per la tecnologia Uk di fatto impediscono la vendita di prodotti collegabili di consumo nel Regno Unito che non soddisfano i requisiti di sicurezza di base, includendo piani per multe fino a 10 milioni di sterline o fino al 4% delle entrate globali per le aziende che non rispettano la normativa
Nuovi standard tecnologia UK: vietate le password predefinite universali
Presentata ieri al Parlamento, la legge consentirà al governo di vietare le password predefinite universali, costringere le aziende a essere trasparenti nei confronti dei clienti su ciò che stanno facendo per correggere i difetti di sicurezza nei prodotti collegabili e creare un migliore sistema di segnalazione pubblica per le vulnerabilità riscontrate in tali prodotti.
Il disegno di legge accelererà inoltre l’implementazione di reti mobili e a banda larga più veloci e affidabili, rendendo più semplice per gli operatori l’aggiornamento e la condivisione dell’infrastruttura. Le riforme incoraggeranno negoziati più rapidi e collaborativi con i proprietari terrieri che ospitano le attrezzature, per ridurre i casi di lunghe azioni giudiziarie che ostacolano i miglioramenti nella connettività digitale.
Il ministro per i media, i dati e le infrastrutture digitali Julia Lopez ha dichiarato:
Ogni giorno gli hacker tentano di entrare nei dispositivi intelligenti delle persone. La maggior parte di noi presume che se un prodotto è in vendita, è sicuro e protetto. Eppure molti non lo sono, mettendo troppi di noi a rischio di frode e furto.
Il nostro disegno di legge metterà un firewall attorno alla tecnologia di tutti i giorni, da telefoni e termostati a lavastoviglie, baby monitor e campanelli, e vedrà multe salate per coloro che non rispettano i nuovi rigidi standard di sicurezza.
La proprietà e l’uso di prodotti tecnologici connessi è aumentato notevolmente negli ultimi anni. In media ce ne sono nove in ogni famiglia del Regno Unito, con previsioni che suggeriscono che potrebbero esserci fino a 50 miliardi in tutto il mondo entro il 2030. Le persone presumono in modo schiacciante che questi prodotti siano sicuri, ma solo un produttore su cinque dispone di misure di sicurezza adeguate per i propri prodotti collegabili.
Leggi anche: Moses Staff un ransomware senza richiesta di riscatto è ancora un ransomware?
Nel settembre 2021, il gruppo di hacker Moses Staff ha iniziato a prendere di mira le organizzazioni israeliane, con un’ondata di attacchi informatici seh segue quella iniziata circa un anno fa dai gruppi Pay2Key e BlackShadow.
Gli utlimi due gruppi – Pay2Key e BlackShadow – però hanno agito principalmente per ragioni politiche – sottolinea il rapporto CheckPoint – nel tentativo di danneggiare l’immagine del Paese, chiedendo denaro e conducendo lunghe e pubbliche trattative con le vittime. Moses Staff si comporta diversamente.
Moses Staff afferma apertamente che la loro motivazione nell’attaccare le società israeliane facendo trapelare i dati sensibili rubati e crittografando le reti delle vittime, senza richiedere un riscatto. Il loro scopo sarebbe
“Combattere contro la resistenza ed esporre i crimini dei sionisti nei territori occupati”.
Per comprendere il gruppo i risultati chiave del rapporto di CheckPoint sono:
MosesStaff effettua attacchi mirati facendo trapelare dati, crittografando le reti. Non vi è alcuna richiesta di riscatto e nessuna opzione di decrittazione; i loro motivi sono puramente politici.
L’accesso iniziale alle reti delle vittime è presumibilmente ottenuto sfruttando vulnerabilità note nell’infrastruttura pubblica come i server Microsoft Exchange.
Gli strumenti utilizzati di base sono: PsExec, WMIC e Powershell.
Gli attacchi utilizzano la libreria open source DiskCryptor per eseguire la crittografia del volume e bloccare i computer delle vittime con un bootloader che non consente l’avvio delle macchine senza la password corretta.
L’attuale metodo di crittografia del gruppo può essere reversibile in determinate circostanze.
L’accesso iniziale quindi sarebbe ottenuto tramite lo sfruttamento di vulnerabilità note pubblicamente come mezzo per violare i server aziendali e ottenere l’accesso iniziale, seguito poi dall’implementazione di una shell web personalizzata che viene utilizzata per eliminare malware aggiuntivo. Una volta all’interno, gli intrusi sfruttano le tecniche LotL (Living off the Land) per spostarsi sulla rete e distribuire malware per bloccare le macchine tramite un malware PyDCrypt”.
CheckPoint ancora sottolinea un errore commeso dal gruppo:
“A differenza dei loro predecessori hanno commesso un errore quando hanno messo insieme il proprio schema di crittografia, il che è onestamente una sorpresa nel panorama odierno in cui ogni criminale informatico a due bit sembra conoscere almeno le basi su come mettere insieme un ransomware funzionante. “
Ancora il rapporto afferma che il gruppo potrebbe avere sede in Palestina.
Una recente ricerca sottolinea come alcuni software per dispositivi medici siano vulnerabili e quindi a rischio hacker. La causa starebbe nei loro difetti, afferma FORESCOUT RESEARCH LABS, che ha condotto lo studio su alcuni software sui quali sono state rilevatepiù di una dozzina di vulnerabilità, così anche nei macchinari utilizzati in altri settori che, se sfruttati da un hacker, potrebbero causare il crash di apparecchiature critiche come i monitor dei pazienti.
La ricerca, condivisa in esclusiva con CNN, indica le sfide che gli ospedali e altre strutture hanno dovuto affrontare nel mantenere aggiornato il software durante una pandemia che assorbe in modo continuo tutte le risorse. La ricerca è un perfetto esempio che spiega comele agenzie federali stiano lavorando più a stretto contatto con i ricercatori per indagare sui difetti della sicurezza informatica che potrebbero influire sulla sicurezza dei pazienti.
Dispositivi medici a rischio hacker: esecuzione di codice in remoto, denial of servicee perdita di informazioni
Secondo le società di sicurezza informatica Forescout Technologies – con il supporto di Medigate Labs – , che hanno analizzato circa 4.000 dispositivi realizzati da una vasta gamma di fornitori nei settori sanitario, governativo e al dettaglio, si sono scoperte almeno 13 vulnerabilità.
Le vulnerabilità interessano lo stack Nucleus TCP/IP, conosciuto come NUCLEUS:13, e consentono l’esecuzione di codice in remoto, il denial of servicee la perdita di informazioni.
Nucleus è utilizzato in dispositivi critici per la sicurezza, come macchine per anestesia, monitor per pazienti e altri nel settore sanitario. Forescout Research Labs si impegna a supportare i fornitori nell’identificazione dei prodotti interessati (il nostro rilevatore di stack TCP/IP open source può essere utile in questo senso) e a condividere i nostri risultati con la comunità della sicurezza informatica.
Forescout Technologies
Nel blog di Forescout viene mostrata la tabella cone le vulnerabilità scoperte di recente e colorate in base al punteggio CVSS: giallo per medio o alto e rosso per critico. Secondo la ricerca, oltre ai monitor dei pazienti, alcune macchine per anestesia, ultrasuoni e raggi X potrebbero essere interessate dal difetto del software.
Non ci sarebbero – per ora – invece prove che hacker malintenzionati abbiano approfittato dei difetti del software e l’azeinda Siemens, proprietaria del software, lavorando con funzionari federali e ricercatori ha rilasciato già aggiornamenti che correggono le vulnerabilità.
In risposta al rapporto la Cybersecurity and Infrastructure Security Agency (CISA) del Department of Homeland Security emetterà un avviso per incoraggiare gli utenti ad aggiornare i propri sistemi e per accertare rapidamente se i loro dispositivi sono interessati da vulnerabilità.
La società israeliana NSO Group del software Pegasus è finita nella lista nera Usa con le accuse di pirateria informatica.
Il Dipartimento del Commercio contro Nso: “È impegnata in attività contrarie alla sicurezza nazionale o agli interessi di politica estera degli Stati Uniti”
Il dipartimento del commercio degli Stati Uniti ha aggiunto mercoledì il gruppo israeliano NSO e Candiru alla sua lista nera commerciale, con le accuse di aver venduto spyware a governi stranieri che hanno utilizzato l’attrezzatura per prendere di mira funzionari governativi, giornalisti e altri.
NSO Group è noto per la produzione di strumenti di hacking, utilizzati dai governi e dalle forze dell’ordine di tutto il mondo. Lo strumento più noto dell’azienda è “Pegasus”, uno spyware in grado di eseguire il jailbreak di un dispositivo come un iPhone, installare malware e consentire l’esportazione dei dati dell’utente.
Ma non sembrerebbe l’unica ad essere entrata in tale lista, come afferma Reuters: sono state elencate infatti anche Positive Technologies of Russia e Computer Security Initiative Consultancy PTE LTDSingapore.
Un ex funzionario degli Stati Uniti che ha familiarità con Positive Technologies, che ha parlato a condizione di anonimato, ha affermato che l’azienda ha contribuito a stabilire l’infrastruttura informatica utilizzata negli attacchi informatici russi alle organizzazioni statunitensi.
L’aggiunta delle società all’elenco, per impegnarsi in attività contrarie alla sicurezza nazionale degli Stati Uniti o agli interessi di politica estera, significa che le esportazioni verso di esse dalle controparti statunitensi sono limitate. Ad esempio, rende molto più difficile per i ricercatori di sicurezza statunitensi vendere loro informazioni sulle vulnerabilità dei computer.
In una mossa che non ha precedenti, il portavoce del Dipartimento di Stato degli Stati Uniti avvisa: “Non stiamo intraprendendo azioni contro paesi o governi in cui si trovano queste entità”, ma per la sicurezza impone che i fornitori dovranno richiedere una licenza prima di vendere i loro prodotti (che probabilmente verrà negata). In risposta il portavoce della NSO ha affermato che le tecnologie della società “supportano gli interessi e le politiche di sicurezza nazionale degli Stati Uniti prevenendo il terrorismo e la criminalità, e quindi cercheranno di invertire questa decisione.
E’ infatti la prima volta che un’amministrazione Usa prende di mira società cyber israeliane, che ricevono le loro licenze di esportazione dal Ministero della Difesa israeliano.
La strategia dei ransomware sta evolvendo e la difesa – afferma Daniel Spicer, CSO, Ivanti – passerà allo zero trust. Questo significa microsegmentare la sicurezza.
Zero Trust è un termine coniato dagli analisti di Forrester Research: il suo significato fa riferimento a un’architettura alternativa per la gestione della sicurezza IT. L’approccio Zero Trust, filosoficamente parlando, è basico. Il principio perseguito, infatti è quello di non fidarsi mai e di verificare sempre.
ZeroUnoWeb
La sicurezza quindi va implementata e sicuramente la sua strategia va rivista, in luce di ransomware sempre più frequenti ma anche gravi per per tutte le organizzazioni. Il panorama della sicurezza informatica ha già avvisato: la situazione non farà che peggiorare.
Gli attacchi informatici e ransomware che hanno scopi economici sono ora crimini multimiliardari e le loro strategie sono sempre più complesse e le aziende pagano per i dati sensibili che diventano pubblicamente disponibili su Internet. Le organizzazioni pagano in media $ 220.298 e subiscono 23 giorni di inattività a seguito di un attacco segnala ThreatPost, e diventa necessario fare di tutto per prevenirli.
Stare un passo davanti al cyber crime: sicurezza e zero trust
Tuttavia stare un passo avanti ai cyber criminali diventa ogni giorno più impegnativo: i moderni ransomware tra ingegneria sociale, phishing e-mail, collegamenti e-mail dannosi e sfruttamento di vulnerabilità in software senza patch si infiltrano e distribuiscono malware. Non lasciano tempo ad uno stop e inoltre man mano che la strategia di sicurezza cambia i cyber criminali si adeguano a loro volta. Questo richiede il monitoraggio in tempo reale.
La sicurezza zero-trust inoltre richiede ad aziende e organizzazioni continue verifiche prima di consentire gli accessi alla rete, la garanzia di sistemi aggiornati, autotrenticazioni implementate e rafforzate, gestione continua di patch e vulnerablità. A ciò viene incontro la tecnologia del deep learning che garantisce un controllo in tempo reale di endpoint, dispositivi perimetrali etc.
Servono perà ulteriori passi avanti per la preventizone delle minacce e soprattutto piani di ripristino. In poche parole come afferma Daniele Spicer biosgna imparare a “prevdere l’imprevedibile”.
La sicurezza informatica aerospaziale richiede un approcio qualificato e maturo: questo è stato il messaggio principale della conferenza intenazionale Cyber Security for Aerospace nella sede di Leonardo a Chieti.
La conferenza con l’obiettivo di affrontare e approfondire i temi legati alla sicurezza informatica per il settore aerospaziale ha coinciso con l’inaugurazione della nuova Customer Experience Area di Leonardo e l’ufficializzazione degli ultimi dati relativi al progetto Cyber trainer sviluppato da Leonardo in collaborazione con l’Ateneo Aquilano e la Regione Abruzzo. Cyber Trainer addestrerà gli operatori della cyber security che testarenno nuove tecnologie contro le minacce informatiche.
Sicurezza aerospaziale: il rapporto Kaspersky e Zayed University
Il settore dell’Aerospazio sta attraversando infatti un periodo di cambiamenti tecnologi e digitali radicali: la space economy attrae cifre sempre più ingenti, ma gli attacchi informatici mettono a repentaglio il settore. Ciò confermato anche da un rapporto di Kaspersky in collaborazione con la Zayed University di Dubai, intitolato Cyberthreat profile of space infrastructure.
Le minacce alle infrastrutture sono esaminate in dettaglio, in un momento in cui sempre più paesi – tra stati e aziende private – stanno puntando in questa direzione, non ultimi gli Emirati Arabi Uniti con la missione Hope.
Finanziata dall’Agenzia spaziale degli Emirati Arabi Uniti, la Zayed University (ZU) ha progettato una camera di simulazione di Marte per studiare l’ambiente del pianeta rosso prima delle missioni con equipaggio. Inoltre, i ricercatori ZU hanno pubblicato una libreria di firme spettrali per l’ambiente degli Emirati Arabi Uniti utilizzando sensori remoti iperspettrali e altri.
L’infrastruttura spaziale comprende sistemi mission-critical come razzi, stazioni orbitali, satelliti, sistemi aerei senza equipaggio, sonde spaziali, robotica e sistemi di comunicazione spazio-terra. Proprio come qualsiasi altra infrastruttura critica, quella spaziale spesso incorpora una rete aziendale che ospita servizi di posta elettronica, servizi elettronici e file server e i dati raccolti da sonde, sistemi e sensori.
La minaccia alle infrastrutture spaziali sta già accadendo: soprattutto negli utlimi anni gli attacchi informatici sono stati diretti ad interrompere le comunicazioni satellitari, sfruttare l’infrastruttura per intercettare le trasmissioni satellitari o rubare informazioni sensibili. La potenziale superficie di attacco è ampia, le possibilità di interruzione sono considerevoli e i potenziali guadagni per gli attori malevoli potrebbero essere molto allettanti.
“Le infrastrutture critiche tradizionali sono state ripetutamente compromesse negli ultimi anni, con conseguenze spesso gravi. Gli esseri umani devono imparare dagli errori del passato e rendere la sicurezza informatica una priorità fin dall’inizio mentre si espandono nello spazio”, ha affermato Maher Yamout, Senior Security Researcher di Kaspersky.
Le economie dei governi di tutto il mondo fanno sempre più affidamento su infrastrutture dipendenti dallo spazio; si è quindi aperta una nuova frontiera per la sicurezzainformatica.
In settori come i trasporti e la logistica, i dati sulla posizione vengono registrati regolarmente in tempo reale dai satelliti GPS e inviati ai back office consentendo ai team di monitorare i conducenti e le risorse. Le organizzazioni che hanno avamposti remoti o navi oceaniche ovviamente non possono connettersi online tramite una rete mobile o via cavo, devono invece utilizzare i satelliti per le comunicazioni. Inoltre, i satelliti memorizzano le informazioni sensibili che raccolgono da soli, che potrebbero includere immagini di installazioni militari riservate o infrastrutture critiche. Tutti questi dati sono obiettivi interessanti per vari tipi di criminali informatici.
Google avvisa dell’aumento di attività da parte di hacker di stato: nel 2021 in totale 50.000 avvisi, un aumento di quasi il 33% rispetto allo stesso periodo nel 2020. Questo picco è in gran parte dovuto al blocco di una campagna di un gruppo russo noto come APT28 o Fancy Bear.
Hacker di stato: il gruppo APT35
Ma non solo Google si concentra anche su un gruppo legato alle Guardie rivoluzionarie iraniane, noto come APT35, o Charming Kitten, che conduce regolarmente attacchi di phishing, dove, ad esempio, viene utilizzata un’e-mail per indurre qualcuno a consegnare informazioni sensibili o per installare malware.
All’inizio del 2021, APT35 ha compromesso un sito web affiliato a un’università del Regno Unito per ospitare un kit di phishing. Gli aggressori hanno inviato messaggi di posta elettronica con collegamenti a questo sito Web per raccogliere credenziali per piattaforme come Gmail, Hotmail e Yahoo. Agli utenti è stato chiesto di attivare un invito a un webinar (falso) effettuando l’accesso. Il kit di phishing richiederà anche codici di autenticazione inviati ai dispositivi.
APT35 si affida a questa tecnica dal 2017: nel mondo accademico, nel giornalismo, nelle ONG, nella politica estera e nella sicurezza nazionale. Google descrive in dettaglio le forme di attacco del gruppo APT35, che includono: tentativo di caricare spyware nel Google Play Store, attacchi di phishing, bot sul servizio di messaggistica di Telegram per notificare quando gli utenti sono entrati in un sito di phishing. Google sottolinea e avverte: la Guardia rivoluzionaria iraniana – creato dopo la rivoluzione islamica del 1979 – ha un ruolo chiave nell’ondata di hack sostenuta dallo stato. Lo stesso gruppo di Teheran – che dispone di un vasto apparato di intelligence – ha preso di mira i membri dello staff della campagna elettorale negli Stati Uniti del 2020.
“Per anni questo gruppo ha dirottato account, distribuito malware e utilizzato nuove tecniche per condurre lo spionaggio in linea con gli interessi del governo iraniano”.
Ajax Bash, membro del team di analisi delle minacce di Google
Aumentano gli attacchi ransomware al settore sanitario mentresocietà di sicurezza informatica americana Mandiant – in un nuovo rapporto – sottolinea come un gruppo di criminali informatici noto come “FIN12” stia espandendo le seu operazioni di hacking prendendo di mira ripetutamente il settore. Kevin Mandia, l’amministratore delegato di Mandiant, ha affermato:
“Questo è un gruppo a cui abbiamo risposto tante volte e vogliamo che tutti possano iniziare a difendersi in modo più efficace”
Gli hacker del gruppo Mandiant attaccano spegnendo i sistemi, ostacolando l’accesso alle cartelle cliniche dei pazienti e alle immagini radiologiche: ciò aumenta il rischio per tutti i pazienti fino a quando non viene pagato un riscatto.
Nel report completo “FIN12: The Prolific Ransomware Intrusion Threat Actor That Has Aggressively Pursued Healthcare Targets”, Mandiant afferma che il gruppo stia colpendo dal 2018, quindi ben prima della pandemia. Ma viene anche svelato un ndoo centrale, quello dell’affiliazione tra vai gruppi che collaborno insieme. Nel report infatti – dove viene svelata l’attività del gruppo FN12 – viene anche evidenziato come FIN12 abbia partner che gli consentono varie operazioni, come l’accesso iniziale, l’evoluzione delle tattiche, delle tecniche e delle procedure del gruppo e le tendenze nel loro ampio uso di Cobalt Strike BEACON.
Nel sommario viene sinteizzata l’attività principale dei cyber criminali:
FIN12 è un gruppo di minacce finanziariamente motivato, attivo almeno da ottobre 2018, specializzato nella distribuzione post-compromissione del ransomware principalmente RYUK.
Fin dalla sua prima apparizione, FIN12 ha mantenuto una stretta collaborazione con gli attori delle minacce affiliati a TRICKBOT. Tuttavia, FIN12 ha apparentemente diversificato le sue partnership per le operazioni di accesso iniziale, in particolare nel 2021.
FIN12 fa molto affidamento su strumenti e malware disponibili pubblicamente per consentire le proprie operazioni. In quasi ogni singola intrusione FIN12 da febbraio 2020, FIN12 ha utilizzato Cobalt Strike BEACON, ma storicamente hanno utilizzato anche EMPIRE e TRICKBOT come strumento post-sfruttamento.
La maggior parte delle vittime di FIN12 osservate ha sede in Nord America, ma il loro targeting regionale si è ampliato nel 2021 in altre regioni, tra cui Europa e Asia Pacifico.
Gli attacchi ransomware del gruppo FN12 si concentrano per circa il 20% sul settore sanitario.
Leggi anche: Ransomware 2021 i tre rapporti : IBM, Trend Micro e BlackBerry
Un nuovo gruppo APT prende di mira i settori carburante, energia ed aviazione: il gruppo non ancora documentato – riporta HackerNews – è stato identificato come responsabile di una serie di attacchi in Russia, Stati Uniti, India, Nepal, Taiwan e Giappone con l’obiettivo di rubare dati da reti compromesse.
Il gruppo di minacce persistenti avanzate (APT) è stato soprannominato ChamelGang dalla società di sicurezza informatica Positive Technologies per le sue capacità camaleontiche, incluso il mascheramento “del malware e dell’infrastruttura di rete sotto servizi legittimi di Microsoft, TrendMicro, McAfee, IBM e Google“.
Inoltre la società avvisa:
Poiché il nuovo gruppo APT ha iniziato a sfruttare le vulnerabilità di ProxyShell negli attacchi per infettare Microsoft Exchange, è possibile che anche i server vulnerabili nel Regno Unito possano essere interessati in futuro. Il gruppo, noto come ChamelGang, sembra essere concentrato sul furto di dati da reti compromesse e i suoi primi attacchi alle relazioni di fiducia 1 sono stati registrati nel marzo 2021.
Positive Technologies Uncovers New APT Group Attacking Russia’s Fuel and Energy Complex and Aviation Production Industry
Denis Kuvshinov, Head of Threat Analysis presso Positive Technologies, spiega:
“Prendere di mira il complesso del carburante e dell’energia e l’industria dell’aviazione in Russia non è l’unico obiettivo: questo settore è uno dei tre più frequentemente attaccati. Tuttavia, le conseguenze sono gravi: il più delle volte tali attacchi portano a perdite finanziarie o di dati: nell’84% di tutti i casi l’anno scorso, gli attacchi sono stati creati appositamente per rubare dati e ciò provoca gravi danni finanziari e di reputazione. Inoltre, le aziende industriali spesso non sono in grado di rilevare un attacco informatico mirato ai loro proprio – credono che le loro difese siano b, e che tali interruzioni siano altamente improbabili.
Ma in pratica, gli aggressori possono penetrare nella rete aziendale di un’impresa industriale più del 90% del tempo e quasi ogni tale invasione porta alla completa perdita di controllo sull’infrastruttura. Più della metà di questi attacchi porta al furto di dati su partner e dipendenti dell’azienda, corrispondenza e documentazione interna.”
Google avvisa: una nuova tecnica può rendere il malware non rilevabile su Windows. I ricercatori hanno rivelato una nuova tecnica per eludere deliberatamente il rilevamento del malware, tramite l’aiuto di firme digitali non valide dei payload di malware. L’analisi del certificato viene quindi interrotta per evitare il rilevamento. La nuova tecnica è attualamente utilizzata dal cyber crime a proprio beneficio. Inoltre, gli aggressori in grado di nascondere la propria identità nelle firme senza comprometterne l’integrità, possono evitare il rilevamento più a lungo, e prolungare la durata dei certificati di firma del codice per infettare più sistemi.
“Gli aggressori hanno creato firme di codice non valideche sono considerate valide da Windows ma non possono essere decodificate o verificate dal codice OpenSSL, che viene utilizzato in numerosi prodotti di scansione di sicurezza”
Il team ha osservato che il nuovo meccanismo è stato sfruttato da una famigerata famiglia di software indesiderato noto come OpenSUpdater, utilizzato per scaricare e installare altri programmi sospetti su sistemi compromessi. La maggior parte degli obiettivi della campagna sono gli utenti residenti negli Stati Uniti che sono inclini a scaricare versioni craccate di giochi e altri software.
I gruppi di campioni OpenSUpdater sono spesso firmati con lo stesso certificato di firma del codice, ottenuto da un’autorità di certificazione legittima. Da metà agosto, i campioni OpenSUpdater hanno una firma non valida e ulteriori indagini hanno dimostrato che si trattava di un tentativo deliberato di eludere il rilevamento. In questi nuovi campioni, la firma è stata modificata in modo tale che un marcatore End of Content (EOC) ha sostituito un tag NULL per l’elemento ‘parameters’ del SignatureAlgorithm che firma il certificato Leaf X.509.
I prodotti che utilizzano OpenSSL per estrarre le informazioni sulla firma rifiuteranno questa codifica in quanto non valida. Tuttavia, per un parser che consente queste codifiche, la firma digitale del binario apparirà altrimenti legittima e valida.
Telegram, l’app del pietroburgese Pavel Durov – secondo una ricerca – sembra che stia emergendo come nuovo dark web per i criminali informatici. La ricerca è della società di sicuerezza Cyberint – insieme al Financial Times – che ha scoperto canali con decine di migliaia di abbonati.
L’esplosione dnell’utilizzo di Telegram è stata provocata, secondo lo studio, dai recenti cambiamenti in uno dei suoi concorrenti: WhatsApp, ora proprietà di Facebook.
Mentre Telegram e WhatsApp sono entrambe destinazioni popolari per coloro che cercano maggiore privacy nelle loro comunicazioni digitali – le due piattaforme offrono una qualche forma di crittografia end-to-end – la nuova politica sulla privacy di quest’ultima, anche se assediata, ha reso la piattaforma meno attraente per i criminali informatici.
Tal Samra, analista delle minacce informatiche di Cyberint ha affremato: “Di recente abbiamo assistito a un aumento del 100% dell’utilizzo di Telegram da parte dei criminali informatici”
“Il suo servizio di messaggistica crittografata è sempre più popolare tra gli attori delle minacce che conducono attività fraudolente e vendono dati rubati . . . in quanto è più comodo da usare rispetto al dark web.”
Tal Samra
In passato, i dump di dati e i data leak che ora vengono scambiati tramite l’app – di facile utilizzo – erano infatti in gran parte dominio del cosiddetto “dark web”, a cui è possibile accedere solo utilizzando browser e login speciali.
Gli hacker trovano attraente il dark web perché vive in un angolo del deep web – vale a dire, la parte di Internet che non appare nei motori di ricerca – che è ancora più bloccato contro gli osservatori esterni e le intrusioni.
Tutte queste barriere – quelle della dark web – hanno un prezzo, ovviamente: non tutti possono accedervi. È qui che Telegram entra in scena. È facile scaricare l’app e creare un account. Le chat “segrete” del servizio utilizzano la crittografia end-to-end, per una maggiore privacy. E mentre le chat di gruppo non hanno la stessa protezione, hai comunque bisogno di un link o di un invito per entrare. Inoltre Telegram consente anche enormi chat di gruppo fino a 200.000 utenti.
La notizia giunge anche nel momento in cui molti in Russia definiscono “un momento spartiacque” la sospensione dell’accesso alle raccomandazioni di voto anti-governativo diffuse dal team di Aleksej Navalyj in occasione delle parlamentari. Dopo Google e Apple è stata la volta dell’applicazione di messaggistica istantanea Telegram che ha annunciato che avrebbe bloccato tutti i servizi associati alla campagna elettorale, incluso il “Bot” del Voto intelligente: il canale automatizzato che raccomandava il nome da votare in base al seggio.
VPN Fortinet: un leak password ha colpito 500.000 account: gli hacker avrebbero prelevato le credenziali di accesso da dispositivi non protetti, quindi le hanno scaricate su un forum del dark web. Anche se la vulnerabilità di Fortinet smebra sia stata corretta molte credenziali VPN sono ancora valide. L’attore delle minacce, un certo “Orange” ha fatto trapelare password e nomi utente, ma nulla in vendita, la grande quantità di informazioni era disponbile gratuitamente.
Il comunicato stampa di Fortinet:
The security of our customers is our first priority. Fortinet is aware that a malicious actor has disclosed SSL-VPN credentials to access FortiGate SSL-VPN devices. The credentials were obtained from systems that have not yet implemented the patch update provided in May 2019. Since May 2019, Fortinet has continuously communicated with customers urging the implementation of mitigations, including corporate blog posts in August 2019, July 2020, April 2021 and June 2021 For more information, please refer to our latest blog. We will be issuing another advisory strongly recommending that customers implement both the patch upgrade and password reset as soon as possible.” (Fortinet)
Si ritiene che gli account siano stati compromessi tramite una vulnerabilità scoperta in precedenza nel prodotto. Ad aprile, le agenzie federali avevano avvertito di molteplici falle di sicurezza nella VPN di Fortinet che avrebbero potuto consentire l’accesso agli hacker. Da allora alla società sono state rilasciate patch per tali falle di sicurezza, anche se apparentemente ciò non ha impedito a molti utenti di compromettere le informazioni sugli account.
VPN Fortinet leak: i collegamenti con la banda ransonmware Groove
Secondo una ricerca della società di sicurezza Advanced Intel, si pensa che Orange sia un membro della banda di ransomware “Groove”. Si dice che abbiano anche lavorato in precedenza per Babuk, un’importante banda di ransomware che ha tentato di estorcere milioni di dollari al dipartimento di polizia di Washington D.C. all’inizio di quest’anno.
Groove ha recentemente lanciato un nuovo forum sulla criminalità informatica chiamato RAMP e i ricercatori hanno teorizzato che la banda potrebbe aver divulgato gli account VPN per attirare l’attenzione sulla loro nuova impresa commerciale.
I cyber partisans in Bierlorussia – Belarus Cyber Partisans – affermano di avere violato i database ufficiali e di avere accesso a dati estremamente sensibili.
I Berlarus Cyber Partisans hanno rivendicato così una serie di attacchi informatici – a fine agosto 2021 – ai database del governo e della polizia in Bielorussia, compresi quelli del Ministero degli Interni. La notizia è riportata da DW a cui un hacker avrebbe detto che l’idea era di fornire alla popolazione informazioni importanti.
Il 17 agosto, il sovrano bielorusso Alexander Lukashenko ha indirettamente confermato la perdita di dati sensibili. “Se non puoi proteggere le informazioni nei tuoi computer, allora scrivi le cose a mano e mettile nei cassetti”, ha detto ai ministri in una riunione.
Di recente il gruppo avrebbe affermato di avere accesso ai dettagli del passaporto di tutti i bielorussi, nonché ai piani di sicurezza interna, e dati riguardo alle intercettazioni. Secondo quanto riferito, l’elenco include funzionari della sicurezza, aziende statali e aziende private. I Cyber Partisans affermano di avere centinaia di migliaia di ore di registrazioni, affermando anche che elaboreranno le informazioni e le rilasceranno gradualmente.
Per fare ciò, i cyber partisans della Bierlorussia hanno creato un canale Telegram che ha già 77.000 abbonati. L’app di messaggistica crittografata è spesso utilizzata dai sostenitori dell’opposizione in Bielorussia perché rende più facile aggirare i censori. È stata una delle maggiori fonti di informazione durante le proteste antigovernative nel 2020.
I Cyber partisans sono un collettivo di attivisti/hacktivisti anonimo decentralizzato bielorusso emerso nel settembre 2020 – dopo le presidenziali del 2020 – noto per i suoi vari attacchi informatici contro il governo bielorusso, istituzioni governative e agenzie governative.
Wikipedia
Secondo i Cyber Partisans, il ministero dell’Interno bielorusso ha creato un database intitolato Street Riots, in cui sono state registrate quasi 39.000 persone solo lo scorso anno, principalmente perché avevano partecipato alle proteste dopo le contestate elezioni presidenziali. Il database apparentemente contiene informazioni sui passaporti di questi manifestanti, nonché dettagli relativi agli arresti e al successivo esito. DW – la Deutsche Welle, emittente internazionale tedesca e uno dei media internazionali di maggior successo e di rilievo – afferma di avere visto gli screenshot e confermano.
DragonForce Malaysia Hack: l’hacktivismo in Medio Oriente persiste: nuovi attacchi digitali durante il mese di maggio 2021 e le crescenti tensioni in Medio Oriente hanno portato a rinnovate operazioni di attivisti informatici in tutta la regione.
Gli attacchi digitali di maggio hanno presentato un certo livello di rischio per i siti non protetti poiché gli attori delle minacce hanno preso di mira le organizzazioni delle telecomunicazioni, i settori finanziari e le agenzie governative. Al momento, le azioni fisiche sono diminuite nella regione dall’ultima incursione, ma gli attacchi digitali sono continuati fino a giugno. La più grande paura nell’hacking informatico risiede nell’abuso della privacy – come la fuga di informazioni personali nell’hack DragonForce Malaysia a giugno – così come la preoccupazione che le forze straniere possano dirottare i sistemi e prendere il controllo dei database nazionali e dei sistemi operativi
Gli eventi informatici in Medio Oriente sono diventati reazionari nell’ultimo anno; ai casi di hacktivismo nella regione seguono poi tipicamente scontri fisici o politici.
In uno degli eventi più pubblicizzati , DragonForce Malaysia (DFM) ha fatto trapelare informazioni su centinaia di migliaia di studenti israeliani. Queste informazioni includevano nomi utente, password, nomi, indirizzi, numeri di telefono, date di nascita e altri dati relativi alla scuola. Sotto il sito web di AcadeME che fa riferimento a #OpsBedil e “Operation Israel” mentre chiama hacker, attivisti e organizzazioni per i diritti umani a unirsi e fare una campagna contro Israele.
OpsBedil è un’operazione di hacktivist che attualmente prende di mira diversi verticali e agenzie governative in Medio Oriente. È l’ultima campagna digitale per colpire la regione ed è condotta da attori delle minacce nel sud-est asiatico, in particolare Malesia e Indonesia. Gli attacchi eseguiti sotto #OpsBedil sono considerati una risposta politica all’ambasciatore israeliano a Singapore che ha dichiarato a giugno che Israele è pronto a lavorare per stabilire legami con le nazioni a maggioranza musulmana del sud-est asiatico.
La Malesia, che è per oltre il 60% musulmana e sostiene la Palestina, ha una presenza significativa di attivisti informatici e militanti palestinesi. A seguito di questa richiesta di stabilire legami, gli attivisti informatici nella regione hanno iniziato a prendere di mira le risorse israeliane a giugno con una serie di attacchi DoS, fughe di dati e campagne di deturpazione. Il gruppo condanna la proposta di stabilire legami e ribadisce il proprio continuo sostegno alla Palestina con attacchi digitali.
Un attacco informatico ha recentemente colpito il Dipartimento di Stato degli Stati Uniti US: secondo i rapporti di Fox News e Reuters, gli hacker hanno colpito recentemente, mentre il Cyber Command del Dipartimento della Difesa ha rilasciato notifiche di una violazione dei dati potenzialmente grave.
Il primo avviso è stato un tweet di sabato 21 agosto 2021 di una giornalista di Fox News, che ha speigato l’netità del danno, anche se non è ancora chiaro quando sia stata scoperta la violazione e quali siano stati gli sforzi fatti – ancora in corso – per mitigarla. Si ritiene peerò che sia avvenuta un paio di settimane fa. Tuttavia fonti di Reuters assicurano che non ci sono state interruzioni significative e le operazioni non sono state in alcun modo ostacolate.
Relativamente all’attacco informatico e tramite comuqnue uno dei portavoce il Dipartimento di Stato US ha fatto sapere che:
“Il Dipartimento prende sul serio la sua responsabilità di salvaguardare le proprie informazioni e adotta continuamente misure per garantire che le informazioni siano protette. Per motivi di sicurezza, non siamo in grado di discutere la natura o la portata di eventuali presunti incidenti di sicurezza informatica in questo momento”
Steven Hope, CEO e co-fondatore di Authlogics, ha detto a ITPro che il Dipartimento di Stato US è un obiettivo più interessante per gli hacker rispetto al negozio dietro l’angolo, affermando che: “Anche se non sappiamo cosa è stato violato, e in questo caso potremmo non saperlo mai, il fatto che sia elencato come ‘grave’ indica che potrebbe esserci molto dietro questo, in termini di volume di dati a cui si accede o di importanza”
Mentre i ransomware e gli attacchi double extrorsion sono in continua crescita anche in Italia – terzo paese più colpito al mondo – tra i più importanti attacchi informatici del 2021 – che conosciamo – la maggior parte hanno avuto come target gli Stati Uniti. E mentre gli USA si dimostrano sempre più vulnerabili, il dito viene puntato contro la Russia. Gli attacchi sono comunque reminder delle crescenti minacce informatiche alle infrastrutture critiche e ai fornitori di servizi che sono obiettivi dei criminali informatici.
T-Mobile sta indagando su una enorme violazione di dati: gli hacker affermano di avere nomi e numeri di previdenza sociale di almeno 100 milioni di clienti.
La violazione – riporta TheSun – riguarda dati come numeri di previdenza sociale, numeri di telefono, nomi, indirizzi fisici, numeri IMEI univoci e informazioni sulla patente di guida.
La scoperta è stata fatta domenica scorsa 15 agosto 2021, a partire da un forum sul quale un utente affermava della possibile violazione e di vendere enormi quantità di dati personali compromessi. Il venditore ha affermato che i dati erano stati prelevati dai server T-Mobile e scaricati in locale: il valore del ricatto ammonterebbe a sei bitocin – 260mila dollari.
L’analisi dei primi dati sembrerebbe avere avuto una conferma di autenticità, Motherboard, in seguito, ha riferito:
“Siamo a conoscenza delle affermazioni fatte in un forum sotterraneo e abbiamo attivamente indagato sulla loro validità”, ha detto un portavoce di T-Mobile in una e-mail a The Verge. “Al momento non abbiamo ulteriori informazioni da condividere”.
T-Mobile violazione dei dati: 2018, 2019 e 2020
Sulla violazione dei dati si sta quindi ancora indagando non essendo ancora nemmeno chiaro come sia avvenuto l’accesso ai dati. Tuttavia T-Mobile è stata l’obiettivo di diverse violazioni dei dati negli ultimi anni, le ultime nel dicembre 2020 e nel 2018. Le due violazioni riguardavano le infromazioni personali di circa 2 milioni di clienti con nomi indirizzi e numeri di conto (2018), nomi, indirizzi e account (2019) e alcune informazioni finanziarie, numero di previdenza sociale e account (marzo 2020).
Nella violazione del 2020 il team di sicurezza informatica di T-Mobile ha identificato e bloccato un attacco dannoso contro il proprio fornitore di posta elettronica che aveva portato all’accesso non autorizzato a determinati account di posta elettronica dei dipendenti di T‑Mobile, alcuni dei quali contenevano informazioni sull’account di clienti e dipendenti.
Il rapporto Reuters accusa la Cina dell’hacking di dati sul fiume Mekong dalla Cambogia.
Non è immediatamente chiaro quale tipo di dati abbiano rubato gli hacker e non sappiamo perché abbiano fatto questo tentativo. Ma ci deve essere qualcosa di interessante o importante che li ha motivati a farlo”, ha affermato il Segretariato della Commissione del fiume Mekong (MRC). Questo è successo nel 2018 ma stiamo ascoltando la notizia ora che il dipartimento di giustizia degli Stati Uniti l’ha rilasciata.
Il Segretario ha anche affermato che la maggior parte dei dati su MRC è disponibile pubblicamente e ospitata su un portale di dati. Il portale rappresenta un magazzino di dati in cui sono attualmente disponibili almeno 10.333 dataset. I set di dati includono serie temporali idro-meteorologiche e climatiche attuali e storiche, mappe spaziali, atlanti, fotografie e set di dati settoriali a cui è possibile accedere facilmente.
L’accusa dell’hacking è partita dagli Stati Uniti e puntava ad una campagna di spionaggio informatico globale: tra i governi presi di mira dagli hacker cinesi c’era la Cambogia, uno dei più fedeli alleati asiatici di Pechino.
L’obiettivo dell’attacco è stato rivelatore: le discussioni tra Cina e Cambogia sull’uso del fiume Mekong (segreti commerciali e dati idroacustici). Il Mekong infatti è divenuto un nuovo campo di battaglia per l’influenza statunitense e cinese nel sud-est Asia.
Reuterssi basa sulle accuse che “sono state delineate in un atto d’accusa di 30 pagine del tribunale degli Stati Uniti che descrive in dettaglio le attività di quella che è stata definita una società di facciata gestita dalla sicurezza dello stato cinese ad Hainan, una provincia insulare cinese vicino al sud-est asiatico”.
Tra gli obiettivi degli hacker c’era il “Ministero del governo cambogiano”, secondo l’accusa, dal quale “hanno rubato dati relativi alle discussioni tra i governi di Cina e Cambogia sull’uso del fiume Mekong” nel gennaio 2018.
In risposta a Reuters, il ministero degli Esteri cinese ha affermato che le accuse alla Cina dell’hacking ai dati sul Mekong sono infondate e che gli Stati Uniti sono la principale fonte mondiale di attacchi informatici, compresa anche l’intercettazione dei propri “alleati”:
La Cina si è opposta fermamente e ha combattuto gli attacchi informatici di tutte le forme. La Cina non fa mai [questi attacchi] né incoraggerà, sosterrà o condonerà gli attacchi informatici. Gli Stati Uniti, infatti, sono la più grande fonte di attacchi informatici al mondo.
Attivisti, giornalisti per i diritti umani ed oppositori politici sono stati oggetto di tentativi di hacking tramite Pegasus spyware di NSO Group. Secondo un’indagine circa 37 smartphone – su 67 esaminati – sono stati violati con successo utilizzando lo strumento di sorveglianza, sviluppato dall’azienda israeliana di armi informatiche NSO. Il leak contine circa 5.000 numeri di telefono. il TheGuardian riporta che “si ritiene che un gruppo di 10 governi siano clienti NSO che aggiungono numeri al sistema, con l’elenco che include Azerbaigian, Kazakistan, Ruanda ed Emirati Arabi Uniti, tra gli altri”.
NSO Group è noto per la produzione di strumenti di hacking, utilizzati dai governi e dalle forze dell’ordine di tutto il mondo. Lo strumento più noto dell’azienda è “Pegasus”, uno spyware in grado di eseguire il jailbreak di un dispositivo come un iPhone, installare malware e consentire l’esportazione dei dati dell’utente.
Il malware può violare sia gli smartphone con sistema Android sia iOS, lasciando pche tracce. Entra in azione grazie ad un click dell’utente su un link dannoso ricevuto – si insinua all’interno del dispostivo accendendo ad informazioni come: foto, registrazioni, passwords, localzzazione, registri chiamate e post pubblicati sui social. Inoltre Pegasus consente di abilitare telecamere e microfoni in segreto, leggere messaggi crittografati e registrare telefonate. È stato anche possibile acquisire le coordinate GPS, consentendo il monitoraggio in tempo reale e la registrazione di dove si trovava il bersaglio.
In un’indagine di un gruppo di 17 organizzazioni dei media, sembra che Pegasus venga utilizzato per attaccare i critici dei governi, piuttosto che solo contro i criminali. Una fuga di notizie, riportata da The Guardian, include un elenco di oltre 50.000 numeri di telefono ritenuti persone di interesse per i clienti del gruppo NSO dal 2016.
…nell’elenco sono stati inclusi più di 180 numeri associati ai giornalisti, inclusi giornalisti e dirigenti di importanti testate, tra cui il Financial Times, la CNN e il New York Times.
Nell’ottobre 2019, Facebook ha fatto causa a NSO Group per accuse che il produttore di strumenti di hacking abbia utilizzato una vulnerabilità in WhatsApp per inviare malware a circa 1.400 giornalisti. Nell’aprile 2020, il gruppo NSO ha affermato che Facebook si era precedentemente avvicinato alla società nel 2017 per acquistare potenzialmente l’accesso al software, in particolare per raccogliere dati sui dispositivi Apple.
Cyber crime: l’Italia è il quarto paese più colpito dai ransomware subito dopo Regno Unito, Francia e Germania.
I dati arrivano dalla scoietà di sicurezza informatica FireEye che segna una crescita dei ransomwareche colpisce tutta l’area Emea. L’area Emea comprende Europa, Africa e Medio Oriente, e i ransomware rappresentano la tipologia di attacco cyber maggiormente in aumento, con un +422% tra febbraio 2020 e maggio 2021.
Quali sono i settori più colpiti? dal cyber crime in Italia? Il settore manifatturiero è al primo posto, seguito da servizi legali e professionali, logistica e industria ingegneristica.
“I gruppi che operano attraverso attacchi ransomware continueranno a crescere fino a quando non inizieremo ad affrontare il problema a livello politico.Rallentare queste attività criminali richiederà un livello di coinvolgimento che non abbiamo mai visto prima. Il cybercrime è una sfida globale e abbiamo necessità di segnalare e operare contro i paesi che offrono protezione ai cyber criminali o che accettano, con passività, le loro azioni, finché non colpiranno chi li ospita o li protegge”.
Jens Monrad, Director, Head of Mandiant Intelligence, Emea
Sottolineando il fatto che il settore energetico è una delle infrastrutture critiche del nostro Paese, sostenendone le attività e lo sviluppo economico, evidenzia come la transizione verso una rete energetica digitalizzata o 4.0, esponga il settore a nuovi rischi e alle attvità malevole dei “criminal hacker”.
Il settore sarebbe quindi ad altro rischio e la conferma è il numero crescente di minacce e di attori che prendono di mira le utility. Ulteriore criticità è rappresentata dalla natura decentralizzaa della leadership della cyber security di molte organizzazioni, oltre alle interdipendenze – tra le le infrastrutture fisiche e informatiche – che rendono le aziende vulnerabili agli attacchi. L’analisi riferita al Giugno 2021, prende in considerazione un campione di 20 aziende tra le prime 100 del settore su base fatturato.
Il numero totale delle potenziali vulnerabilità riscontrate per il settore energetico è 1643, così distribuite: 4 aziende (20% del campione) hanno 0 potenziali vulnerabilità, 7 aziende (35% del campione) hanno tra 1 e 25 potenziali vulnerabilità, 3 aziende (15% del campione) hanno tra 26 e 50 potenziali vulnerabilità e 6 aziende (30% del campione) hanno più di 50 potenziali vulnerabilità. La media delle potenziali vulnerabilità è 82, ma è presente 1 azienda che espone oltre 900 potenziali vulnerabilità: escludendola dal calcolo della media, il numero medio di potenziali vulnerabilità per azienda si abbassa da 82 a 34.
Il nuovo attacco ransomware che via Kaseya si sta diffondendo tra centinaia di clienti.
Kaseya è un software utilizzato nel monitoraggio remoto, nella gestione delle tecnologie dell’informazione, nella risoluzione della sicurezza di rete e basata su cloud: si tratta di un software utilizzato da grandi aziende e fornitori di servizi tecnologici per gestire e distribuire aggiornamenti software ai sistemi sulle reti di computer
L’attacco secondo i ricercatori di sicurezza e VSA Kaseya Ltd – dopo un’attenta analisi da parte della società di sicurezza informatica Emsisoft – è stato operato dal noto gruppo REvil, il gruppo ransomware che circa un mese fa ha raccolto un pagamento di 11 milioni di dollari dal produttore di carne JBS SA ha iniziato un attacco diffuso che ha probabilmente infettato centinaia di organizzazioni in tutto il mondo e decine di migliaia di computer, secondo gli esperti di sicurezza informatica.
JBS Foods – il più grande fornitore di carni al mondo – ha dovuto fermare i suoi stabilimenti in seguito ad un attacco ransomware. Il 31 Maggio 2021 l’attacco condotto dal gruppo hacker REvil ha mandato fuori uso i server di supporto ai sistemi IT del colosso, paralizando la produzione degli impianti.
REvil è un noto fornitore di ransomware, e il riscatto chiesto è in genere sotto forma di bitcoin. Ma questo ultimo attacco sembra essere il più grande di sempre. Secondo gli esperti di sicurezza informatica, l’incidente potrebbe aver infettato fino a 40.000 computer in tutto il mondo. Tra le società colpite una catena di supermercati in Svezia, che ha affermato che in alcuni casi i suoi registratori di cassa sono stati colpiti nell’attacco, spingendo molti dei suoi negozi a chiudere.
Kaseya ha riferito che circa 40 suoi clienti (provider/fornitori IT) sono stati colpiti dal ransomware e consiglia di spegnare i suoi sistemi. Chiunque li sui ora è a rischio.
In una nota Kaseya avvisa che continueranno ad indagare sull’incidente di sicurezza con FireEye Mandiant IR (azienda leader nella risposta agli incidenti informatici): nessun “Falso Positivo” è stato segnalato dagli utenti.
Il gruppo hacker Nobelium, legato agli attacchi Solar Winds, è riuscito a compromettere il computer di un lavoratore Microsoft. Microsoft ha dichiarato venerdì che l’accesso è stato utilizzato per lanciare attacchimirati contro i clienti dell’azienda. La scoperta è avvenuta mentre Microsoft stava indagando su nuove violazioni da parte dello stesso gruppo di hacker.
Secondo Microsoft, gli hacker hanno utilizzato le informazioni raccolte dagli strumenti per avviare attacchi “altamente mirati” su specifici clienti Microsoft. La società afferma di aver contattato i clienti interessati dall’uso degli strumenti da parte del gruppo di hacker e che Nobelium non ha più accesso al dispositivo dell’agente dell’assistenza clienti. Microsoft ha avvertito i clienti interessati di prestare attenzione alle comunicazioni con i propri contatti di fatturazione e di prendere in considerazione la modifica di tali nomi utente e indirizzi e-mail, oltre a impedire ai vecchi nomi utente di accedere.
Secondo quanto rivelato dall’azienda, Nobelium ha provato a fare breccia all’interno degli strumenti dell’Assistenza Clienti Microsoft senza riuscirci veramente in nessuno dei target principali. A quanto pare infatti, solo tre degli obiettivi strategici di Nobelium sono stati compromessi, ma la compagnia non ha rivelato ulteriori dettagli in merito
Il governo degli Stati Uniti ha pubblicamente attribuito i precedenti attacchi del gruppo Nobellium al governo russo, che nega il coinvolgimento. In ogni caso Microsoft ha chiarito che l’attacco attribuito a Nobellium è separato dall’incidente di Solar Winds. Tuttavia, l’azienda a affermato che l’attacco fa parte di una più ampia campagna Nobelium in gran parte incentrata su aziende e governi IT di tutto il mondo.
In occasione dell’imminente Windows 11, Microsoft continua a puntare alla sicurezza: il 24 Giugno ha annunciato che il nuovo Windows 11 richiederà il chip TPM (Trusted Platform Module) sui dispositivi esistenti e nuovi. È un cambiamento hardware significativo che ha richiesto anni di lavoro, anche se non è ancora stato chiarito sul fatto che i vecchi hardware siano compatibili.
“Il Trusted Platform Modules (TPM) è un chip che può essere integrato nella scheda madre del tuo PC o aggiunto separatamente nella CPU”, spiega David Weston, direttore della sicurezza aziendale e del sistema operativo di Microsoft. “Il suo scopo è proteggere le chiavi di crittografia, le credenziali dell’utente e altri dati sensibili dietro una barriera hardware in modo che malware e aggressori non possano accedere o manomettere tali dati”.
Cyber spionaggio e controllo remoto di internet: Mollitiam Industries sarebbe in procinto di sviluppare strumenti di hacking in grado di assumere il controllo di dispotivi Android, MacOS e Windows su smarthphone e tablet.
Secondo i documenti visti da Wired – materiali di marketing online non protetti – la società di cyber intelligence, con sede in Spagna, grazie afi fondi europei (UE) ha creato una nuova tecnologia di sorveglianza invasiva che consente di assumere il “controllo remoto anomimo” ed invisibile dei dispositivi connessi alla rete Internet elundendo il rilevamento. Wired cita i prodotti di intercettazione anonima come “Invisible Man” e “Night Crawler“, in grado di accedere in remoto ai file e alla posizione di un bersaglio e di accendere di nascosto la fotocamera e il microfono di un dispositivo (incluse password, attività di ricerca sul Web e persino testi scambiati su applicazioni di messaggistica crittografate). Ma non sarebbe una novità perchè Mollitiam, in un recente webinar, ha mostrato la capacità della sua tecnologia di registrare le chiamate WhatsApp, divulgare i dettagli dell’ingegneria sociale e delle tattiche di phishing utilizzate. “Conquista la fiducia del bersaglio”.La tecnologia, a basso consumo di dati e batteria di Moltiam, consente ai suoi strumenti di funzionare senza destare sospetti.
…il suo spyware sarebbe dotato di un keylogger, il che significa che ogni sequenza di tasti eseguita su un dispositivo infetto, incluse password, query di ricerca e messaggi inviati tramite app di messaggistica crittografate, può essere tracciata e monitorata.
Cyber spionaggio:
Secondo quanto riferito dalla rivista, Mollitiam è anche in procinto di implementare uno strumento per il “monitoraggio di massa di profili e identità digitali“, sia attraverso i social media sia la dark web: il progetto – viene affermato – è soprendentemente simile ad un progetto sulla raccolta dati finanziato in parte dal Fondo di sviluppo europeo (UE). Il progetto dovrebbe sviluppare una piattaforma di generazione di intelligence automatizzata che analizzi e metta in correlazione grandi quantità di dati “da fonti Internet aperte”. Wired ha esaminato i documenti ufficiali. La notizia arriva in un momento in cui vengono sollevati problemi di privacy a causa degli sforzi delle forze dell’ordine e delle agenzie di intelligence per accedere ai dati personali aggirando le tecnologie di messaggistica crittografata. Né la società né le autorità europee hanno risposto alla segnalazione.
Edin Omanovic, direttore della difesa di Privacy Watchdog Privacy International ha così affermato:
“Il fatto che abbiano ricevuto denaro pubblico dall’UE per sviluppare la loro attività è scioccante. Le capacità di mercato di Mollitiam che rappresentano una minaccia così unica per la nostra privacy e sicurezza che è altamente discutibile se tali poteri possano mai essere compatibili con il diritto internazionale sui diritti umani” .
This secretive firm has powerful new hacking tools Mollitiam Industries claims to have created hackings tools that can take control of smartphones and laptops
Dovremmo tutti presumere che le nostre comunicazioni, anche le nostre comunicazioni crittografate, siano monitorate?
Anche se l’intervento umano è ancora considerato essenziale nel settore l’intelligenza artificiale (IA) è oggi in prima linea nella battaglia della cyber security per salvare le organizzazioni dagli hacker. Sebbene l’intelligenza artificiale abbia compiuto progressi significativi nelle sue applicazioni in tutti i settori, al momento il suo utilizzo nella sicurezza informatica può ancora essere definito come “nascente”.
L’IA – che parte dll’emulazione del pensiero umano – infatti aiuta ad esempio i professionisti e gli esperti nell’analisi del riconoscimento vocale e comprendere in modo accurato il crimine informatico in un momento in cui le aziende e le organizzaziini – esposte alle crescenti minacce – richiedono tecnologie di sicurezza elevate.
L’IA sta dicentando anche un potente strumento nel campo della protezione dei dati e contro attacchi potenzialemnte articolati, derivanti dallo sviluppo della tecnologia 5G e dell’Internet of Things che si stima porteranno ad attacchi informatici di quinta generazione– multi-dimensionali, multi-stadio, multi-vettore, polimorfici – e su larga scala che richiedono una prevenzione in tempo reale e continui aggiornamenti per evitare attacchi zeroda, oltre all’utilizzo di Firewall con funzioni avanzate di nuova generazione (NGFW).
Ma cosa è un attacco di Quinta Generazione? Un attacco cibernetico estremanente pericoloso e a grande scala, progettato per infettare più componenti di un’infrastruttura informatica, comprese le reti, le macchine virtuali istanze cloud e i dispositivi endpoint. Un attacco di questo tipo è in grado di superare le barriere di difesa dei FireWall: primi esempi di questo tipo di tacchi sono stati NotPetya e WannaCry.
Intelligenza artificiale e cyber security: benefici e rischi
In tutto questo non bisogna dimenticare che l’intelligenza artificiale può rappresentare un arma a doppio taglio: si necessita quindi mettere in conto che l’IA stessa possa essere violata la pari di ogni sistema e quindi rappresentare una perdita piuttosto che un benficio. Tra le tecnologie che devono investire in una solida sicurezza dell’IA la guida autonoma, i missili autonomi, telecamere di sicurezza e via dicendo.
Tra gli attacchi contro l’IA: l’alterazione dell’input dell’algoritmo (con inupt errati), informazioni false inserite nei data set che influiscono sui processi di data mining e attacchi alla privacy, dove in fase di addestramento l’IA può venire sfruttata per raccogliere informazioni sul suo algortimo.
I benefici e i vantaggi tuttavia sono numerosi, tra cui una maggiore efficienza e accuratezza degli analisti informatici, con una riduzione notevole del tempo di analisi e dei costi di rilevamento. Consente inoltre una risposta più veloce e quidni efficace alle violazioni, automatizzando le contromisure. Tra i benefici anche la possibilità di migliorare le analisi predittive e la mitigazione dei rischi.
Mentre i ransomware e gli attacchi double extrorsion sono in continua crescita anche in Italia – terzo paese più colpito al mondo – tra i più importanti attacchi informatici del 2021 – che conosciamo – la maggior parte hanno avuto come target gli Stati Uniti. E mentre gli USA si dimostrano sempre più vulnerabili, il dito viene puntato contro la Russia. Gli attacchi sono comunque reminder delle crescenti minacce informatiche alle infrastrutture critiche e ai fornitori di servizi che sono obiettivi dei criminali informatici.
Attacchi informatici 2021: colpiti i settori food, carburante, sanità e trasporti.
JBS Foods – il più grande fornitore di carni al mondo – ha dovuto fermare i suoi stabilimenti in seguito ad un attacco ransomware. Il 31 Maggio 2021 l’attacco condotto dal gruppo hacker REvil ha mandato fuori uso i server di supporto ai sistemi IT del colosso, paralizando la produzione degli impianti.
Colonial Pipeline: nel Maggiio 2021 l’hacking della Colonial Pipeline ha portato alla carenza di carburante sulla costa orientale. La società ha ammesso di aver pagato più di $ 4,4 milioni in riscatto, anche se l’FBI ha affermato che sono stati richiesti riscatti per oltre $ 25 milioni. A confermare il pagamento è stato Joseph Blount, CEO Colonial Pipeline che distribuisce carburante lungo la costa orientale degli Stati Uniti. Il riscato è stato pagato per permettere la ripresa delle attività dell’oleodotto.
Sistema sanitario: recentemente sono state coplite le strutture sanitarie di San Diego, con la conseguente violazione dei dati sensibili (informazioni mediche dei pazienti). Un danno che ha chiesto un mese di tempo per essere risolto: le strutture di Scripps hanno iniziato a riacquistare la capacità di creare nuovi record digitali le scorse settimane. Anche il servizio sanitario irlandese è stato colpito, impiegando lo stesso sistema usato contro la Colonial Pipeline negli Usa. A dichiarare che si è trattato di un attacco orehestrato a livello internazionale è stato Paul Reid, il direttore del sistema sanitario dell’Irlanda.
Nel settore dei trasporti a New York è stato rilevato un attacco ransomware ai servizi del traghetto a Cape Cod, probabiomente parte di un furto i dati, mentre un gruppo hacker che si crede avere dei legami con la Cina, è penetrato nell’Aprile 2021 nei sistemi informatici della Metropolitan Transportation Authority, che trasporta milioni di persone ogni giorno.
Campagne di spionaggio e hacking: mentre Microsoft avvisa che il gruppo APT Nobelium – il collettivo hacker legato all’intelligence russa – ha colpito ancora, un report dell’FSB avvisa che hacker stranieri hanno compromesso le agenzie federali russe in una campagna di spionaggio digitale che i funzionari russi hanno descritto come senza precedenti per portata e raffinatezza.
Il Cyber attacco Nobellium
Nella scorsa settimana Microsoft ha osservato un’ondata di attacchi informatici verso 150 diverse organizzazioni – tra agenzie governative e organizzazioni non governative – che ha preso di mira circa 3.000 account di posta elettronica. La maggior quota di attacchi è stata diretta verso gli Stati Uniti ma il numero delle vittime si è eseto sino a 24 diversi paesi. Un quarto delle organizzazioni coinvolte sono coinvolte in attività di sviluppo internazionale, umanitarie e per i diritti umani.
Gli attacchi – secondo gli esperti di sicurezza – sembrano fare parte di una campagna di raccolta informazioni presso le agenzie governative coinvolte nella politica estera. Microsoft – che continua a monitorare la situazione ha avvisato gli utenti di aumentare l’attenzione sulle partiche di sicurezza informatica – compreso l’utilizzo dell’autenticazione a più fattori, dell’antivirus – avvisando di non cliccare collegamenti sospetti nelle e-mail, a meno che non sia possibile confermare l’affidabilità per ridurre al minimo il rischio di phishing. Le Formiche evidenziano come l’attacco si sia svolto in vista del bilaterale Biden-Putin.
Il collettivo di hacker legato all’intelligence russa e già identificato da Washington come autore del maxi attacco dell’anno scorso contro SolarWinds, ha colpito ancora: nel mirino, questa volta è finita la U.S. Agency for International Development, l’ente della diplomazia statunitense che si occupa di sviluppo internazionale.
MOSCA (Reuters) – Hacker stranieri hanno compromesso le agenzie federali russe in una campagna di spionaggio digitale nel 2020 che i funzionari russi hanno descritto come senza precedenti per la sua portata. Nel rapporto – pubblicato il 13 maggio – si può leggere un’analisi abbastanza dettagliata su una presenuta operazione di spionaggio informatico da hacker di stato e diretta alla stato russo. Nessuna menzione viene fatta su chi potrebbe essere stato.
Il rapporto menzionava anche che gli hacker avevano utilizzato le strutture di archiviazione cloud delle principali aziende tecnologiche russe, Yandex e Mail.ru, per aiutare a esfiltrare i dati. Mail.ru ha affermato che il suo servizio cloud non è stato compromesso né utilizzato per distribuire malware durante gli hack. Yandex ha rifiutato di commentare.
Reuters riporta anche che il rapporto che è sembrato – a detta di molti – diretto ad un’audience russa: il rapporto è infatti arrivato in un momento in cui il Cremlino è sempre più sotto esame da parte degli Usa e non solo per l’hack di SolarWinds (che Mosca nega di aver compiuto) ma anche per le accuse secondo cui la Russia ospita consapevolmente criminali informatici in cerca di riscatto.
“Se questo rapporto è stato uno sforzo di segnalazione del governo russo a un servizio di intelligence occidentale – come molti hanno affermato – allora è stato un segnale molto sottile”, ha detto Soesanto a Reuters mercoledì.
Il Colonial Pipeline ha pagato un riscatto di 4,4 milioni di dollari agli autori del ransomware: il gruppo hacker DarkSide. A confermare il pagamento è stato Joseph Blount, CEO Colonial Pipeline che distribuisce carburante lungo la costa orientale degli Stati Uniti. Il riscato è stato pagato per permettere la ripresa delle attività dell’oleodotto.
L’attacco ai sistemi informatici dell’azienda è avvenuto ad inizio maggio quando la Colonial ha dovuto arrestare le sue attività e chiudere l’intera rete dopo il cyber attacco. Blount all’inizo era contrario al pagamento del riscatto, ma ha poi affermato di non avere scelta. “Pagare il riscatto è stata la cosa giusta da fare negli interessi del Paese” ha affermato il CEO durante un’intervista al Wall Street Journal. Non biosgna dimenticare che la società rappresenta una risorsa fondamentale nel settore delle infrastrutture energetiche degli USA.
Un cyber attacco ha arrestato la principale rete di oleodotti USA: venerdi 7 maggio 2021, dopo l’attacco informatico, il principale operatore statunitense di gasdotti Colonial Pipeline ha chiuso la sua intera rete. Colonial infatti, trasporta il 45% della fornitura di carburante della costa orientale, spostando 2,5 milioni di barili al giorno attraverso migliaia di miglia di oleodotti.
Colonial Pipeline ransowmare: il reminder delle crescenti minacce informatiche alle infrastrutture critiche
L’attacco è un reminder delle crescenti minacce informatiche alle infrastrutture critiche e ai fornitori di servizi che sono obiettivi dei criminali informatici. E ora i media sono pieni di notizie sugli effetti a cascata dell’attacco ransomware sferrato contro Colonial Pipeline dalla banda di criminali informatici DarkSide.
L’attacco hacker al più grande oleodotto degli USA ha messo in crisi l’economia, la vita della gente (rimasta senza benzina) e l’immagine della presidenza Biden.
Le applicazioni dell’intelligenza artificiale crescono senza sosta e viene utilizzata sempre più nell’intelligence per ordinare le vaste quantità di dati: in futuro però sarà molto di più di tutto questo, perchè la direzione è quella dell’estrazione di informazione di grande valore.
A livello globale ogni paese segue i suoi modelli, le sue priorità e le sue strategie con un uso pianificato dell’intelligenza artificiale, ma sebbene l’Europa abbia ha deciso di percorrere un percorso diverso dal resto del mondo che la vede pioniera della protezione dei dati personali, non è così per altri stati. Il piano dell’India è sostanzialmente diverso dall’EU per qaunto riguarda il consenso pubblico, facendo riferimento a “Con il consenso corretto e informato dei cittadini, questi dati resi anonimi possono essere condivisi ai fini dell’intelligenza artificiale e dell’analisi dei dati”. Le considerazioni etiche alla base della progettazione sono enfatizzate in Francia: “le considerazioni etiche devono essere pienamente prese in considerazione nello sviluppo di algoritmi di intelligenza artificiale” (France AI Plan, 2018).
Secondo lo studio di Brookings.edu che analizza le differenze nello sviluppo dei piani IA in 34 paesi, ogni piano nazionale richiede un’interpretazione e vengono identificate le seguenti aree: ricerca sull’intelligenza artificiale, dati sull’intelligenza artificiale, etica algoritmica, governance dell’IA e uso dell’IA nei servizi pubblici. Tuttavia i segnali diversi sono stati raggruppati in 4 categorie.
Segnali tradizionali: viene fatta menzione dell’ammontare preciso dell’investimento effettuato nella ricerca sull’IA nel settore sanitario.
Segnali di divulgazione involontaria: trasmettono informazioni vere, ma non inviate deliberatamente.
Segnali opportunistici: non sono veri ma inviati deliberatamente. Un paese potrebbe dire che intende utilizzare l’intelligenza artificiale per i servizi pubblici, ma in realtà intende utilizzarlo per i sistemi basati sulla guerra.
Segnali misti: trasmette involontariamente false informazioni: dichiarazione di utilizzo di dati pubblici anonimi nei sistemi di intelligenza artificiale, ma non riesce a farlo.
Nel futuro si prevedono nuovi compiti per l’intelligenza artificiale che avranno un impatto significativo sulle analisi dell’intelligence, superando i limiti cognitivi umani. Inoltre l’intelligenza artificiale potrebbe aiutare ad abbinare l’analista giusto al compito giusto in modo che gli analisti possano lavorare sui loro punti di forza, consentendo al lavoro di essere svolto meglio e più rapidamente di prima. Ne parla Reuters, che riassume alcuni scenari, tra cui nuovi modelli che prevdono l’uso dell’IA su larga scala, l’apprendimento continuo e la convalida dei risultati che può essere eseguita durante la progettazione degli strumenti di intelligenza artificiale o la selezione dei dati di addestramento.
Un cyber attacco ha arrestato la principale rete di oleodotti USA: venerdi 7 maggio 2021, dopo l’attacco informatico, il principale operatore statunitense di gasdotti Colonial Pipeline ha chiuso la sua intera rete. Colonial infatti, trasporta il 45% della fornitura di carburante della costa orientale, spostando 2,5 milioni di barili al giorno attraverso migliaia di miglia di oleodotti.
Cyber Attacco USA: infrastrutture energetiche nella mira degli hacker
Secondo le fonti Bloomberg News ha riferito che l’attacco proveniva da un gruppo di criminali informatici chiamato DarkSide, che ha rubato una grande quantità di dati a partire dal giorno prima che Colonial interrompesse le sue operazioni.
Su Reuters invece si legge che l’attacco è stato causato da un ransomware, un tipo di malware progettato per bloccare i sistemi crittografando i dati e chiedendo il pagamento per riottenere l’accesso.
L’incidente è una delle operazioni di riscatto digitale più importanti mai segnalate all’infrastruttura energetica degli Stati Uniti. L’arresto prolungato di questa infrastruttura, inoltre, provocherebbe un aumento dei prezzi della benzina prima del picco della stagione di guida estiva.
“Questo è il più vicino possibile alla giugulare delle infrastrutture negli Stati Uniti”, ha affermato Amy Myers Jaffe, professore di ricerca e amministratore delegato del Climate Policy Lab. “Non è un gasdotto importante. È il gasdotto.”
Un attentato silenzioso e incruento, ma che ha colpito dritto al cuore le infrastrutture petrolifere statunitensi. Non sono ancora chiari i dettagli dell’attacco informatico che ha colpito la rete di oleodotti di Colonial Pipeline. Ma è già evidente che le conseguenze sono gravi. È stata messa ko una ragnatela di condutture di 8.850 chilometri, che garantisce quasi metà degli approvvigionamenti di carburanti della East Coast degli Stati Uniti
La società ha dichiarato diaver chiuso i sistemi per contenere la minaccia, ma non ha fornito ulteriori dettagli, incaricando una società di sicurezza informatica per avviare un’indagine. Secondo fonti Reuters, la società di sicurezza informatica FireEye (FEYE.O) sarebbe stata coinvolta per rispondere all’attacco, ma non ci sono stati commenti da parte della società.
La maggior parte dei cyber attacchi sono diretti alle infrastrutture critiche e il cyber spazio ha assunto un ruolo primario nei nuovi scenari geopolitici internazionali. Quali sono i nuiovi scenari? Nemici da remoto che utilizzano armi come virus informatici, malware e programmi che alterano l’operabilità di un sistema o avviano uno spegnimento completo del sistema. Gli attacchi informatici saranno il nuovo campo di battaglia – invisibile, invisibile e imprevedibile – dove hacker di varie nazioni competeranno per distruggere economie e vite.
Minacce informatiche e Automotive. Mentre gli esperti di sicurezza canadesi avvertono dei rischi di pirateria informatica dei veicoli autonomi, i ricercatori di sicurezza Ralf-Philipp Weinmann di Kunnamon, Inc. e Benedikt Schmotzle di Comsecuris GmbH hanno mostrato alla conferenza CanSecWest, una vulnerabilità di sicurezza “remote zero-click” scoperta nell’Ottobre 2020, di un componente software open-source (ConnMan) utilizzato nelle automobili Tesla. Questo gli ha permesso di aprire le porte di una Tesla con un attacco remoto da un drone che trasportava un dongle Wi-Fi. Tuttavia si tratta di un vecchio bug, quindi – secondo i ricercatori – l’attacco non dovrebbe essere possibile oggi.
Sarebbe così possibile per un criminale sbloccare le porte e il bagagliaio dell’auto, cambiare la posizione dei sedili, sia le modalità di sterzo che di accelerazione, ma questo tip di attaccto non fornirebbe il controllo totale della guida. Chiamati “TBONE”, questi exploit sono stati originariamente scritti per il concorso PWN2OWN 2020, che è stato annullato a causa di COVID-19. Successivamente gli hacker hanno rivelato queste vulnerabilità a Tesla, che le ha patchate nell’aggiornamento 2020.44 alla fine di ottobre 2020.
Potrebbe sembrare fantascienza per molti ma anche senza accesso fisico al tuo veicolo, gli hacker possono prendere il controllo dell’automobile. I rischi della tecnologia cosi si moltiplicano al pari delle opportunità. I criminali informatici e il “cyberspionaggio” hanno iniziato da tempo a prendere di mira anche l’industria automotive con minacce informatiche per rubare dati e informazioni relative in special modo i veicoli a guida automatica o semiautomatica. Ma i rischi non si fermano qui.
Gli hacker possono accedere ai sistemi di un automobile con accesso da remoto senza la chiave, che secondo Upstream.auto ha rappresentato il 93% degli attacchi di furto nel 2020. Si aggiungono gli accessi tramite smarthphone, attacchi informatici tramite le porte dati USB e infine gli avanzati sistemi telematici di navigazione e localizzazione, che rendono le auto connesse bersagli attraenti per hacker, terroristi e stati-nazione.
Minacce informatiche e la supply chain del settore automotive
Gli esperti automotive canadesi invece non sembrano così tranquilli: nasce cosi un nuovo centro specializato, lo SHIELD Automotive Cybersecurity Centre of Excellence, che ha sede presso l’Università di Windsor. Il suo compito sarà distribuire le conoscenze sulla riduzione delle vulnerabilità cibernetiche all’interno delle automobili e dei loro componenti tra produttori, ricercatori e automobilisti, con l’intenzione di offrire servizi di consulenza e test alle piccole e medie imprese canadesi. Il messaggio è quello legato alla supply chain, considerando i tanti partner coivolti, dai produttori di componenti, agli assemblatori, agli operatori di rete, agli amministratori, ai gestori dei parcheggi e agli automobilisti.
L’obiettivo del nuovo centro è ridurre il rischio.
Mary Teresa Barra, della General Motors, ha affermato che proteggere le automobili da incidenti causati da attacchi informatici “è una questione di sicurezza pubblica”. Ma non è solo un problema di conformità alle normative ma di dettagliate analisi delle minacce alla sicurezza e alla privacy, di valutazione del rischio e trattamento del rischio, consideriamo non solo lo sviluppo iniziale dei progetti e dei prototipi ma anche l’intero ciclo di vita dello stesso prodotto.
I nuovi obbietivi di Leonardo SPA hanno lo scopo di potenziare 3 principali aree strategiche per il futuro sviluppo delle applicazioni di sicurezza in ambito spaziale, leggi anche Andrea Biraghi La sicurezza nello spazio: la nuova frontiera per la Cyber Security.
Le economie dei governi di tutto il mondo fanno sempre più affidamento su infrastrutture dipendenti dallo spazio; si è quindi aperta una nuova frontiera per la sicurezzainformatica. Anche l’Italia è chiamata a giocare un ruolo strategico, sia a livello eruopeo sia internazionale e Leonardo SPA – che opera nel contesto della sicurezza nazionale e della difesa – gioca un ruolo fondamentale in questo. Nel contesto spaziale infatti evolvono minacce e rischi: con i satelliti che supportano le comunicazioni globali – per non parlare di una serie di funzioni economiche, governative e militari quotidiane – non dovrebbe sorprendere che si tratti anche un potenziale obiettivo per i criminali informatici.
Leonardo: le tre aree strategiche per la sicurezza spaziale – Looking for space Security, Andrea Biraghi.
Quali sono le tre aree strategiche che Leonardo implementerà per la sicurezza spaziale? Per il prossimo triennio – come si legge in un articolo di CorriereComunicazioni è previsto l’investimento di un milione di euro annui e l’impiego di circa 30 ricercatori, in base all’accordo fra Leonardo e l’Istituto Italiano di Tecnologia. Le aree su cui si focalizzeranno gli sforzi, le ricerche e le applicazioni sono: il calcolo ad alte prestazioni, l’intelligenza artificiale e la robotica.
La crescente minaccia cyber sta così convergendo con la dimensione spaziale.
La continua proliferazione dell’esplorazione spaziale non farà che aumentare la portata del nostro ambiente connesso. Dato l’elevato valore dei dati memorizzati sui satelliti e altri sistemi spaziali, sono bersagli potenzialmente interessanti per chiunque voglia sfruttare questa situazione per realizzare un profitto illegale.
Mentre l’UE ammette l’utilizzo del sistema di riconoscimento facciale tramite intelligenzaartificiale, per la lotta al terrorismo e la sicurezza pubblica, il Garante boccia il sistema di riconoscimento in tempo reale utlizzato dalle forze dell’ordine. Tuttavia, anche nel regolamento europeo sono previste importanti eccezioni e limitazioni.
Bruxelles fissa i paletti per l’uso dell’intelligenza artificiale in Europa: i sistemi ad alto rischio per la sorveglianza di massa saranno vietati, con alcune eccezioni ammesse per la controversa tecnologia del riconoscimento facciale in caso di necessità per la lotta contro il terrorismo e la tutela della sicurezza pubblica. Sono i punti cardine della nuova proposta di legge, la prima sull’AI, che la Commissione Ue svelerà il 21 aprile.
Secondo la bozza del documento che verrà presentato dalla Commssione Europea in data 21 aprile 2021 le aziende che non si conformeranno alle norme Ue potrebbero ricevere multe fino a 20 milioni di euro o al 4% del loro fatturato.
Questa tecnologia va comuqnue utilizzata pensando prima di tutto alle conseguenze e non mettendo a rischio le persone.
Giuseppe Busia, segretario generale del Garante, aveva chiarito che in materia di privacy, le garanzie per i cittadini sono essenziali: la sperimentazione può andare avanti ma vanno create delle regole perchè ne va della libertà di tutti.
Andrea Biraghi – Riconoscimento facciale e privacy: quali i progressi?
UE Riconoscimento facciale: le nuove regole
La nuova bozza prevede il divieto di sistemi di sorveglianza che possono essere utilizzate per manipolare il comportamento, le opinioni o le decisioni dei cittadini. Ci sarebbe infatti l’espresso divieto di utilizzare le tecnologie di IA per creare ed alimentare un sistema di valutazione del credito sociale.
…saranno sottoposte a ulteriori controlli tutte le applicazioni per valutare un punteggio sociale, la solvibilità creditizia dei cittadini, determinare l’accesso all’istruzione. Saranno banditi, inoltre, i sistemi di reclutamento e di valutazione delle richieste di asilo e visti ma restano escluse dal regolamento tutte le applicazioni militari.
Mentre l’Europa scende in campo per regolamentare l’utilizzo delle tecnologie di Intelligenza Artificiale soprattutto in campo biometrico, il Garante boccia l’utilizzo del sistema Sari Real Time da parte del ministero dell’Interno.
“Il sistema, oltre ad essere privo di una base giuridica che legittimi il trattamento automatizzato dei dati biometrici per il riconoscimento facciale a fini di sicurezza – spiega il Garante in una nota – realizzerebbe per come è progettato una forma di sorveglianza indiscriminata/di massa”.
Il Mobile Security Report 2021 di Check Point rileva che quasi tutte le organizzazioni a livello globale hanno subito un attacco malware mobile nel 2021. Il report scopre anche le ultime minacce per i dispositivi mobili: dalle app dannose agli attacchi ransomware.
Nell’ultimo anno, i ricercatori di minacce mobili Check Point hanno analizzato i dati di 850 aziende in tutto il mondo. Hanno così determinato che ogni azienda è stata attaccata almeno una volta. Le minacce per gli utenti mobili sono una miriade e potenti e il report esamina le ultime minacce emergenti rivolte ai dispositivi mobili aziendali. Viene inoltre fornita una panoramica completa delle principali tendenze nel malware mobile, nelle vulnerabilità dei dispositivi e negli attacchi informatici nazionali.
In una sintesi il 97% delle organizzazioni nel 2020 ha affrontato minacce mobili che hanno utilizzato più vettori di attacco, il 46% delle organizzazioni ha avuto almeno un dipendente che scarica un’applicazione mobile dannosa e almeno il 40% dei dispositivi mobili del mondo è vulnerabile agli attacchi informatici
Il passaggio al lavoro remoto di massa durante la pandemia di COVID-19 ha visto la superficie di attacco mobile espandersi. Il risultato lo abbiamo visto nella precendete sintesi, dove il 97% delle organizzazioni deve affrontare minacce mobili da diversi vettori di attacco.
Gli attori delle minacce hanno diffuso malware mobile, tra cui Trojan di accesso remoto mobile (MRAT), trojan bancari e diaatori premium. Spesso il malware è nascosto nelle app che affermano di offrire informazioni correlate al COVID-19. Non solo, entro il 2024 si prevede che il 60% dei lavoratori aumenteranno drstaicamente il numero di mobile e la sciurezza quindi deve essere una priorità per tutte le aziende e le organizzazioni.
[…]ci sono minacce più complesse all’orizzonte. I criminali informatici stanno continuando a evolversi e adattare le loro tecniche per sfruttare la nostra crescente dipendenza dai cellulari. Le aziende devono adottare soluzioni di sicurezza mobile che proteggano senza soluzione di continuità i dispositivi dalle minacce informatiche avanzate di oggi e gli utenti dovrebbero fare attenzione a utilizzare solo le app degli app store ufficiali per ridurre al minimo il rischio.
Neatsun Ziv, VP Threat Prevention di Check Point Software.
Malware Mobile: i punti più importanti del report
Con la rapida digitalizzazione a causa della pandemia, il passaggio al server cloud, l’alto numero di smartphone connessi in rete e il passaggio al lavoro da remoto tutti noi diveniamo più vulnerabili. Nonostante le misure prese per assicurare di essere protetti in oggni momento i nuovi attacchi hanno riguardato una serie di exploit informatici su larga scala. Perchè molte aziende sono protette contro attacchi de seconda e terza generazione e la sicurezza informatica deve evolvere invece verso la quinta generazione per proteggere le aziende contro gli attacchi all’intera infrastruttura IT.
Andrea Biraghi – I Cyber attacchi di quinta generazione: il 2021 anno chiave
il 93% degli attacchi ha avuto origine in una rete di dispositivi, che tenta di ingannare gli utenti a installare un payload dannoso tramite siti Web o URL infetti o a rubare le credenziali degli utenti.
il 46% delle organizzazioni ha avuto almeno un dipendente che ha scaricato un’applicazione mobile dannosa che ha minacciato le reti e i dati della propria organizzazione nel 2020.
4 cellulari su 10 a livello globale sono vulnerabili, quindi almeno il 40% dei dispositivi mobili del mondo che necessitano di patch urgenti.
I malware mobile sono in aumento: Check Point ha rilevato un aumento del 15% dell’attività trojan bancaria e le credenziali di mobile banking degli utenti sono a rischio di furto.
I gruppi APT prendono di mira i dispositivi mobili per spiare gli utenti e rubare dati sensibili
Cosa rivela l’ultimo Cyber Crime report dell’FBI? Innanzitutto gli attacchi sono aumentati rispetto al 2019 anche se l’82% degli attacchi informatici si è rivelato infruttuso.
Tuttavia il danno finanziario e le perdite sono importanti. Inoltre viene rilevato che gli obiettivi più numerosi della criminalità informatica sono quelli diretti verso i più vulnerabili nella società: operatori medici e famiglie. In tutto ciò il phishing rimane un problema crescente, realtivamente alle vulnerabilità delle aziende e delle organizzazioni, che si riversano poi sugli utenti.
Le campagne phishing sono il mezzo più utilizzato per la maggior parte delle truffe via e-mail mascherate che manipolano i destinatari tramite la social engineering a condividere informazioni sensibili. L’utilizzo della firma digitale delle e-mail ha invece ridotto significativamente il rischio di phishing via e-mail.
L’Internet Crime Report 2020 include informazioni di circa 791.790 denunce di sospetta criminalità su Internet in USA – 300.000 denunce nel 2019 – con perdite superiori a $ 4,2 miliardi. In particolare, il 2020 ha visto l’emergere di truffe che sfruttano la pandemia di COVID-19. L’IC3 ha ricevuto oltre 28.500 reclami relativi al COVID-19, con truffatori rivolti sia alle aziende che ai privati.
SicurezzainformaticaeCovid: durante la pandemia i Cyber criminali approfittano della nostre vulnerabilità, che non sono solo quelle informatiche ma sono quelle più umane, legate alle emozioni, alle paure vere e proprie.
Ci stiamo però adattando ad una nuova realtà, fatta anche di lavoro da casa dove abbiamo già visto, in altra sede, quali sono le sfide da sostenere per il solo smart working.
Andrea Biraghi – Sicurezza informatica e Covid: i cyber criminali approfittano delle nostre vulnerabilità
Cyber Crime: il report tra Covid, phishing e Ransomware
Il rapporto annuale che l’FBI analizza e condivide, riguarda le informazioni provenienti dalle denunce presentate per scopi investigativi e di intelligence, per le forze dell’ordine e soprattutto per la consapevolezza pubblica.
Tra i punti chiave: nel 2020 è iniziata la pandemia di Covid19 che ha cambiato letteralmente le vite di tutti a livello globale. I truffatori hanno così approfittato della pandemia colpendo aziende, privati e organizzazioni.
Il Cyber Crime ha colpito con tutti i mezzi: attraverso i social media, le e-mail o tle elefonate fingendo di essere un ente governativo. Il loro intento era quello di raccogliere informazioni personali o denaro illecito, anche tramite l’inzio delle vaccinazioni. Sono emerse quindi truffe che chiedevano alle persone di pagare di tasca propria per ricevere il vaccino o anticiparlo.
Benchè i cyber criminali utilizzino una varietà di tecniche per infettare le vittime con ransomware, i mezzi più comuni di infezione sono: • Campagne di phishing via e-mail • Vulnerabilità RDP (Remote Desktop Protocol) • Vulnerabilità dei software
in una classifica dei primi tre reati segnalati dalle vittime nel 2020 vi sono: truffe di phishing, truffe di mancato pagamento / mancata consegna ed estorsione.
Mentre la guerrainformatica continua ad essere combattuta tra gli stati, continua anche la corsa della sicurezza informatica che ad oggi deve essere ritenuta responsabilità del paese nel suo complesso e non solo relativa ad un individuo o ad un’organizzazione.
Nel corso degli anni, abbiamo assistito a un’escalation nella serie di hacking sui servizi sanitari, le reti elettriche, le centrali nucleari e la nostra privacy. Le minacce non vengono solo da Cina, Russia, Corea del Nord o qualsiasi attore statale o non statale con l’intento di destabilizzare un paese. Le minacce informatiche, in continua evoluzione, mettono così anche a rischio le infrastrutture critiche che sono in definitiva veri e propri sistemi strategici, essenziali per una nazione.
…le vere vittime sono imprese, organizzazioni e cittadini, che ne subiscono gli effetti. Allo stesso tempo, si assottiglia la linea di separazione tra azioni statali e “semplice” criminalità informatica.
AgendaDigitale.eu – Cyberwar, i nuovi fronti da Microsoft Exchange alla disinformazione sui vaccini
Ma la maggior parte dei cyber attacchi sono diretti alle infrastrutture critiche e il cyber spazio ha assunto un ruolo primario nei nuovi scenari geopolitici internazionali. Quali sono i nuiovi scenari? Nemici da remoto che utilizzano armi come virus informatici, malware e programmi che alterano l’operabilità di un sistema o avviano uno spegnimento completo del sistema. Gli attacchi informatici saranno il nuovo campo di battaglia – invisibile, invisibile e imprevedibile – dove hacker di varie nazioni competeranno per distruggere economie e vite.
Guerra informatica: i nemici invisibili
Negli ultimi anni e con maggior frequenza negli ultimi mesi, si sta assistendo, oltre che allo cyber spionaggio, all’interruzione dei servizi essenziali specialmente in nazioni e aree dove vi sono oggi le maggiori tensioni e frizioni geopolitiche. E i cyber sabotaggi spesso sembrano avere nemici invisibili: nonostante infatti le accuse alla Russia da parte del Governo USA, rimane incerta l’attribuzione dell’attacco alla società SolarWinds.
Gli eventi attuali dimostrano che le strategie e le tattiche di guerra informatica aggressiva sono già un luogo comune in tutto il mondo e per ciò e di conseguenza la Sicurezza nazionale deve migliorare in modo drastico la comprensione della tecnologia, delle leggi e dell’etica collegate agli attacchi e alle difese informatiche, pianificando un vero e propri piano in tutte le sue fasi. Il cyber spazio, diventato terreno quotidiano per moltissime operazioni, infatti è diventato terreno di scontro decisivo.
Andrea Biraghi – Cyber Warfare e Geopolitica del CyberSpazio
AgendaDigitale.eu parla dell’ultimo libro della giornalista americana Nicole Perlroth: This Is How They Tell Me The World Ends – pubblicato nel Febbraio 2021. Nicole Perlroth getta uno sguardo inquietante sulle strategie di cyber war in atto affermando che siamo vicinissimi, ad un “9/11 cyber Pearl Habor”: un Pearl Harbor cyber dell’11 settembre. La giornalista descrive così in dettaglio il mercato poco compreso per gli exploit zero-day, che i governi hanno segretamente pagato agli hacker milioni di dollari sperando di usarli prima che qualcuno risolva – o approfitti – dello stesso errore. Invece oggi…sono in mano a tutti.
NimzaLoader è un malware utilizzato per le campagne phishing scritto utilizzando il linguaggio di programmazione Nim creato dal programmatore tedesco Andreas Rumpf. Rumpf ne parla come di un linguaggio efficiente, espressivo, elegante e parla delle sue caratteristiche in un pagina dedicata: https://nim-lang.org/
Nim è stato creato per essere un linguaggio veloce come il C, espressivo come Python ed estensibile come Lisp
La difficoltà di NimzaLoader – siccome sctìritto appunto in un linguaggio inusuale per un malaware – sta appunto nel suo rilevamento e nelle analisi. E appunto per eludere il suo rilevamento è stato utilizzato il linguaggio Nim.
La campagna di phishing è stata intanto attribuita all’attore minaccia TA800, che in precedenza propagato il malware BazaLoader. Ma ci sono delle differenze: Il linguaggio di programmazione tra i due malware è completamente diverso. Non coincidono nemmeno l’offuscatore di codice, lo stile di decrittografia delle stringhe e gli algoritmi di generazione del dominio. Pertanto, NimzaLoader non è considerato una variante di BazaLoader.
Le minacce informatiche si stanno evelovemdo utilizzando armi sempre più diverse per sfuggire al controllo.
NimzaLoader malware dettagli e caratteristiche
La campagna di TA800 ha iniziato a diffondere NimzaLoader il 3 febbraio 2021 sfruttando i dati personali degli utenti nelle sue e-mail di phishing. L’e-mail contine collegamenti che reindirizzano gli utenti alle pagine di phishing per compromettere e / o rubare le informazioni sensibili o, potenzialmente, distribuire malware aggiuntivo. Diventa sempre più importante così, formare i dipendenti su come individuare le e-mail di phishing, in particolare quando campagne come questa tentano di sfruttare i dati personali.
Qui sotto un esempio tratto da un articolo di CyberSecurity360.it che parla di tutti i dettagli riguardo la nuova minaccia informatica.
Le esche di phishing utilizzate includono testi tipici dell’inegneria sociale, e così difficili da interpretare in modo corretto da parte dell’utente che viene spinto da un certa urgenza da parte del messaggio che tra l’latro dirige a link verosimili all’oggetto dell’eMail. Il malware NimzaLoader inoltre è progettato per riuscire a fornire agli aggressori informatici l’accesso ai computer Windows e la successiva possibilità di eseguire i comandi e controllare la macchina.
TA800 ha spesso sfruttato malware diversi e unici e gli sviluppatori possono scegliere di utilizzare un linguaggio di programmazione raro come Nim per evitare il rilevamento, poiché gli ingegneri inversi potrebbero non avere familiarità con l’implementazione di Nim o concentrarsi sullo sviluppo del rilevamento per esso, e quindi strumenti e sandbox potrebbero avere difficoltà ad analizzarne campioni
Ransomware2021: da 3 rapporti separati sulle minacce informatiche pubblicati da IBM, Trend Micro e BlackBerry, emergono molti degli stessi temi.
In questi rapporti nei nomi dei nuovi arrivati vi sono i nomi Egregor e DoppelPaymer, e ransomware come Sodinokibi e Ryuk permangono nelle liste delle migliori campagne. Tra i punti di unione dei tre rapporti la crescita e il raddoppiamento di ransomware e phishing – con alcune modifiche – e minacce come i deepfake e la disinformazione che nel futuro diventeranno minacce sempre più importanti.
I criminali informatici e gli hacker di stato risultano raddoppiati, approfittando anche del caos della pandemia con il passaggio al lavoro da remoto. BlackBerry sottolinea che i Managed Service Provider (MSP) erano obiettivi importanti durante gli attacchi ransomware 2020: secondo il “2021 Threat Report” gli hacker hanno sempre più sfruttato il ransomware per compromettere gli MSP come parte di campagne di criminalità informatica altamente mirate. Il ransomware rimane il grande business del cyber crime .
Ransomware 2021: come cambiano gli attacchi
Una delle osservazioni circa il numero di tentativi di attacchi ransomare è stata circa il suo declino. Questo declino per Jon Clay di TrendMicro non è dovuto alla diminuzione delle minacce, ma al mutare delle tattiche.
“Se si guardano i numeri ransomware, quel numero è in realtà in calo di anno in anno perché le tattiche sono cambiate”.
“Siamo passati dagli attacchi ransomware spray-and-pray all’approccio molto più mirato da parte degli attori ransomware.”
Darkreading – Ransomware, Phishing Will Remain Primary Risks in 2021
Altre notevoli tendenze del ransomware 2020 evidenziate nel rapporto di BlackBerry includono l’uso di Ransomware-as-a-Service (RaaS), l’esfiltrazione dei dati prima e durante la crittografia ransomware,la “collaborazione” di Ryuk con Trickbot ed Emotet, o la collaborazione di Zeppelin con Azorult.
Un altro fattore è il mercato Bitcoin che sta spingendo gli aggressori a trasferirsi in Linux e cercare di sfruttare i servizi cloud. “Molte aziende si stanno spostando verso il cloud, quindi ci sono molti dati lì”, afferma Rossmann di IBM Security X-Force.
Le tendenze che si evincono dallo stesso rapporto riguardano le strategie di doppia estorsione, l’uso di Crimeware-as-a-Service da parte di hacker di Stato e attacchi informatici a pazienti sanitari e loro. cartelle cliniche.
Dal monitoraggio 24 ore su 24 agli strumenti di sicurezza basati sull’intelligenza artificiale e al rilevamento delle minacce interne e la comprensione di come gli eventi attuali hanno un impatto sulla superficie di attacco di un’organizzazione possono fare la differenza tra una violazione dei dati e una difesa informatica di successo.
Eric Milam, vice presidente della ricerca e dell’intelligence di BlackBerry.
Cyber security e falsipositivi: si può migliorare l’analisi della sicurezza senza tradurla in migliaia o a volte milioni di avvisi al giorno che da soli non forniscono informazioni sufficienti?
La frase “falso positivo” suggerisce che ci sia un positivo che si è dimostrato falso. Tuttavia, come detto sopra, queste singole prove, senza contesto o correlazioni, non sono mai utilizzabili da sole. Per dimostare infatti che un allarme positivo, bisogna raccogliere, analizzare e contestualizzare le prove di supporto necessarie. Rispondere ai falsi allarmi – secondo una ricerca fornita dal Ponemon Institute – le organizzazioni sprecano in media 1,27 milioni di dollari ogni anno.
Dei 17.000 avvisi malware che un’organizzazione riceve ogni settimana, solo 3.230 sono considerati affidabili e solo 680 degli avvisi vengono effettivamente esaminati.
La società di cyber security Fire Eye nel rapporto “The Voice of the Analysts: Improving Security Operations Center Processes Through Adapted Technologies”, rileva che gli analisti stanno diventando “meno produttivi” a cauasa della diffusa “stanchezza degli avvisi” con conseguente allarme ignorato, aumento dello stress e paura di non rilevare minacce e di non poter prevenire gli incidenti. Ma nel rapporto vengono evidenziate anche le attività principali che gli stessi analisti ritengono sia meglio automatizzare per proteggere meglio i loro Centri operativi di sicurezza (SOC).
“Gli analisti della sicurezza sono sopraffatti da una marea di falsi avvisi positivi da soluzioni disparate, mentre crescono sempre più preoccupati di poter perdere una vera minaccia. Per risolvere queste sfide, gli analisti chiedono strumenti di automazione avanzati, come extended detection e response, che possano contribuire a ridurre la paura di incidenti mancanti rafforzando al contempo la sicurezza informatica del loro SOC.”
Chris Triolo, Vice President of Customer Success di FireEye.
Cyber Security: ridurre i falsi positivi
Gli intervistati hanno condiviso per il report gli strumenti principali che utilizzano per le loro analisi. Meno della metà utilizza tecnologie di intelligenza artificiale e machine learning (43%) ), strumenti soar (Security Orchestration Automation and Response), software SIEM (Security Information and Event Management) (45%) e altre funzioni di sicurezza. Per ridurre l’affaticamento da “falsi positivi” e gestire i propri SOC, i team di sicurezza hanno bisogno di soluzioni automatizzate avanzate. Le soluzioni avanzate e meglio automatizzate permettono un rilevamento delle minacce più alto (18%), seguito dall’intelligence sulle minacce (13%) e dal triage degli incidenti (9%).
Il report di FireEye evidenzia che la maggior parte delle soluzioni di sicurezza informatica non distingue tra malware quotidiano e attacchi mirati avanzati. in questo modo gli avvisi importanti vengono confusi o persi con gli avvisi non importanti, consentendo agli attacchi di violare la sicurezza della rete.
Le procedure consigliate da FireEye sono:
Ridurre i falsi positivi e consolidare gli eventi correlati
Verificare, analizzare e fornire il contesto per gli avvisi
Allineare la sicurezza ai rischi aziendali
Assegnare priorità ed evidenziare gli avvisi importanti
Ci sono tuttavia delle soluzioni di sicurezza come software che raccolgono le singole prove, pesandole e analizzandole e contestualizzandole. Software che diminuisicono i falsi positivi collegando collega i punti di tutti i vari eventi di sicurezza, creando un quadro chiaro di una violazione.
Leonardo Spa, le ultime notizie e rassegna stampa in materia di sicurezza e difesa, dalla divisione cyber security di Genova, ai sistemi di sorveglianza e protezione dei nuovi sottomarini della Marina Militare Italiana, che lega la compagnia a Fincantieri, altro campione della sicurezza italiana.
Leonardo: cyber security e digitalizzazione
Genova rappresenta il secondo polo ingegneristico sul territorio nazionale di Leonardo, e la Liguria rimane centrale per le sfide industriali del Paese. La nuova organizzazione aziendale della divisione Cyber Security viene descritta dal vertice aziendale come perfettamente pronta. Sempre a Genova si trova il nuovo supercomputer di Leonardo, davinci-1: tra i primi 100 al mondo per potenza di calcolo e prestazioni – in grado di compiere 5 milioni di miliardi di operazioni al secondo – e tra i primi tre per il settore aerospazio e difesa.
“È fondamentale capire come una realtà come la Divisione Cyber può affermarsi sul mercato mondiale contro competitor di ben altre dimensioni”
L’innovazione tecnologica di Leonardo e Fincantieri per la protezione degli spazi subaquei
E’ stato firmato il contratto tra Leonardo e Fincantieri: ha un valore di circa 150 milioni di euro e servirà per la fornitura di equipaggiamenti per i primi due sottomarini U212 Near Future Submarines.
I nuovi sottomarini entreranno a far parte della flotta della Marina Militare Italiana a partire dal 2027. Parte così la fase 2 Leonardo e Fincantieri.
Per Leonardo questo contratto riveste un’importanza strategica nel navale: dal punto di vista commerciale, l’azienda amplia la sua offerta al settore dei sottomarini. Dal lato industriale, la sinergia con i sistemi già forniti sulle navi di superficie, incluse le future configurazioni, sarà una spinta ulteriore a investimenti per lo sviluppo e l’innovazione delle linee di prodotto, in particolare del combat management system.
Per finire la rassegna stampa, la società Leonardo, guidata da Alessandro Profumo, ha depositato alla Sec il prospetto S-1 per la quotazione a Wall Street – entro marzo 2021 – di una quota di minoranza della controllata americana Leonardo Drs.
Sole 24 Ore: “L’intera Drs potrebbe essere valutata più di tre miliardi di euro. Leonardo potrebbe incassare oltre un miliardo. Potrà ridurre l’indebitamento, stimato nella «guidance» in almeno 3,3 miliardi a fine 2020, ma potrebbe essere più alto. Leonardo valuta anche possibili acquisizioni. Dal collocamento Leonardo trarrà anche una bella plusvalenza. Il valore di carico di Drs non è indicato nel bilancio del gruppo. Leonardo Us Holding ha un valore di libro di 1.944 milioni di euro a fine 2019″.
Leggi anche: Il Cyber Range Leonardo scelto dal Qatar computing research Institute (QCRI)
Il report Malware 2021 di MalwareBytes riporta l’evoluzione delle minacce informatiche durante il 2020 fino ad arrivare ad oggi. Gli attori delle minacce hanno approfittato soprattutto della crisi e della paura dovute alla pandemia di Covid-19, riorganizzando i propri sistemi di attacco e pefezionando i loro ransomware.
Nonostante le misure prese per assicurare di essere protetti in ogni momento i nuovi attacchi hanno riguardato una serie di exploit informatici su larga scala.
Tra gli obiettivi dei cyber criminali quello di utilizzare la paura e la confusione dovute alla pandemia per fare nuove vittime, utilizzando campagne dannose e fraudolente di phishing. Tra le campagne: AveMaria, il Remote Access Trojan e AZORult, un malware pericoloso che ruba informazioni. I rilevamenti di malware nei computer aziendali Windows sono diminuiti complessivamente del 24%, ma i rilevamenti di HackTools e Spyware sono aumentati notevolmente, rispettivamente del 147% e del 24%.
Si sono osservati inoltre numerosi gruppi APT (Advanced Persistent Threat) sponsorizzati dallo stato con l’obiettivo di rubare informazioni. Sono aumentati invece gli attacchi brute force.
Malware 2021: i punti principali del report di MalwareBytes
Quali sono i punti principali del report “State of Malware 2021”?
Il punto principale è che le tattiche dei criminali informatici sono cambiate ma questo non si può dire per le loro intenzioni. Sebbene la quantità di malware di Windows rivolto alle imprese sia diminuita è un segno purtroppo che i cyber criminali hanno invece imparato a fare più danni con meno. Sono diminuiti gli attacchi Emotet e Trickbot.
Mentre gli attacchi diminuiscono in settori come quell sanitari, automotive e istruzioni, sono inevece aumentati del 1.055% i rilevamenti di app spyware e in aumento del 607% dei rilevamenti di malware nell’industria agricola.
Il cambiamento più inquietante è stato rilevato nell’uso degli Spyware, diventato strumnto oramai comune. Un campo sempre in pericolo è quello del lavoro da remoto, e MalwareBytes avvisa: è tempo di abbandonare le vecchie ed oboslete idee sulla sicurezza, pensando che i perimetri aziendali siano inviolabili.
I cyber attacchi di quintagenerazione diventano sempre più sosfisticati: si va dallo spionaggio internazionale alle massicce violazioni delle informazioni personali alle interruzioni su larga scala di Internet.
Con la rapida digitalizzazione a causa della pandemia, il passaggio al server cloud, l’alto numero di smartphone connessi in rete e il passaggio al lavoro da remoto tutti noi diveniamo più vulnerabili. Nonostante le misure prese per assicurare di essere protetti in oggni momento i nuovi attacchi hanno riguardato una serie di exploit informatici su larga scala. Perhè molte aziende sono protette contro attacchi de seconda e terza generazione e la sicurezza informatica deve evolvere invece verso la quinta generazione per proteggere le aziende contro gli attacchi all’intera infrastruttura IT.
I cyber criminali si muovono sempre più rapidamente per infettare un gran numero di aziende e organizzazioni in vaste aree geografiche con mega-attacchi su larga scala. Le reti e i data center, i cloud e i dispositivi sono ancora esposti. Inoltre nonbiosgna dimenticare che la nuova implementazione delle reti mobile per il 5G offriranno velocità più elevate ma anche la possibilità ai criminali informatici di innescare attacchi informatici sempre più grandi.
Lo sviluppo della tecnologia 5G e dell’Internet of Things aumenteranno le vulnerabilità degli utenti: si parla di attacchi informatici di quinta generazione su larga scala. Molte aziende però non sono ancora preparate contro attacchi di questo tipo: multi-dimensionali, multi-stadio, multi-vettore, polimorfici, in poche parole estremamente articolati.
Come difendersi dai Cyber attacchi di quinta generazione
Ma cosa è un attacco di Quinta Generazione? Un attacco cibernetico estremanente pericoloso e a grande scala, progettato per infettare più componenti di un’infrastruttura informatica, comprese le reti, le macchine virtuali istanze cloud e i dispositivi endpoint. Un attacco di questo tipo è in grado di superare le barriere di difesa dei FireWall: primi esempi di questo tipo di tacchi sono stati NotPetya e WannaCry.
La cyber resilienza rimane un’alta priorità. Ci sono soluzioni attuali per difendersi dagli attacchi informatici del 2021? Le soluzioni di “quinta generazione” si basano sulla prevenzione in tempo reale, sulla gestione unificata dei rischi, sui continui aggiornamenti per evitare attacchi zeroday e l’utilizzo di Firewall con funzioni avanzate di nuova generazione (NGFW).
E’ necessaria l’attivazione di un’intelligence che copra tutte le superfici di attacco, inclusi cloud, dispositivi mobili, rete, endpoint e IoT.
Il Cyber Range Leonardo – poligono virtuale per la cyber difesa – è stato scelto dal Qatar computing research Institute (QCRI) per addestrare gli operatori e valutare la resilienza delle infrastrutture agli attacchi informatici. Il Cyber Range è un poligono virtuale, un sofisticato sistema di elaborazione che, grazie alla tecnologia, consente di simulare complessi sistemi ICT. Il suo compito è quello di formare sulle criticità più complesse delle minacce informatiche contro sistemi informativi (IT) e operativi (OT)
L’iniziativa conferma la presenza di Leonardo in Qatar, parte della strategia del piano “Be Tomorrow – Leonardo 2030”. Il contratto rientra inoltre nel quadro degli accordi di cooperazione tra Italia e Qatar.
La scelta del Qatar, secondo le parole di Tommaso Profeta, managing director della Divisione Cyber security di Leonardo, rapprsenta comunque un riconoscimento molto importante “anche in ottica di open innovation, sia perché conferma la fiducia dei clienti e l’efficacia della strategia di Leonardo sui mercati internazionali in ambito Cyber security”.
Cyber Range Leonardo: gli scenari di allenamento e formazione
Compito della piattaforma è simulare scenari di attacco e consente la generazione di molteplici scenari di allenamento con diversi livelli di complessità. Questi secnari consentono di rappresentare gli ambienti operativi reali con lo scopo di verificare le capacità dei dispositivi fisici e virtuali impiegati. Le sue componenti principali sono:
Piattaforma di esecuzione dell’attacco
Piattaforma di gestione, per la configurazione degli esercizi e del loro punteggio
Piattaforma educativa
La piattaforma è un poligono virtuale, composto da una infrastruttura Hardware e software che permette di simulare complessi sistemi ICT. In materia di Difesa e Sicurezza la Cyber Security diventa sempre di più un’arma strategica e Leonardo stava lavorando ad un vero e proprio “poligono virtuale” in campo informatico (IT), il primo cyber range italiano per la Difesa e per gestire le infrastrutture critiche: i possibili scenari vengono virtualizzati per sviluppare strategie e componenti di difesa con l’intelligenza artificiale (AI).
Protezione dei dati, social media e minori: intanto Tik Tok – il social network che permette creare e pubblicare video creativi che diventano virali – si deve di fatto fermare in Italia fino al 15 febbraio. La decisione è del Garante Privacy per la riservatezza dei dati personali.
La ragione del blocco sta nella mancanza di strumenti di accertamento sicuri dell’identità e soprattutto dell’età di chi la utilizza. Il blocco così è stato stabilito – per tutti gli account del social – “per i quali non sia stata accertata con sicurezza l’età anagrafica”, che dovrebbe rispettare il divieto dell’iscrizione agli under 13.
Ma è vero? Il blocco è stato disposto fino al 15 febbraio, tuttavia la piattaforma è ancora in funzione…
Il provvedimento applicato ora vieta a TikTok di trattare i dati personali di utenti dei quali non è in grado di verificare l’età. La tesi è che in assenza di una verifica, la piattaforma non può escludere a priori il fatto che anche utenti minori di 13 anni possano utilizzare il suo servizio.
Wired
Ma non solo, anche la Repubblica di San Marino bussa virtualmente alla porta dei colossi di Internet ergendosi ad avamposto dei diritti. Si prospetta quindi una nuova manovra per salvaguardare la sicurezza dei più giovani e la loro privacy online. Un accertamento che – viene assicurato – sarà rigoroso sotto il profilo giuridico e tecnico: da Facebook a Instagram e WhatsApp, a Google con Youtube, e Amazon con Twich e infine Twitter.
Si può pure “chiudere” TikTok, ma poi nascerà un nuovo social o un’altra app di intrattenimento che veicolerà analoghe sfide e competizioni suicide e ci si ritroverà al punto di partenza. Il commento di Umberto Rapetto, direttore di Infosec.news
E’ possibile proteggere la propria privacy e i dati sul web? Si, è possibile, diventando consapevoli delle informazioni che si condividono in rete. la verità, infatti, è che spesso non ci preoccupiamo più di tanto, quando utilizziamo i nostri dati anche quelli più sensibili, credendo giustamente che non avendo nulla da nascondere di male, non sia poi così necessario tutelarci.
Andrea Biraghi – I dati sul web: proteggere privacy e dati è importante soprattutto per i più giovani
La protezione dei dati sui social media: quale soluzione per i più giovani?
Il problema alla base però non riguarda solo la chiusura di una APP ma l’educazione dei più giovani, a cui si dovrebbe insegnare che la loro presenza sul Web non è affatto anonima e che questo ha a che fare con delle responsabilità a partire dalle propri e scelte. Perchè chiusa una app ce ne sarà un’altra e un’altra ancora, non arrivando ad eliminare mai il vero problema. Umberto Rapetto infatti suggerisce di intervenire anche sulle porposte di “esistenza felice off-line”.
Genitori, insegnanti, educatori di qualsivoglia sorta si chiedano cosa hanno fatto per affrontare il tanto inevitabile, quanto prevedibile cambiamento che lo tsunami hi-tech avrebbe determinato ad ogni latitudine. La risposta può variare dal “pochissimo” al “davvero nulla”.
In tutto questo i genitori svolgono una importante funzione, quando la propria casa resta il principale luogo di accesso a internet. L’88% dei ragazzi italiani – secondo il report EU Kids Online Italy – usa internet a casa ogni giorno.
Leggi anche :
La minaccia della Disinformazione mediatica: a tutti gli effetti un ulteriore sfida della Cyber Security
La cybersecurity nel settoremarittimo – a causa del crescente numero di attacchi informatci contro organizzazioni marittime – è una delle priorità assolute in termini di sicurezza e difesa.
Gli attacchi informatici ai sistemi e alle tecnologie operative del settore infatti hanno avuto un aumento globale del 900% negli ultimi tre anni (dati International Maritime Organization’s – IMO).
Riguardo a ciò è utile ricordare che il settore marittimo svolge un ruolo vitale nell’economia globale: il 90% del commercio globale è trasportato dalla navigazione. Gli attcchi informatici verso questo settore e contro infrastrutture nazionali critiche – come l’industria marittima – possono avere effetti paralizzanti sull’intera economia nazionale e internazionale.
Dall’altro lato le organizzazioni marittime dipendono sempre più dall’IT (Information Technology) e OT (Operation Technology) per massimizzare l’affidabilità e l’efficienza del commercio marittimo. Questi sistemi abilitati per il cyber aiutano la navigazione delle navi, le comunicazioni, la gestione ingegneristica a bordo, la gestione del carico, la sicurezza, la sicurezza fisica e il controllo ambientale. Tuttavia, la proliferazione di sistemi rivolti a Internet in tutto il settore marittimo sta introducendo rischi sconosciuti ed espandendo la superficie di minaccia.
L’attacco informatico NotPetya del 2017 è stato un campanello d’allarme degli effetti disastrosi, che hanno paralizzato l’industria marittima globale per più di qualche giorno.
Tar le molte imprese marittime che ne sono rimaste colpite, il colosso Maersk che ha stimato un danno di circa $ 300 milioni: Maersk ha subito la chiusura di alcuni terminal portuali gestiti dalla sua controllata APM.
Cyber Security nel settore marittimo: i diversi incidenti
“Il non riuscire a proteggere la nave da un evento cyber potrebbe essere considerato un mancato esercizio della dovuta diligenza nel rendere la nave idonea alla navigazione, e anche una violazione degli Articoli 3(1) e 4(1) delle Regole dell’Aja/Aja-Visby.”
La consapevolezza – oggi più che mai – che le operazioni di trasporto marittimo siano esposte a questo tipo di rischi è cresciuta. Tra le aziende che si occupano di sorveglianza marittima e costiera c’è Leonardo, che garantisce i sistemi informativi delle forze navali, capacità di comando e controllo, gestione dei sistemi d’arma e comunicazioni integrate.
Tuttavia “i pericoli derivanti dagli attacchi cyber non riguardano solo i sistemi informatici delle compagnie di navigazione ed i dati sensibili ivi contenuti, ma coinvolge anche le stesse navi, le quali sono sempre più computerizzate e quindi anch’esse esposte alla pirateria informatica”.
Quali sono i diversi incidenti che si possono verificare?
Problemi con il trasferimento dei dati
Problemi con l’attrezzatura e l’hardware di bordo
Perdita o manipolazione di dati esterni del sensore, fondamentali per il funzionamento di una nave.
Diventa sempre più importante proteggere sistemi e dati critici con più livelli di protezione, per aumentare la probabilità di rilevare un incidente informatico e lo sforzo, insieme alle risorse, per proteggere informazioni, dati o disponibilità di hardware IT.
Intelligenzaartificiale (IA) e sicurezza: una nuova ricerca afferma che l’uomo rischia di non essere in grado di controllare le future “macchine intelligenti” che non smettono mai di imparare.
Proprio per questo alcuni scienziati hanno evidenziato i potenziali pericolo dello sviluppo di software autonomi.
“Una macchina super intelligente che controlla il mondo suona come fantascienza”
Journal of Artificial Intelligence – Manuel Cebrain
Questo perchè è appurato che ci sono già macchine che svolgono determinati compiti importanti in modo indipendente senza che i programmatori capiscano appieno come l’hanno imparato […], una situazione, questa, che a un certo punto potrebbe diventare incontrollabile e pericolosa per l’umanità.
E’ giusto quindi analizzarne con cura rischi e opportunità dell’IA, prendendosi forse più tempo di quel che si è prospettato.
Intelligenza artificiale e sicurezza: l’uomo prima di tutto
E’ pure vero che i grandi progressi fatti e applicati in un serie di campi sono utili a verificarne anche i benefici oltre che i rischi: non dobbiamo dmenticare che la tecnologia IA rappresenta un enorme opportunità per il nostro futuro e quello del pianeta.
Attraverso dei calcoli teorici, un team di scienziati tra cui quelli del Center for Humans and Machines del Max Planck Institute for Human Development, mostra però che non sarebbe possibile controllare un’IA superintelligente. Il problema starebbe nella prevenzione del danno: lo studio è stato impostato su 2 diversi metodi per controllare il software: uno per isolare il software da internet e il secondo attraverso la programmazione di un algortimo che gli impedisca di danneggiare in qualsiasi circostanza. Questo per arrestarla se considerata pericolosa.
Il primo metodo ha impedito alla tecnologia di svolgere le sue funzioni di base, ma, cosa preoccupante, sembra che non ci sia un algoritmo in grado di garantire una prevenzione dal danno. Ovvero, il problema del contenimento è incomputabile, cioè nessun singolo algoritmo può trovare una soluzione per determinare se un’IA produrrebbe danni al mondo.
Se nel primo caso si è impedito alla tecnologia di svolgere le sue funzioni di base, nel secondo sembra che non ci sia un algoritmo in grado di garantire una prevenzione dal danno. Tale algoritmo non può essere costruito.
“Se si suddivide il problema in regole di base dall’informatica teorica, si scopre che un algoritmo che comanda un’IA di non distruggere il mondo potrebbe inavvertitamente fermare le proprie operazioni. Se ciò accadesse, non saprei se l’algoritmo di contenimento sta ancora analizzando la minaccia o se si è fermato a contenere l’IA dannosa. In effetti, questo rende inutilizzabile l’algoritmo di contenimento”
Iyad Rahwan, direttore del Center for Humans and Machines – We wouldn’t be able to control superintelligent machines
Identitàdigitale: se da un lato cresce la necessità di provare la propria identità per accedere ai servizi digitali, intelligenza artificiale, machine learning e reti neurali ci vengono incontro.
Tuttavia, nel cyberspazio, l’identità è tutt’ora più difficile da verificare a causa della mancanza di standard – che si rivelino affidabili – per non parlare della proliferazione di frodi di identità e falsificazione dei dati biometrici. Il crimine informatico ha quindi fatto emergere nuove problematiche circa il problema del furto dell’identità e ma anche nuovi implusi alla sicurezza informatica per nuove soluzioni per ripensare alla sicurezza dell’identità.
“L’identità può essere scambiata digitalmente tra utenti e fornitori di servizi in modo sicuro ed efficiente. L’autenticazione dell’identità è il primo passo verso la creazione di fiducia tra due parti nello spazio online e, in ultima analisi, “è alla base dell’intera economia digitale”.
Le nostre vite si stanno spostando nello spazio digitale. Acquisti online, servizi sanitari, online banking, senza dimenticare le interazioni sociali, ci fanno comprendere come l’indetità digitale diventi quindi un problema importante. La capacità di dimostrare davvero chi siamo è diventato un fattore cruciale per accedere ai vari servizi digitali, per abilitare le transazioni. Non c’è limite al suo utilizzo – si può parlare anche dei check-in aeroportuali o al voto online, o la dimostrazione di un test COVID-19.
Contemporaneamente devono essere tutelati gli aspetti informativi sulla privacy.
L’utilizzo dell’Identità digitale cresce anche in Italia come le soluzioni e le startup
In Italia la crescita delle identità SPID attive quest’anno rispetto allo scorso anno è del 140%.
“Nel 2020 il numero di identità SPID attive è più che raddoppiato, con circa 7,7 milioni di nuovi utenti in più rispetto ai 5,5 milioni censiti a fine 2019, e gli accessi mensili sono passati dai 6,3 milioni di gennaio ai 16,7 milioni di ottobre. Nonostante l’aumento, SPID copre appena il 22% della popolazione (e il 26% degli italiani maggiorenni), lontano dai livelli dei paesi europei più avanzati, come Olanda (79%), Svezia (78%), Norvegia (74%) e Finlandia (55%)”.
Giorgia Dragoni, Direttore dell’Osservatorio Digital Identity
Su EconomyUp si parla di 9 startup italiane che oggi stanno affrontando il problema dell’identità digitale con varie soluzioni. La lista è composta da: Biowetrics, Elysium, Floux, iProov, Keyless, Monokee e Vibre.
Le loro tecnologie variano dall’identificazione biometrica sicura senza password, riconoscimento facciale per i pagamenti contactless o algoritmi – come MindPrint – che consente l’autenticazione dell’utente tramite il segnale cerebrale, sfruttando tecnologie di AI.
La disinformazione mediatica è oggi delle sfide della Cyber Security: la manipolazione dei fatti e delle informazioni è anche al centro della nuova agenda translatantica Europa USA per il cambiamento globale.
L’obiettivo è quello di contrastare i poteri autoritari (Cina, Russia in primis) che cercano di sovvertire l’ordine democratico destabilizzando il ruolo delle istituzioni. Anche tramite attacchi cyber e disinformazione di Stato, che ad esempio stanno colpendo in questa fase i vaccini covid-19 e le strutture sanitarie.
AgendaDigitale.eu – Nuova alleanza UE-USA: il ruolo inedito della cybersecurity
Fake News, notizie false, informazioni inganevvoli, prontamente confezionate per influenzare l’opionone pubblica. Un fenomeno che in questi anni ha subito una crescita esponenziale e che mette a rischio la stessa informazione. Non manca chi da queste “bufale” trae profitto, per fare soldi in minor tempo possibile e sfruttandone tutti i meccanismi che stanno dietro.
La Commissione europea ha definito la disinformazione come “l’aggregato di informazioni false o ingannevoli che sono create, annunciate e divulgate, per trarre vantaggi economici o per plagiare intenzionalmente le persone, e che potrebbero causare un pericolo pubblico”.
La sfida va dunque accolta: per quanto Internet sia un importante mezzo di informazione e uno strumento in grado di cambiare le nostre vite permettendoci di comunicare più velocemente, biosgna ora pensare a strumenti che guidino gli utenti nella giungla delle informazioni. Allo stesso tempo sarebbe utile una maggiore consapevolezza del lato oscuro del web: per questo ancora più importnate è elaborare degli strumenti che aiutino le persone e che le metta in sicurezza.
Disinformazione mediatica e social
Nel 2019 Facebook si è dovuto tutelare per contrastare le interferenze da parte di Paesi stranieri nelle elezioni presidenziali USA 2020: eliminando account registrati in Russia e Iran. Gli account in questione erano accusati di creare meme e video deepfake anti-Trump. Il numero della loro diffusione è notevole: hanno raggiunto circa 265.000 accounts sui social network. Il numero dei profili chiusi: 78 account Facebook, 11 pagine, 29 gruppi e quattro account Instagram.
Andrea Biraghi – Fake News: l’informazione sotto minaccia
ComputerWeekly evidenzia come la regolamentazione dell’informazione su Internet e quindi anche sui social possa essere usata come pretesto per reprimere la libertà di parola. “Dovremmo essere molto cauti nell’usarlo eccessivamente come strumento”.
Crescono intanto nuove startup il cui obiettivo è fermare il flusso della disinformazione tra cui: Right of Reply, Astroscreen e Logically, che anche se non si definiscono società di sicurezza informatica in pratica è come se lo fossero. La sicurezza informatica non riguarda infatti solo le violazioni dei dati ma la loro integrità. Inoltre la manipolazione dell’informazione può minacciare la sicurezza nazionale per cui ecco perchè la questione dovrebbe essere al centro delle nostre difese informatiche.
Nelle previsioni di Avast Security si parla anche di DeepFake: già a Gennaio abbiamo visto che con le elezioni presidenziali degli Stati Uniti 2020 i deepfakes sarebbero stati sfruttati per tentare di screditare i candidati e inviare messaggi politici falsi agli elettori attraverso i social media
Europa e USA si stringono in un’alleanza che comprende anche la cooperazione in tema di cybersecurity.
L’agenda per il cambiamento globale (A new EU-US agenda for global change) nasce da una premessa di pace, progresso e prosperità collettivi. Soprattutto con l’obiettivo di contrastare i poteri autoritari che cercano di sovvertire l’ordine democratico. Tra le minacce transazionali, ibride e militari, quelle collegate all’estremismo violento, al terrorismo globale e la proliferazione di armi di distruzione di massa.
L’obiettivo è quello di contrastare i poteri autoritari (Cina, Russia in primis) che cercano di sovvertire l’ordine democratico destabilizzando il ruolo delle istituzioni. Anche tramite attacchi cyber e disinformazione di Stato, che ad esempio stanno colpendo in questa fase i vaccini covid-19 e le strutture sanitarie.
Agenda Digitale – Nuova alleanza UE-USA: il ruolo inedito della cybersecurity
Un ruolo più forte dell’UE nella difesa, andrà così anche a vantaggio della NATO, della cooperazione transatlantica, di un allineamento comune e del rafforzamento della autonomia strategica.
EU – USA: l’agenda per il cambiamento globale
Europa e Stati Uniti la cyber security nelle 4 macroaree di cooperazione
La cooperazione tra Europa e Stati Uniti si svolgerà su 4 macroaree: tecnologia e commercio, difesa della democrazia, salute e salvaguardia del pianeta.
La cyber security assume un ruolo centrale: ovvero affrontare il numero crescente di minacce che minano la sicurezza e la difesa delle nazioni e affrontare le sfide dei sistemi rivali di governance digitale.
In particolare la convergenza di opinioni sulla governance tecnologica segna un ulteriore passo nell’affrontare sfide comuni per gestire al meglio la trasformazione digitale.
Tra gli obiettivi: infrastrutture critiche, come 5G, 6G o asset di sicurezza informatica, essenziali per la sicurezza dell’economia e della società, sovranità e prosperità, ma anche dati, tecnologie e il ruolo delle piattaforme online. Non manca l’intenzione quindi di regolarizzare l’utlizzo delle tecnologie tramite un nuovo contensto normativo.
Attaccoinformatico agli USA:Reuters ha riferito per la prima volta la storia domenica, e i rapporti successivi hanno identificato i servizi segreti stranieri russi, l’SVR, come i colpevoli più probabili. Si potrebbe trattare quindi di hacker russi che lavorano per il Cremlino ma il governo non ne fa parola per ora nè accusa la Russia nè altri probabili attori. Il ministero degli Esteri russo ha descritto le accuse come un altro tentativo infondato da parte dei media di incolpare la Russia per attacchi informatici contro le agenzie statunitensi.
Infine l’attacco potrebbe durare da mesi secondo quanto riportato da funzionari statunitensi e media.
Dai pochi dettagli forniti domenica dal Consiglio di Sicurezza Nazionale e il Dipartimento per la Sicurezza Interna degli Stati Uniti, gli hacker avrebbero attaccato i sistemi della posta elettronica dei due dipartimenti governativi.
“Abbiamo lavorato a stretto contatto con i nostri partner dell’agenzia per quanto riguarda l’attività scoperta di recente sulle reti governative”, ha dichiarato il portavoce dell’NSC John Ullyot. “Il governo degli Stati Uniti è a conoscenza di questi rapporti e stiamo adottando tutte le misure necessarie per identificare e porre rimedio a eventuali problemi relativi a questa situazione.”
Eppure sulla lista dei principali sospettati ci sarebbe il nome del gruppo noto come Cozy Bear o APT29, sponsorizzato dal governo moscovita. Lo stesso gruppo, collegato in vari modi all’FSB nazionale russo e alle agenzie SVR straniere, è stato accusato dall’agenzia britannica NCSC di aver preso di mira i laboratori di ricerca sui farmaci nel Regno Unito, negli Stati Uniti e in Canada a luglio. Il suo obiettivo: quello di “rubare informazioni e proprietà intellettuale relative allo sviluppo e al test dei vaccini Covid-19“.
Attacco informatico USA: la punta di un iceberg?
Come riporta ancora Reuters si ritiene che gli hacker lavorino per la Russia con lo scopo di monitorare il traffico e-mail interno presso i dipartimenti del Tesoro e del Commercio degli Stati Uniti: le setsse fonti affermano che si teme che gli hack scoperti finora possano essere solo la punta dell’iceberg.
Si può solo suppore la garvità dell’hack che ha portato a una riunione del Consiglio di Sicurezza Nazionale alla Casa Bianca sabato: si è chiesto così alla Cybersecurity and Infrastructure Security Agency e all’FBI di indagare. E si usppone sia una massima campagna di cyber spionaggio.
Dalle prima notizie sembra che l’origine dell’attacco informatico sia la manomissione di aggiornamenti rilasciati dalla società IT SolarWinds, che serve i clienti governativi, nascondendo codice dannoso nel corpo di aggiornamenti software. Le e-mail del personale dell’agenzia sono state monitorate dagli hacker per mesi.
Leggi la notizia su Reuters – Suspected Russian hackers spied on U.S. Treasury emails – sources
Le sfide per la Cyber Security chiudono un anno difficile ma aprono un 2021 impegnativo.
Le priorità per il 2021 sono innanzitutto quelle di poter anticipare situazioni e attacchi con l’aiuto della Cyber Intelligence ma anche in una strategia di sicurezza completa nell’ambiente delle minacce di oggi richiede soluzioni che tengano conto sia della sicurezza fisica che di quella informatica, perché anche le minacce informatiche sono minacce fisiche. Pensando alla sicurezza cyber-fisica in modo unificato, si può investire in una tecnologia digitale avanzata che rende la loro rete e le loro strutture più sicure. [Preparing for physical and cyber security convergence by Andrea Biraghi]
Nel bene e nel male però la sicurezza informatica non sarà così diversa dall’anno che stiamo per lasciare – almeno in prima battuta – sebbene con l’introduzione di sistemi di intelligenza artificiale le capacità di poter prevenire gli attacchi sono aumentate sino ad arrivare ad individuare l’85% degli attacchi e a ridurre fino a ad un quinto il numero di falsi positivi.
Nel panorama delle tendenze 2021 intanto emergono alcuni fattori destinati forse a divenire delle priorità già nei prossimi mesi.
Tra queste la sicurezza dei dispositivi Iot (Internet of Things), un numero crescente di attacchi che sfrutteranno l’Intelligenza Artificiale (AI) e il numero di attacchi sempre in aumento da parte di hacker sponsorizzati dallo Stato e il successivo aumento di spionaggio informatico.
La CyberSecurity e le sfide ad essa correlate si stanno evolvendo rapidamente, motivo per cui la Commissione europea ha adottato una serie di misure tra cui l’istituzione di un quadro legislativo globale: l’Internet Of Things pone nuove questioni in materia di sicurezza e minacce informatiche
Andrea Biraghi – Infrastrutture critiche e cybersecurity: le sfide alla sicurezza
Cyber Security: le sfide del 2021 e la vulnerabilità delle democrazie
Se le elezioni presidenziali americane hanno rivelato la vulnerabilità della democrazia americana rispetto agli attacchi cyber, gli USA hanno in programma una riforma sulle pratiche della privacy, ma anche e soprattutto struemnti con i queli combattere l’Hate Speech sulle piataforme social.
Controllo e sicurezza di internet come scrive AgendaDigitale fano parte del vecchio programma di Obama per una strategia nazionale per il Cyber Spazio. Ma non solo Stati Uniti, le stesse preoccupazioni ci sono anche in Europa. Questo perchè la maggior parte delle attività informatiche dannose è collegata alla criminalità informatica, anche se puntare alle elezioni non offre alcun vantaggio finanziario diretto. In ogni caso, nonostante i recenti miglioramenti, ciò rimane una sfida nel cyberspazio – questo restringe il cerchio a organizzazioni statali e terroristiche (escluso l’hacker solitario che con un impatto limitato). Per riassumere i tentativi di indebolire le democrazie potrebbero palesarsi in una paralisi politica, o lasciare spazio per la manovra di altri attori.
Intelligenzaartificiale (IA) eCyberSecurity comunicano già su più livelli: l’utilizzo di tecnologie come l’IA e l’apprendimento automatico è diventato oramai essenziale per proteggere le organizzazioni da attori malintenzionati, che stanno sempre più veloci, migliorano e raffinano le loro tecniche di attacco per arrivare ai loro obiettivi.
“I criminali che sono là fuori, stanno anche usando AI e ML per migliorare la loro capacità di creare malware”.
Bob Turner, chief information security officer presso l’Università del Wisconsin, Madison, durante il Security Transformation Summit di Fortinet.
L’intelligenza artificiale è un’enorme opportunità per l’uomo e il pianeta e altrettanto lo è implementare i suoi strumenti e il ML, rispondendo meglio così agli attacchi in arrivo e ottenere informazioni chiave su dove potrebbero essere i prossimi obiettivi.
Sul fronte della guerra cibernetica, le tecnologie emergenti continuano a svolgere un ruolo chiave e l’intelligenza artificiale (AI) non fa eccezione.
I cyber criminali utilizzano l’intelligenza artificiale per decifrare le password più velocemente: gli attacchi di forza bruta possono essere accelerati utilizzando il deep learning e così via. Vien da sè comprendere che la sicurezza informatica ne farà un uso sempre più massiccio, sfruttandone la potenza.
L’IA compare nei software antivirus che identificano i programmi con comportamenti insoliti, scansionano le e-mail scoprendo i tentativi di phishing e automatizzano l’analisi del sistema o dei dati di rete per garantire un monitoraggio continuo. Ciò nonostante tra molti giovani c’è una parte di preoccupazione per i mezzi di automazione, prcependoli come una minaccia per la sicurezza del lavoro. Come se analizzare e migliorare la sicurezza informatica non potesse essere più un problema a misura d’uomo.
“La preoccupazione per l’automazione tra i giovani professionisti della sicurezza informatica ci ha sorpreso. Nel tentativo di comprendere questo sentimento, potremmo in parte attribuirlo alla mancanza di formazione sul posto di lavoro utilizzando la tecnologia di automazione”.
Samantha Humphries, stratega della sicurezza presso Exabeam
Le dimensioni tra Intelligenza artificiale e Cybersecurity
Come avviene applicata l’IA nell’informatica? Normalmente vi sono due tipi di principale utilizzo:
Utilizzo Offensivo da parte dei criminali informatici, per realizzare frodi o furti di idnetità, attacchi di phishing più credibili, oppure anche per sviluppare nuovo malware.
Uso Difensivo: contro gli attacchi informatici, creando grandi quantità di infromazioni per identificare modelli ed anomalie
L’intelligenza artificiale e l’apprendimento automatico (ML) sono diventate tecnologie critiche nella sicurezza delle informazioni. La loro capacità va dal poter analizzare rapidamente milioni di eventi e identificare molti diversi tipi di minacce, al malware che sfrutta le vulnerabilità zero-day e all’identificazione di comportamenti rischiosi che potrebbero portare a un phishing attacco o download di codice dannoso.
Come l’uomo possono apprendere o “attingere” dal passato per identificare ora nuovi tipi di attacchi.
La violazione della proprietàintellettuale è a rischio sicurezza: gli hacker sponsorizzati dallo stato hanno come obiettivo il vaccino per il Covid 19.
La pandemia non è solo un banco di prova di una sfida che diventa ogni giorno più complessa, ma dicenta il centro di interesse per criminali informatici e interessi globali: gli esperti di sicurezza accusano gli hacker di stato, provenienti da Russia, Cina o Iran, di cercare di rubare gli utlimi dati sui vaccini COVID-19. E’ la guerra della proprietà intellettuale.
La guerra della proprietà intellettuale: così gli esperti di sicurezza definiscono la corsa alle informazioni sul vaccino
Gli hacker stanno lavorando instancabilmente per recuperare informazioni sensibili sui risultati della produzione del vaccino Covid 19. Gli esperti di sicurezza la definiscono la guerra per la proprietà intellettuale e si basa su un vero e proprio sequestro di dati sulla produzione di un vaccino che è molto vicino alla definitiva approvazione.
In questa lotta informatica – come si legge sul TheGuardian sono coinvolte le agenzie di intelligence occidentali, tra cui il National Cyber Security Centre britannico, che affermano di essere impegnate a proteggere “le risorse più critiche”.
In precedenza l’intenzione principale degli hacker era quella di rubare i segreti dietro la progettazione di un vaccino, con centinaia di aziende farmaceutiche, laboratori di ricerca e organizzazioni sanitarie da tutto il mondo prese di mira in qualsiasi momento.
Tra gli esperti Adam Meyers – vice presidente presso l’agenzia di sicurezza IT Crowdstrike – ha affermato che i paesi impegnati nel furto delle informazioni e quindi nell’hacking di dati – come Russia o Cina – hanno aumentato le loro attività concentrandole su un solo argomeno: Covid19.
Tra i paesi si contano anche Iran e Nord Corea: vengono utilizzate esche spear-phishing per il furto di credenziali o sfruttando vulnerabilità note lasciate non appotte per cercare di ottenere l’accesso a lungo termine.
Gli attacchi hacking alle informazioni sul Covid
L’Iran, ad esempio, è stato accusato di aver preso di mira l’Organizzazione Mondiale della Sanità all’inizio dell’aprile 2020 utilizzando tecniche di phishing, in cui sono state inviate e-mail cercando di incoraggiare i membri dello staff a fare clic su un link contenente malware nel tentativo di rubare password e ottenere l’accesso ai sistemi.
Il gruppo hacker cinese APT41, a volte noto come Wicked Panda, ha iniziato l’anno con campagne sostanziali che cercano di sfruttare le vulnerabilità di sicurezza nelle reti IT aziendali rivolte a Internet, compresi i sistemi governativi del Regno Unito. A settembre, l’FBI degli Stati Uniti ha presentato accuse contro quelli che ha detto essere cinque figure chiave in APT41, in cui ha detto che uno dei quali aveva detto a un collega che era “molto vicino” all’MSS. La Cina però, nega di essere impegnata nello spionaggio legato all’hacking.
La Russia infine: Cozy Bear, collegato in vari modi all’FSB nazionale russo e alle agenzie SVR straniere, è stato accusato dall’agenzia britannica NCSC di aver preso di mira i laboratori di ricerca sui farmaci nel Regno Unito, negli Stati Uniti e in Canada a luglio. Il suo obiettivo, ha detto NCSC, era probabilmente quello di “rubare informazioni e proprietà intellettuale relative allo sviluppo e al test dei vaccini Covid-19”.
Leggi anche: Andrea Biraghi, Spionaggio informatico: tra vaccini, elezioni, proprietà intellettuali e propaganda
Si chiamerà Istituto italiano di Cybersicurezza (IIC) la nuova fondazione per la cyberdifesa e la cybersicurezza italiana. La nuova fondazione sarà coordinata dal presidente del Consiglio Giuseppe Conte e dall’intelligence.
Intanto le testate inziano a riportare fatti, numeri: mentre dell’ICC si palra nell’articolo 96 della bozza della Legge di bilancio, in cui si annuncia la sua costituzione.
Membri della fondazione, come si legge su Formiche.net sono i ministri del Cisr (Comitato interministeriale per la Sicurezza della Repubblica) e il ministro dell’Università e della ricerca Gaetano Manfredi, si avvarrà del coordinamento del Dis (Dipartimento informazioni e sicurezza).
Tra le finalità quella di “promuovere e sostenere l’accrescimento delle competenze e delle capacità tecnologiche, industriali e scientifiche nazionali nel campo della sicurezza cibernetica e della protezione informatica”.
– promuovere e sostenere l’accrescimento delle competenze e delle capacità tecnologiche, industriali e scientifiche nazionali nel campo della sicurezza cibernetica e della protezione informatica
– favorire lo sviluppo della digitalizzazione del Paese, del sistema produttivo e delle pubbliche amministrazioni in una cornice di sicurezza
– conseguimento dell’autonomia, nazionale ed europea, riguardo a prodotti e processi informatici di rilevanza strategica, a tutela dell’interesse della sicurezza nazionale nel settore.
Le finalità dell’Istituto italiano di Cybersicurezza (IIC)
Quali saranno invece i suoi compiti?
I compiti dell’Istituto italiano di Cybersicurezza
– elaborazione e sviluppo delle “iniziative e progetti di innovazione tecnologica e programmi di ricerca riguardanti la sicurezza delle reti, dei sistemi e dei programmi informatici e dell’espletamento dei servizi informatici, in coerenza con la strategia nazionale di sicurezza cibernetica”
– supporto delle istituzioni che si stanno occupando “della protezione cibernetica e della sicurezza informatica, anche ai fini della partecipazione alla definizione degli standard internazionali nel settore”
– cybersecurity awareness, ovvero la consapevolzza “dei rischi informatici presso le istituzioni, le imprese e gli altri utenti di prodotti e servizi informatici”.
Cyber sicurezza e difesa e 5G
La Fondazione di occuperà anche di 5G in fase soprattutto di monitoraggio per mettere in sicurezza la rete ed evitare così intrusioni esterne attraverso il Perimetro di sicurezza nazionale cibernetica.
“L’Icc potrà cooperare con le strutture del perimetro cibernetico – spiega Giustozzi, Corrado Giustozzi, esperto di sicurezza cibernetica del CERT-AGID e già componente dell’Advisory Group dell’Agenzia Europea per la cybersecurity (Enisa) – senza dare regole ma indirizzando gli organi tecnici, le scelte tecnologiche nel settore, specie nel 5G, offrire supporto e vigilanza”.
Leggi anche: Andrea Biraghi – Internet of things: la tecnologia estende internet ad oggetti e spazio
La sicurezza dei satelliti e le loro vulnerabilità sono legate attualmente ad una delle più grandi minacce globali di questo secolo.
La frontiera dello spazio, a sua volta, è la nuova e moderna frontiera per la Cyber Security a livello globale. Per quale motivo? Il ritmo vertigionso con cui avanzano le capacità di sicurezza informatica e di guerra informatica di diverse nazioni e attori non statali rappresenta una sfida enorme per i proprietari delle risorse spaziali in orbita. Oltre a questo la Cina, nel 2021, avrà un’intensa attività di lancio di satelliti per la rete spaziale a supporto dello IoT – 80 satelliti nello spazio per completare la rete, in tre fasi, intorno al 2023. L’IoT spaziale avrà un’ampia copertura e consentirà una facile connessione in tutte le condizioni atmosferiche e in molteplici campi.
Prendere il controllo di un satellite da parte di elementi anomali potrebbe avere conseguenze disastrose.
L’aeronautica americana nell’aprile di quest’anno ha organizzato un hackathon per testare le vulnerabilità dei suoi satelliti militari in orbita. I ricercatori di sicurezza informatica hanno condiviso uno degli utlimi dettagli della Conferenza Black Hat USA 2020, e spiegano come sia possibile – tramite semplici apparecciature del valore di 300 dollari – intercettare il traffico Internet via satellite per curiosare nei dati.
Leggi i dettagli della ricerca di James Pavur, Studente di Computer Science della Oxford University – Andrea Biraghi, Intercettazioni satellitari: le minacce ai protocolli di comunicazione.
Sicurezza dei satelliti e dello spazio
Le economie dei governi di tutto il mondo fanno sempre più affidamento su infrastrutture dipendenti dallo spazio; si è quindi aperta una nuova frontiera per la sicurezzainformatica.
In settori come i trasporti e la logistica, i dati sulla posizione vengono registrati regolarmente in tempo reale dai satelliti GPS e inviati ai back office consentendo ai team di monitorare i conducenti e le risorse. Le organizzazioni che hanno avamposti remoti o navi oceaniche ovviamente non possono connettersi online tramite una rete mobile o via cavo, devono invece utilizzare i satelliti per le comunicazioni. Inoltre, i satelliti memorizzano le informazioni sensibili che raccolgono da soli, che potrebbero includere immagini di installazioni militari riservate o infrastrutture critiche. Tutti questi dati sono obiettivi interessanti per vari tipi di criminali informatici.
La continua proliferazione dell’esplorazione spaziale non farà che aumentare la portata del nostro ambiente connesso. Dato l’elevato valore dei dati memorizzati sui satelliti e altri sistemi spaziali, sono bersagli potenzialmente interessanti per chiunque voglia sfruttare questa situazione per realizzare un profitto illegale. Sebbene risiedere nel vuoto dello spazio profondo li renda meno vulnerabili agli attacchi fisici, i sistemi spaziali sono ancora controllati da computer a terra. Ciò significa che possono essere infettati proprio come qualsiasi altro sistema informatico più vicino a noi. Gli aggressori non devono nemmeno essere hacker provenienti esclusivamente da nazioni che trattano o lavorano con lo “spazio”, così come non hanno nemmeno bisogno di avere accesso fisico diretto ai sistemi di controllo appartenenti a organizzazioni come NASA, ESA o Roscosmos. In un mondo così interconnesso, hanno tempi facili.
Continua a leggere su Andrea Biraghi Blog – La sicurezza nello spazio: la nuova frontiera per la CyberSecurity
Il 5 Novembre 2020 entrerà in vigore il nuovo regolamento che riguarda il perimetrodisicurezzanazionalecibernetica: il provvedimento pone le basi per inserire l’Italia tra i paesi europei all’avanguardia per quanto riguarda il tema della Cyber Security. L’obiettivo è quello di difendere gli interessi vitali dell’Italia alzando il livello di protezione sui servizi fondmentali da cui dipende.
Il perimetro di sicurezza nazionale cibernetica
La prima fase di attuazione del perimetro Cyber
Il Decreto del Presidente del Consiglio dei ministri (DPCM) 30 luglio 2020, n. 131, pubblicato nella Gazzetta Ufficiale il 31 Ottobre, è la prima fase di attuazione del perimetro Cyber, ovvero uno “scudo difensivo” contro gli attacchi dei criminali informatici.
L’emergenza causata dal Covid-19 “ha amplificato gli attacchi informatici portati da cybercriminali su determinati obiettivi” tanto che i Security Operation Centre di Leonardo a Chieti e a Bristol hanno contato, tra febbraio e aprile, oltre 230.000 campagne malevole a tema ‘Coronavirus’ nel mondo, di cui il 6% verso l’Italia
Nel decreto sono individuati i soggetti che svolgono funzioni essenziali per lo Stato all’interno dei settori di competenza.
“Al fine di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori nazionali, pubblici e privati, da cui dipende l’esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale, è istituito il perimetro di sicurezza nazionale cibernetica”.
Perimetro di sicurezza nazionale cibernetica: i soggetti
Oggetto del provvedimento sono la massiva diffusione delle nuove tecnologie e l’istantanea fruibilità a livello globale di notizie e dati, le crescenti attività ostili di diversa matrice nel dominio cibernetico, la moltiplicazione dei vettori di minaccia e il cyber terrorismo.
La decisione di adottare misure strategiche si è resa non solo necessaria ma obbligatoria per contribuire ad incrementare il livello di sicurezza nazionale e insieme alla Direttiva NIS quello dell’Unione europea.
Nel decreto sono individuati i soggetti che svolgono funzioni essenziali per lo Stato all’interno dei settori di competenza: interno, difesa, spazio e aerospazio energia, telecomunicazioni, economia e finanza, trasporti, servizi digitali, tecnologie critiche e enti previdenziali/lavoro. Per individuare i soggetti da includere nel perimetro, le amministrazioni predispongono una lista di soggetti – comprendono ed identificando funzioni e servizi – e la trasmettono al CISR tecnico.
Vengono inoltre individuati i compiti del Centro di valutazione e certificazione nazionale (CVCN), istituito un Centro di valutazione (CEVA) – presso il Ministero dell’interno – vengono determinati gli obblighi per operatori e fornitori e le sanzioi per i casi di violazione.
Il Presidente del Consiglio – su deliberazione del CISR) – può disporre la disattivazione, totale o parziale, di uno o più apparati o prodotti impiegati nelle reti, nei sistemi o per l’espletamento dei servizi interessati, comunicando le misure disposte – entro 30 giorni – il Comitato parlamentare per la sicurezza della Repubblica (Copasir).
Il gruppo di hacker, Energetic Bear, tra i più furtivi della Russia, autore di numerosi attacchi informatici alle infrastrutture critiche, sembra che sta gettando una vasta rete per trovare obiettivi utili prima delle elezioni USA. Gli esperti di intelligence e sicurezza hanno confermato che gli attacchi alle infrastrutture potrebbero essere mirati al furto di dati con l’obiettico di intaccare la fiducia nelle istituzioni.
L’allerta dell’Fbi parla di minacce avanzate da parte di hacker di stato per compromettere gli obiettivi del governo degli Stati Uniti.
Gli hacker di stato russi
Gli attori delle minacce stanno impiegando nuovi TTP per aiutare a raggiungere i loro obiettivi di lunga data di sopravvivenza del regime, accelerazione economica, superiorità militare, operazioni di informazione e spionaggio informatico.
Andrea Biraghi – Gli Hacker di Stato e gruppi ransomware raffinano le tattiche per infliggere più danni nel 2021
Gli hacker russi hanno iniziato a muoversi da Settembre, quando gli hacker statali russi hanno iniziato a aggirarsi intorno a decine di sistemi informatici statali e locali americani.
Attacchi informatici: le analisi degli attacchi del gruppo APT russo
Christopher C. Krebs, il direttore della Cybersecurity and Infrastructure Security Agency, che ha emesso l’avviso insieme con l’F.B.I., ha affermato che il gruppo sta cercando di eseguire una scansione delle vulnerabilità. Un atto preparatorio per garantirsi l’accesso al momento del bisogno. Non avendo quindi le prove che il gruppo possa compromettere l’integrità dei dati elettorali, l’intelligence crede che il loro obiettivo possa essere quello di mantenere dei punti d’appoggio nelle reti informatiche statunitensi.
‘Gli attacchi e le intrusioni del settembre 2020 hanno preso di mira stati e contee, sollevando preoccupazione.
Il gruppo Energetic Bear ha violato in passato negli ultimi cinque anni ha violato la rete elettrica, gli impianti di trattamento delle acque e persino le centrali nucleari, tra cui una in Kansas. Ha violato inoltre i sistemi Wi-Fi all’aeroporto internazionale di San Francisco e almeno altri due aeroporti della costa occidentale nel mese di marzo.
L’ALERT di Fbi e della Cybersecurity and Infrastructure Security Agency, riporta l’analsi degli attacchi.
Il gruppo APT sponsorizzato dalla Russia sta ottenendo le credenziali dell’utente e dell’amministratore per stabilire l’accesso iniziale, consentire il movimento laterale una volta all’interno della rete e individuare risorse di alto valore per estrarre i dati. In almeno un compromesso, l’attore APT ha attraversato lateralmente una rete vittima SLTT e ha avuto accesso a documenti relativi a:
Configurazioni di rete sensibili e password.
Procedure operative standard (SOP), come la registrazione all’autenticazione a più fattori (MFA).
Istruzioni IT, come la richiesta di reimpostazione della password.
HEH è la botnet appena scoperta che attacca i sistemi connessi a Internet utilizzando il protocollo Telnet sulle porte 23/2323 e si diffonde lanciando attacchi brut-force.
Cosa sappiamo sino ad ora?
Su SecurityAffairs si legge che la nuova botnet è stata scoperta dai ricercatori Netlab, la divisione di sicurezza di rete del gigante tecnologico cinese Qihoo 360. HEH, secondo le prime analisi, conterrebbe il codice per cancellare tutti i dati dai sistemi infetti, come router, dispositivi IoT e server.
HEH botnet le analisi dei ricercatori di sicurezza
In una panoramica, sul blog di Netlab, si legge che HEH botnet – questo è il nome dato perché sembra essere il nome del progetto all’interno del codice – è scritto in linguaggo GO e utilizza il protocollo P2P proprietario. Sulla base del risultato di analisi di go_parser di Jia Yu – che si trova su GitHub l’esempio HEH catturato è stato costruito da Go 1.15.1. L’esempio contiene tre moduli funzionali: modulo di propagazione, modulo di servizio HTTP locale e modulo P2P.
Fonte: NetLab Blog – HEH, a new IoT P2P Botnet going after weak telnet services
Gli esempi acquisiti sono stati originariamente scaricati ed eseguiti da uno script Shell dannoso denominato wpqnbw.txt, che scarica ed esegue i programmi dannosi per le diverse architetture CPU. Gli script dannosi sarebbero ospitati su pomf.cat,
HEH BOTNET
I ricercatori di sicurezza – con la società cinese Qihoo 360 – dicono di aver individuato una nuova botnet IoT codificata con un comando per cancellare i dispositivi infetti. Ma si tratta di una prima analisi, su una botnet relativamente nuova – probabilmente nelle sue prime fasi di sviluppo – e i ricercatori di Netlab non possono ancora dire se “l’operazione di pulizia” del dispositivo è intenzionale o se è solo una routine di autodistruzione mal codificata. La cancellazione di tutte le partizioni riguarda anche il firmware o il sistema operativo del dispositivo, questa operazione ha il potenziale per bloccare i dispositivi, fino a quando il firmware o i sistemi operativi non vengono reinstallati.
Queto però non esclude che se questa funzione venisse attivata potrebbe portare alla distruzione, al blocco o al malfunzionamento di migliaia di dispositivi. Di quali dispositivi si parla? Router di casa, dispotitivi smart e IoT , server Linux e via dicendo. La botnet infatti può infettare qualsiasi cosa – utilizzando il protocollo Telnet sulle porte 23/2323 debolmente protette – ma il malware HEH funzionerebbe solo su piattaforme NIX. Heh utilizza un dizionario di password con 171 nomi utente e 504 password per tentare di prendere in consegna i dispositivi, come i router, che eseguono telnet.
L’analisi completa su NetlabBlog – HEH, a new IoT P2P Botnet going after weak telnet services
La cybersecurity dei dispositivimedici e delle retiITmedicali è sempre più importante in quanto i dati e le informazioni sui cittadini rappresentano oggi una nuova ed estesa superficie d’attacco per i gruppi di criminal hackers. Il settore sanitario è in effetti uno dei settori più critici a riguardo – costituendo parte dell’infrastruttura nazionale critica – ove la sicureza delle reti e dei dispositivi risulta ora cruciale per garantire la continuità dei servizi.
Tenendo a mente gli attacchi a livello di stato-nazione, bisogna oggi chiedersi se questi stessi aggressori – che prendono di mira dispositivi e reti per entrare nelle organizzazioni e fare spionaggio industriale – stanno oggi esplorando i dispositivi medici come un modo per inibire la nostra risposta medica in caso di emergenza.
Un importante contributo per comprendere la situazione sanitaria in materia di sicurezza informatica lo ha dato il rapporto Clusit 2019: il settore sanitario è, ogni giorno, sempre più bersagliato a livello globale. Una carenza che nel breve e nel lungo termine rappresenta un serio problema.
Cybersecurity: dispositivi medici e tecnologia IoT
Come scrive Agenda Digitale, secondo l’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA), quando i componenti di Internet of Things (IoT) supportano le funzioni principali degli ospedali – smart hospitals – la sicurezza delle reti e dei sistemi informativi diventano automaticamente questioni critiche.
Questi dispositivi medici in rete e altre tecnologie mobili per la salute (mHealth) sono un’arma a doppio taglio: hanno il potenziale per svolgere un ruolo di trasformazione nell’assistenza sanitaria, ma allo stesso tempo possono diventare un veicolo che espone i pazienti e gli operatori sanitari alla sicurezza e rischi per la sicurezza informatica come violazioni, malware e vulnerabilità ad accessi non autorizzati. I problemi di sicurezza del paziente – lesioni o morte – legati alle vulnerabilità di sicurezza dei dispositivi medici collegati in rete sono una preoccupazione fondamentale; dispositivi medici compromessi potrebbero anche essere utilizzati per attaccare altre parti della rete di un’organizzazione.
Andrea Biraghi – Convergenza tra sicurezza informatica e fisica: nuova efficienza ed efficacia
Tra le vulnerabilità più sfruttate vi sono gli aggiornamenti non protetti – o implementati in modo errato – del firmware: quindi non crittografati, senza controllo sulla loro integrità, o assenza di metadatai che trasemttono informazioni sulla versione. Christopher Gates parla di tutte le vulnerabilità in un’intervista rilasciata a HelpNetSecurity, dal titolo “How to build up cybersecurity for medical devices”.
Compito del software è soddisfare dei criteri base di sicurezza ed efficacia, senza causare rischi inaccettabili. Il software, che è parte integrante del dispositivo medico, deve essere così incluso nel piano di gestione del rischio, assciurandosi che sia stato sviluppato secondo le regole.
“Preparing for physicaland cybersecurityconvergence“, Issue 8, scritto da Andrea Biraghi per Longitude, Ottobre 2020.
A comprehensive security strategy in today’s threat environment calls for solutions that take both physical and cyber-security into account, because cyber threats are physical threats too. By thinking of cyber-physical security in a unified way, leaders can invest in advanced digitaltechnology making their network and facilities safer.
Cyber & Physical security Convergence
The physical, real world is becoming more and more saturated with objects that have a computational capacity and that communicate with the network, with each other or with users / citizens. Virtually everything, in the near future, will be interconnected and will have to collect information, make autonomous decisions and respond to predefined stirrings.
In this technology-rich scenario, the components of the real world interact with the cyberspace through sensors, computers, communication systems, quickly leading us towards what has been called the Cyber-Physical World (CPW ) convergence. Flows of information are continuously exchanged between the physical and cyber world, adapting this converged world to human behavior and social dynamics. Eventually, humans remain at the center of this world, since information relating to the context in which they operate is the key element in adapting CPW applications and services. On the other hand, a wave of (human) social networks and structures are now the protagonists of a new way of communicating and computing paradigms.
Concerning this limitless world and linked scenarios, it is important to delve deeper into some of the security issues, challenges and opportunities, because physical security is increasingly looped to cyber security.
Physical and cyber security convergence and the Internet of things
Preparing for physicaland cybersecurityconvergence
By 2020 there will be more than 230 billion active intelligent objects (known as IoT – Internet of Things), 24.4 billion of them will be directly connected to the net- work; each of us is already completely immersed in a technological landscape on which we depend for many elementary actions during the day: for example the car navigator system to move around, the mobile phone or applications to order online shopping and so on.
However, people hardly stop to reflect on the fact that there are also many other elements of their life that absolutely depend on the cyber world. Just to give a few examples in the world of transport, almost all the newly built subways, high-speed trains, aircraft landings in conditions of poor visibility, are all governed by computers that manage the systems to which they are dedicated in an absolutely “human less” way. The subways are therefore “driver less”, the train driver is present only to manage emergencies, in the airplanes the landing with fog is managed by a ground-based automatic system that communicates with the control systems of the plane allowing it to land even without seeing the runway.
We can therefore easily understand the tricky correlation between cyber and physical security of passengers. If someone had the ability to violate any of these systems it could cause damage to human life, thus instantly short-circuiting the cyber and physical world. It is only a first example of how the two realities have now collapsed into a new single universe.
Cyber Security and OT and IT Convergence
Now shift your attention to healthcare, which by technological advances, has allowed us to increase average life expectancy all over the world, not only thanks to drugs but also to electronic devices. Pacemakers and implanted defibrillators that inform doctors in real time about the behavior of your heart and that react to every problem by stimulating the muscle to restart or change pace, all these devices communicate continuously from inside your body with a small box on the outside, in turn connected with the doctor who is treating you. These networked medical devices and other mobile health (mHealth) technologies are a double-edged sword: they have the potential to play a transformational role in health care but at the same time they can become a vehicle that exposes patients and health care providers to safety and cybersecurityrisks such as beinghacked, being infected with malware and being vulnerable to unauthorized access.
Patient safety issues – injury or death – related to networked medical device security vulnerabilities are a critical concern; compromised medical devices also could be used to attack other portions of an organization’s network.
Cyber Attacks on Critical Infrastructure: the virtual warfare
As a further risk scenario for citizens, it is worth analyzing the so-called “essential services” such as water, electricity, gas, which are vital for daily life. All networks that allow your home to receive its own water, electricity and gas, are automatic systems, consisting of sensors, actuators and computers that allow to manage and regulate the flow, pressure, voltage to give everyone an efficient and continuous service. However, the fact that these networks are spread throughout the territory and therefore are so extensive, exposes them to possible attacks that have the purpose of in- terrupting the public service. The temporary lack of light isn’t just a “nuisance” it could involve a real risk to human life. The lack of home heating gas in a northern European nation could easily entail a real risk of hypothermia.
As there is a history of cyber security and virtual warfare becoming real war, with real impact on human life, it may be interesting to report some examples of what really happened (and continues to happen) in the world of critical infrastructures.
In 2005, with the attack, allegedly performed by the United States and Israel, on Iranian nuclear power plants, on centrifuges aimed to enrich uranium in order to develop an atomic bomb, we discovered that even infrastructure considered unassailable from the point of view of cyber security, namely nuclear power plants, were absolutely exposed to attacks. This sabo- tage took place through a malware called Stuxnet and it has been the most advanced used on nuclear infrastructure so far. The malware infected the systems that run the spinning machines and modified the rotation of speed of centrifuges continuously. This compromised the enrichment process and caused severe damage to the plant, with the centrifuges spinning at enormous speed and suddenly slamming on the brakes. The primary intention of the attackers was to slow down Tehran’s nuclear program by destroying the plant, possibly to gain time to complete diplomatic negotiations.
The attackers decided to limit the hit only to the centrifuges, but potentially they could have decided to raise the level of the attack to the total destruction of the nuclear plant.
Don’t make the mistake of thinking that this is something that could have only happened in the past, assuming that today’s cyber security systems allow to fully guarantee the functioning and protection of networks. The reality is that while on one hand the level of cyber protection is now much higher, on the other hand, the refinement of the attacks has also grown ex- ponentially, forcing a security escalation that seems to never end.
Today, for example, Israel turns out to be one of the most attacked nations. By attacking Israeli critical infrastructures, cyber terrorism wants to strike at Jewish citizens and therefore through cyber attacks to threaten real, physical life using this as a lever for geopolitical reasons. Israel is attacked 1,000 times a minute by cyber-terrorists who are largely targeting the country’s infrastructure: water, electricity, communications, and other important services. While the hackers have so far failed to mount a meaningful attack on major systems that might leave Israelis without power, there’s no guarantee it can’t happen in the future.
In fact, the odds are with the cyber-terrorists, at least as far as the Israeli Electric Company (IEC) is concerned, because the company is subject to be- tween 10,000 and 20,000 cyber-attacks each day.
The IEC is treating these attacks as a security emergency, with a 24/7 deployment of top security staff, military-style strategies to outwit, thwart, or fight back against attackers, in order to ensure that attacks do not disable the IEC’s ability to keep the energy flowing.
Cyber security convergence: integrated electronic-cyber warfare is crucial
A cyber-war can inflict the same type of damage as a conventional war. If you want to hit a country severely you hit its power and water supplies. Cyber technology can do this without firing a single bullet. Cybersecurity in this case, is not about saving information or data, it’s about securing the different life systems regulated by computers. It is useful, here, to recall that NATO itself between 2014 and 2016 brought the domains of operations from 4 (land, air, sea, space) to 5, adding the cyber battlefield. It is proof that today cyber-protection cannot be ignored in the safeguard of nations because of the repercussions for the health and safety of citizens.
NATO also reached this decision following the campaign of attacks in Estonia, when in April and May 2007, it became the target of several coordinated cyber attacks. Over a three-week period, government and parliamentary portals, ministries, news outlets, internet service providers, major banks, and small businesses were all targeted, predominantly by a Distributed Denial of Service (DDoS). The offensive coincided with the Estonian government’s decision to relocate the ‘Bronze Soldier Memorial’ in Tallinn, which led to significant civil disturbance in both Estonia and Rus- sia. The vast majority of malicious network traffic was of Russian-language origin and seemed politically motivated. The Russian government denied any involvement, however, the cyber attacks were accompanied by hostile political rhetoric by Russian officials, unfriendly economic measures, and refusal to cooperate with the Estonian investigation in the aftermath of the attacks, all of which likely to have encouraged the perpetrators. The attacks caused some disruption and economic cost to Estonia, but more importantly, they exposed Estonia’s vulnerabilities, and demonstrated the potential of cyber war to cause lasting damage if intended.
Following these attacks, Jaap de Hoop Scheffer, NATO Secretary General (2004-2009), declared:
“These cyber attacks have a security dimension without any doubt and that is the reason that NATO expertise was sent to Estonia to see what can and should be done. […] Does this have a security implication? Yes, it does have a security implication. Is it relevant for NATO? Yes, it is relevant for NATO. It is a subject which I am afraid will stay on the political agenda in the times to come.”
Jaap de Hoop Scheffer, NATO Secretary General
We can only confirm that the Secretary General was absolutely right and today more than ever the issue of cyber security is one of the top priorities for every government, not only for the economic aspects related to financial fraud or the theft of intellectual property that impoverishes a state, but above all because the digitalization of all critical infrastructures and the ubiquitous diffusion of objects connected to the network exponentially increases the potential surface exposed to cyber attacks that can easily have repercussions and impact on the very life of their citizens.
To conclude, we are much more interconnected, we have many more services and “comforts” thanks to the spread of digital technology, but at the same time we are much less safe.
You may be interested to read:
Building up business agility, Longitude, Issue #106, by Andrea Biraghi. Post Covid-19 disruption knocks companies for transformation. That puts CEOs in pressure to take initiatives for leading the age. Envisioning organization requires hard-core decisions as it is all about the business reinvention.
Internet of Things (IoT): tecnologia e innovazione hanno esteso internet ad oggetti e luoghi reali. Ora le cose che si trovano intorno a noi possono interagire con il mondo circostante, reperendo e trasferendo informazioni tra rete internet e mondo reale.
Per funzionare però è indispensabile che la gran mole di dati, da processare raccogliere e analizzare, sia disponibile in tempo reale: in questo caso la tecnologia 5G – quinta generazione degli standard per le connessioni mobile – è in grado di supportare connessioni ad altissima velocità in tempi piuttosto bassi, permettendo la connessione di un numero molto più elevato di dispositivi.
Ecco perchè la Cina, nel 2021, avrà un’intensa attività di lancio di satelliti per la rete spaziale a supporto dello IoT – 80 satelliti nello spazio per completare la rete, in tre fasi, intorno al 2023. L’IoT spaziale avrà un’ampia copertura e consentirà una facile connessione in tutte le condizioni atmosferiche e in molteplici campi.
Internet of Things
Non solo, l’Internet delle cose sta cambiando la scienza e la medicina, nella quale la tecnologia si sta dimostrando un driver importante. Una mole enorme di dati – big data – vengono trasformati dall’intelligenza artificiale in informazioni utili – per diagnosticare e prevenire – in molti settori tra cui quello medico.E nel settore medico i dispostivi IoT possono fare meglio degli umani, estendendosi anche alla sala operatoria ed utilizzati per interventi chirurgici.
Per funzionare però è indispensabile che la gran mole di dati, da processare raccogliere e analizzare, sia disponibile in tempo reale: in questo caso la tecnologia 5G – quinta generazione degli standard per le connessioni mobile – è in grado di supportare connessioni ad altissima velocità in tempi piuttosto bassi, permettendo la connessione di un numero molto più elevato di dispositivi.
Così le previsioni anticipano che che gli investimenti in questa tecnologia cresceranno del 13,6% all’anno fino al 2022. E grazie a nuovi sensori, maggiore potenza di calcolo e connettività mobile affidabile, negli anni a venire ci sarà evidente un’ulteriore crescita.
Internet of Things e sicurezza informatica
Che i sistemi IoT siano esposti a rischi collegati alla sicurezza ben lo sappiamo come siamo consapevoli che sia quindi indispensabile proteggerli e quanto siano importanti soluzioni di cybersecurity per risolvere le loro vulnerabilità.
La CyberSecurity e le sfide ad essa correlate si stanno evolvendo rapidamente, motivo per cui la Commissione europea ha adottato una serie di misure tra cui l’istituzione di un quadro legislativo globale: l’Internet Of Things pone nuove questioni in materia di sicurezza e minacce informatiche
Andrea Biraghi – Infrastrutture critiche e cybersecurity: le sfide alla sicurezza
Il Threat Intelligence Report di NetScout afferma che molti dispositivi IoT possiedono vulnerabilità note che li rednono facili da compromettere se connessi ad Internet. A ciò si aggiunge che molti non dispongono di un meccanismo di aggiornamento software e quindi ad un certo pnto della loro vita destinati a essere vulnerabili. In: IOT E SICUREZZA INFORMATICA: PERCHÈ CONTA
Iot: un caso di reverse engineering
Tutto può essere hackerato: e Martin Hron, un ricercatore della società di sicurezza Avast, ne ha data la dimostrazione. Un dispositivo Iot può essere vulnerabile ad un attacco e in questo caso è una macchina intelligente per il caffè.
L’esperimento di Hron ha trasformato la “caffettiera” in una macchina ransomware, dimostrando che alcuni dispositivi possono anche essere riprogrammati per andare in tilt e richiedere un riscatto da utenti ignari. Nel suo blog il ricercatore parla del suo interessante esperimento The Fresh Smell of ransomed coffee: trasformare un oggetto di tutti i giorni – modificando il firmware della macchina- in una macchina pericolosa per chiedere il riscatto.
Potrebbe farlo anche qualcun altro? Come ci si potrebbe aspettare, la risposta è: sì.
Spionaggioinformatico: oggi le così dette spie lavorano da remoto e attraverso spyware, spyware, attacchi phishing, tecniche di ingegneria sociale e via di seguito, lanciano attacchi informatici su larga scala.
Spionaggio informatico
Tra campagne di spionaggio per colpire i dissidenti di un regime, malware Zero-day per rubare le proprietà intellettuali, propaganda e attività volte a danneggiare le elezioni americane, ora nel centro del mirino ci sono anche le ricerche sul Covid. Non ultimo l’attacco informatico a Tor Vergata, università romana: le spie hacker si sarrebbero introdotte nella rete attraverso un server, rendendo inutilizzabili importanti documenti, come quelli sulle ricerche e le terapie per contrastare il Covid-19.
Quali tattiche vengono usate dalle nuove spie informtiche?
Nella guerra informatica, ad esempio, secondo il rapporto “Cyberspace and the Changing Nature of Warfare” – Kenneth Geers, PhD, CISSP, Naval Criminal Investigative Service (NCIS) – sono utilizzate almeno 5 tattiche comuni ovvero: spionaggio, propaganda, Denial of Service, modifica dei dati, manipolazione dell’infrastruttura. La cyber intelligence può però anticipare un attacco informatico, sapere quando arriverà di che tipologia sarà.
Da quando Internet, grazie all’innovazione, ha superato la sua originale funzione di solo scambio e condivisione di informazioni contemporanemaente è diminuita la sua capacità di garantire i suoi utilizzatori contro i crimini informatici mettendo a rischio l’intera economia. Il problema nasce proprio in base all’origine dello stesso Internet, progettato per consentire elevati livelli di condivisione dei dati ma non per affrontare questioni come il costante aumento dei livelli di complessità e connettività.
Andrea Biraghi, Cyber Security e Cyber Spionaggio: le minacce nel settore automotive in Europa
Spionaggio informatico e la corsa al vaccino Covid
Attacco a Tor Vergata e la corsa al vaccino: sono statai compromessi almeno 100 computer a seguito di un attacco inormatico che ha preso di mira documenti e ricerche sul Covid. I documenti – tra cui terapie e ricerche – sono stati cifrati e resi inutilizzabili. L’università romana non è stata la prima struttura sanitaria – specializzata nel Coronavirus – ad essere attaccata. Un caso analogo è accaduto allo Spallanzani nel Marzo 2020. Leggi su Key4Bitz
Spagna e vaccino Covid: hacker cinesi rubano i dati ricerca. Il Quotidiano El Pays ha riportato l’attacco, è la “corsa per individuare un rimedio contro la pandemia” ed ha precisato che i servizi di intelligence di questi paesi si sono scambiati informazioni utili ad evitare questo rischio. Leggi su AdnKronos
Campagne di sorveglianza e propaganda
I ricercatori hanno scoperto 6 anni di una campagna di Cyber Espionage contro dissidenti iraniani: la campagna è stata orchestrata per Windows e Android – utilizzando un ampio arsenale di strumenti di intrusione sotto forma di backdoor progettate per rubare documenti personali, password, messaggi Telegram, e codici di autenticazione a due fattori dai messaggi SMS. Su HackerNews
Nuovi attacchi per contrastare le elezioni USA: FireEye, azienda di sicurezza informatica, ritiene che il gruppo hacker russo APT28, già noto per aver effettuato attività per danneggiare le elezioni americane del 2016, si stia preparando a sferrare nuovi attacchi, con l’obiettivo di danneggiare anche le prossime elezioni americane di novembre. Leggi: Perchè le elezioni USA 2020 sono al centro delle priorità per la sicurezza – Andrea Biraghi
SicurezzainformaticaeCovid: durante la pandemia i Cyber criminali approfittano della nostre vulnerabilità, che non sono solo quelle informatiche ma sono quelle più umane, legate alle emozioni, alle paure vere e proprie.
Ci stiamo però adattando ad una nuova realtà, fatta anche di lavoro da casa dove abbiamo già visto, in altra sede, quali sono le sfide da sostenere per il solo smart working.
Lavoro da remoto: un impatto sicuramente forte lo ha avuto la nuova modalità di lavoro che molte aziene hanno dovuto obbligatoriamente sostenere: chi non ne ha sofferto sono le aziende più sviluppate, soprattutto quelle legate al settore tech e digital. Soprattutto la riduzione del numero di persone che si recano in uffcio ha avuto un impatto molto positivo sull’ambiente, il che ha significato: meno traffico, meno inquinamento, qualità di vita maggiore. Ma il lavoro da remoto ha espanso anche i rischi delle imprese e gli attacchi informatici sono aumentati in modo esponenziale.
Andrea Biraghi – Sicurezza informatica e smart working: le nuove sfide post Covid
La transizione al lavoro da remoto ha infatti spostato gran parte delle attività al di fuori del perimetro di sicurezza aziendale aumentando l’esposizione delle reti a rischio così di cyber attacchi. A riguardo sono stati recentemente pubblicati due report prodotti da Enterprise Strategic Group (ESG) e International Systems Security Association (ISSA): il Life and Times of Cybersecurity Professionals 2020 e The Impact of the COVID-19 Pandemic on Cybersecurity. .
Quello che emerge è la situazione da parte dei professionisti di sicurezza messi particolarmente alla prova da attacchi distruttivi, ransomware, phishing, correlati al COVID-19 e aumentati durante la pandemia. A questo si aggiunge il perimetro di sicurezza, le vulnerabilità e le minacce che prendono di mira gli smartphone.
Covid e sicurezza informatica: le statistiche da brivido raccolte da ZDNet
Su ZDNet si trovano 10 statistiche che hanno per oggetto il Covid19 e la sicurezza: al “quarto posto” e non per ordine di importanza c’è una statistica prodotta nel Verizon Business 2020 Data Breach Investigations Report. La statistica afferma che anche prima della pandemia, il furto di credenziali e il phishing erano al centro di oltre il 67% delle violazioni, ma in un test eseguito alla fine di marzo, i ricercatori hanno scoperto che gli utenti hanno una probabilità tre volte maggiore di fare clic su un collegamento di phishing e quindi inserire le proprie credenziali rispetto a prima del COVID. Ovviamente, le email di phishing contegono spesso parole come “COVID” o “coronavirus”, “maschere”, “test”, “quarantena” e “vaccino”. Vuoi non cliccarci su o scaricare l’allegato? Sbagliato.
I criminali informatici si avantaggiano delle vulnerabilità che sono anche i nostri dubbi e le paure di questa nuova pandemia con lo scopo di estorcere denaro e dati. Non bisogna avere paura, o dubitare: prima di toccare qualsiasi cosa, è fondamentale controllare e accertarsi della fonte o chiedere alla stessa azienda, la conferma della tale.
Cybersecurity e sicurezza dei sistemispaziali: la Casa Bianca ha emesso una nuova serie di principi – e di migliori pratiche – per la sicurezza informatica – la protezione dei sistemi informativi, delle reti e dei canali di comunicazione wireless dipendenti dalla radiofrequenza – per proteggere i suoi investimenti infrastrutturali commerciali e critici nello spazio.
Il Consigliere per la sicurezza nazionale Robert O’Brien ha dichiarato anche che si impegneranno per “proteggere il popolo americano da tutte le minacce informatiche alle infrastrutture critiche, alla salute e alla sicurezza pubblica e alla nostra sicurezza economica e nazionale, compresi i sistemi e le capacità spaziali americane.”
Cybersecurity e sistemi spaziali: i principi di sicurezza della National Space Security
I nuovi principi di sicurezza della National Space Council sono stati redatti con l’obiettivo di aiutare a difendere i sistemi spaziali americani e le infrastrutture critiche dalle minacce informatiche. La Space Policy Directive-5, o SPD-5, promuoverà pratiche all’interno del governo e delle operazioni spaziali commerciali.
Esempi di attività informatiche dannose per le operazioni spaziali includono lo spoofing dei dati dei sensori, l’inceppamento di comandi non autorizzati per la guida e il controllo, codice dannoso e attacchi denial-of-service.
I principi della SPD-5 per i sistemi spaziali sono:
I sistemi spaziali e la loro infrastruttura di supporto, incluso il software, dovrebbero essere sviluppati e gestiti utilizzando un’ingegneria basata sul rischio e informata sulla sicurezza informatica.
I piani per la sicurezza informatica devono essere sviluppati e integrati dagli operatori dei sistemi spaziali e includre capacità di protezione contro accessi non autorizzati; ridurre le vulnerabilità dei sistemi di comando, controllo e telemetria; proteggere contro l’inceppamento e lo spoofing delle comunicazioni; proteggere i sistemi di terra dalle minacce informatiche; promuovere l’adozione di adeguate pratiche igieniche in materia di cybersecurity; e gestire i rischi della supply chain.
I requisiti e le normative di sicurezza informatica del sistema spaziale dovrebbero sfruttare le migliori pratiche e le norme di comportamento ampiamente adottate.
Best pratices, approci di mitigazione e collaborazione da parte dei proprietari e gli operatori dei sistemi spaziali
Gli operatori dei sistemi spaziali dovrebbero effettuare operazioni di rischio appropriate quando implementano requisiti di sicurezza informatica specifici per il loro sistema.
Ransomware 2020: l’Italia secondo le analisi e il report di TrendMicro è uno dei paesi più colpiti al mondo.
Ransomware 2020
Nell’ultimo mese, Luglio 2020, il numero degli attacchi informatici è aumentato rispetto al mese di giugno. Secondo TG Soft Cyber Security Specialist – TGSoft.it – c’è una crescita del numero dei cluster di malware rispetto al mese precedente. Secondo il Cyber Threat Report di Luglio, nella prima parte del mese è stata registrao un aumento dei malware attraverso campagne malspam, vari password stealer come AgentTesla, MassLogger e FormBook.
Ma la novità, tra le minacce informatiche, c’è il ritorno di Emotet, famoso per essere il più pericoloso framework criminale di cyber spionaggio.
Dal 21 luglio il malware Emotet ha iniziato a “spammare” anche in Italia. Fino al 24 luglio abbiamo una diversificazione di campagne malspam, dove diverse tipologie di malware si sono alternate in quelle settimane. Nell’ultima settimana di luglio vi è una predominanza di Emotet e AgentTesla.
Cyber Threat Report Luglio 2020 – TG Soft
Emotet, che nel tempo ha con un numero indefinito di varianti e con una serie non precisata di nomi differenti, è attualmente il malware più temuto in circolazione.
Secondo l’analisi di Security Affairs a metà agosto, il malware è stato impiegato nella nuova campagna di spam a tema COVID19: ora la botnet Emotet ha iniziato a utilizzare un nuovo modello “Red Dawn” che mostra il messaggio “Questo documento è protetto” e informa gli utenti che l’anteprima non è disponibile nel tentativo di indurlo a fare clic su “Abilita modifica” e “Abilita contenuto” per accedere al contenuto.
Ransomware, Malware e Macro Malware: la situazione in Italia
In classifica nel report annuale di TrendMicro Italia, per quanto riguarda il 2019, l’Italia è seconda in Europa per attacchi ransomware subiti, mentre su scala mondiale è settimo per malware e quarto per macromalware. Le considerazioni poi della società di sicurezza informatica Forrester hanno prevsito una crescita, nel 2020, degli incidenti causati da attacchi ransomware “Gli aggressori sempre più esperti, indirizzeranno i loro attacchi a dispositivi di consumo (e ai consumatori) a scapito dei produttori di dispositivi“. I principali cambiamenti che stanno già avvenendo infatti si basano sull’evoluzione dell’intelligenza artificiale, gli attacchi all’integrità mediante deepfakes, e l’implementazione della tecnologia anti-sorveglianza.
Malware e ransomware continuano a rappresentare una minaccia per le aziende e i recenti attacchi contro imprese di rilevazna nazionale non fanno latro che evidenziare la crescita delle pratiche del cyber crime.
Rassegna stampa del 24 Agosto di AndreaBiraghi: le ultimenotizie su cybersecurity e attacchi informatici.
Cybersecurity: hackers iraniani prendono di mira Asia e Russia con il ransomware DHARMA
Hackers iraniani – si dice poco qualificati, secondo quanto afferma la società di sicurezza informatica Group-IB – hanno preso di mira aziende in Russia, Giappone, Cina e India. Gli attaccanti hanno cercato di crittografare le loro reti.
“Dharma è una nuova variante di Crysis – un ransomware-virus molto pericoloso. A seguito della sua infiltrazione, Dharma cripta i file memorizzati utilizzando la crittografia asimmetrica. Inoltre, questo ransomware aggiunge l’estensione”
Gli hacker principianti hanno utilizzato strumenti di hacking disponibili pubblicamente, open source su GitHub o scaricati dai canali di hacking di Telegram.
Cybersecurity: rischio malware i file condivisi su Google Drive
A. Nikoci ha spiegato a The Hacker News come una falla di sistema potrebbe indurre gli utenti a scaricare un malware tramite un aggiornamento: i file condivisi su Google Drive potrebbero non essere sicuri a causa di una falla segnalata a Mountain View che non risulta ancora aver rilasciato alcuna patch.
Questa falla sfruttata dagli attaccanti – con lo scopo di distribuire file dannosi camuffati da documenti o immagini legittimi – consentirebbe di eseguire attacchi di spear phishing con un alto tasso di successo.
L’FBI e la NSA hanno pubblicato un rapporto sul malware basato in Russia che attacca Linux noto come Drovorub.
Drovorub utilizza un rootkit del modulo del kernel consentendo di controllare il computer da remoto, evitando ogni suo rilevamento mentre è in azione. Il malware è facile da individuare se si scaricano informazioni non elaborate dalla rete, ma il modulo del kernel quindi lo rende difficile da trovare, agganciando molte delle sue funzioni in modo che i processi possano essere nascosti.
La fonte del malware è stata rintracciata presso il GRU, Direttorato principale per l’informazione e servizio informazioni delle forze armate russe
Andrea Biraghi ultime notizie su sicurezza informatica
I ricercatori di sicurezza informatica hanno condiviso uno degli utlimi dettagli della Conferenza Black Hat USA 2020, e spiegano come sia possibile – tramite semplici apparecciature del valore di 300 dollari – intercettare il traffico Internet via satellite per curiosare nei dati.
Nuove vulnerabilità trovate nei gateway industriali dai ricercatori di sicurezza di Trend Micro: non tutti prestano attenzione alla sicurezza informatica ma gli attacchi critici sono dietro l’angolo.
Intercettazioni satellitari: i ricercatori di sicurezza informatica hanno condiviso uno degli utlimi dettagli della Conferenza Black Hat USA 2020, e spiegano come sia possibile – tramite semplici apparecciature del valore di 300 dollari – intercettare il traffico Internet via satellite per curiosare nei dati.
Intercettazioni satellitari
La ricerca, di James Pavur, Studente di Computer Science della Oxford University, è stata pubblicata sul sito web BlackHat.com, da dove si possono scaricare le slides di presentazione. All’interno del briefing si trova uno sguardo sperimentale all’attacco delle comunicazioni satellitari a banda larga nei tre domini terra, aria e mare. Ma la parta più preccupante è data dall’affermazione che un utente malintenzionato, utilizzando solo apparecchiature domestiche del valore di 300 dollari circa, può spiare queste comunicazioni a migliaia di chilometri di distanza senza correre il rischio di essere rilevato. Tutto ciò che occorre sono un’antenna satellitare e un sintonizzatore satellitare per la trasmissione di video digitali.
Intercettazioni e Attacchi alle comunicazioni satellitari
Le minacce alle intercettazioni satellitari utilizzano due distinti protocolli di comunicazione: DVB-S MPE e DVBS-2 GSE e ciò rappresenta una minaccia critica per la privacy e la sicurezza delle comunicazioni.
Questa minaccia viene contestualizzata attraverso l’analisi di terabyte di registrazioni di traffico satellitare nel mondo reale e vengono presentati i casi più interessanti delle aqcuisizioni contententi dati sensibili di alcune delle più grandi organizzazzioni del mondo. I dati provengono da utenti domstici a banda larga, da parchi eolici, dalle petroliere agli aerei. Viene poi dimostrato che alle giuste condizioni gli aggressori possono persino dirottare sessioni attive.
Internet via satellite sta attualmente potenziando la comunicazione in diversi settori. Pertanto, tali attacchi al traffico Internet via satellite hanno reso tutte queste industrie vulnerabili al cyber spionaggio.
Ma lo studio suggerisce – soprattutto in epoca di eplorazioni spaziali – anche gli strumenti per superare tali vulnerabilità, tra cui uno strumento open source che i singoli clienti possono utilizzare per crittografare il proprio traffico senza richiedere il coinvolgimento dell’ISP.
Perchè le elezioni USA 2020 sono al centro delle priorità volte alla sicurezza? Le elezioni possono essere violate a livello informatico? Il solo fatto che la sicurezza elettorale sia nel centro del mirino della sicurezza dovrebbe far pensare.
Elezioni USA 2020: la sicurezza come priorità contro gli attacchi informatici
Uno dei rischi principali è la disinformazione che corre sui social insieme alle molte fake news che abbiamo potuto sperimentare tutti durante la prima ondata di pandemia Covid.
Già a Gennaio abbiamo visto che con le elezioni presidenziali degli Stati Uniti 2020 i deepfakes sarebbero stati sfruttati per tentare di screditare i candidati e inviare messaggi politici falsi agli elettori attraverso i social media. Un altro problema che si potrebbe presentare è quello relativo ai ransomware ed ecco perchè c’è in gioco un piano per mettere in sicurezza i database degli elettori registrati. Un ransomware infatti, potrebbe “catturare” i dati degli elettori e mettere in ginocchio i seggi elettorali. e veniamo al punto più interessante, ovvero la ricompensa che il Dipartimento di Stato americano darà a chi darà informazioni utili ad identificare gli hacker che intendono influenzare le elezioni.
Più che una ricompensa Key4Bitz.it parla di una vera e propria taglia di 10 milioni di dollari volta a ottenere “informazioni per l’identificazione o l’ubicazione di qualsiasi persona che, mentre agisce sotto la direzione o sotto il controllo di un governo straniero, interferisce con elezioni federali, statali o locali degli Stati Uniti aiutando o favorendo una violazione della sezione 1030 del titolo 18”
Elezioni USA 2020: dubbi sulla sicurezza del voto online
Ma non solo ransomware e deepfake: un nuovo rapporto dei ricercatori del Massachusetts Institute of Technology (MIT) e dell’Università del Michigan discute le vulnerabilità della sicurezza informatica associate a OmniBallot, un sistema basato sul web per la consegna delle schede bianche, la votazione delle schede elettorali e (facoltativamente) il voto online, consentito nello Delaware, in West Virginia e New Jersey. Il sistema di voto online OmniBallot infatti è vulnerabile alla manipolazione da parte di malware sui dispositivi dell’elettore, mettendo anche a repentaglio la segretezza del voto oltre consentire ai criminali di modificare gli esiti senza essere scoperti.
Sicurezza elettorale 2020: difendere l’integrità del voto
Il tema della sicurezza elettorale del 2020 è diventato il punto principale dell’agenda sulla sicurezza informatica per i governi federali, statali e locali. Garantire il processo di voto è fondamentale e come se non bastasse la pandemia di COVID 19 sta contribuendo con effetti diretti ed indiretti oltre alle raffiche incessanti di nuove minacce informatiche. A questo si deve sommare l’impegno attuale della sicurezza perchè le elezioni del 2020 non siano una ripetizione di quelle del 2016 per quanto riguarda l’interferenza straniera (o, peggio ancora, l’hacking) nei processi di voto democratico.
Ma cosa succedeva nel lontano 2016? Nel 2016, gli aggressori russi hanno tentato di hackerare i sistemi di voto controllati dallo stato, incluso il tentativo di violazione di una società di software che fornisce software agli uffici di voto locali per verificare l’identità degli elettori. Il bottino più cispicuo è stato rubare i dati personali di 500.000 elettori in un unico stato. A tutto ciò va sommata la minaccia delle vulnerabilità e delle applicazioni e piattaforme di voto.
Ora più che mai – scrive Repubblica.it – per l’Intelligence Usa non ci sono dubbi, la Russia di Vladimir Putin ha dato il via a una nuova offensiva – proprio come nel 2016, ma con azioni ancora più sofisticate – per danneggiare Joe Biden e far rieleggere Donald Trump alla Casa Bianca.
Le rinnovate preoccupazioni sull’integrità dei sistemi di voto vedono la sicurezza informatica una delle maggiori minacce del sistema, ampiamente sottofinanziata ed in certa misura trascurata anche negli USA.
Sicurezzainformatica e smartworking: durante il lockdown si sono moltiplicati i rischi informatici. La transizione al lavoro da remoto ha infatti spostato gran parte delle attività al di fuori del perimetro di sicurezza aziendale aumentando l’esposizione delle reti a rischio così di cyber attacchi. La consapevolezza di rischi informatici sta aumentando nella popolazione ma non è sufficiente. Vanno studiati i budget per la sicurezza informatica e dare priorità agli investimenti per migliorare la resilienza.
… una forzata digitalizzazione, laddove non vi era la necessaria preparazione, l’aumento di forza lavoro da remoto, ha reso il panorama ancora più precario. In questo modo la superficie di attacco è aumentata a dismisura ma la tendenza attuale non può essere fermata: le tendenze in atto oggi sono necessarie ed accelereranno ancora con la necessità sempre più forte di una forza lavoro mobile e distribuita. In questo senso la sicurezza informatica deve porsi oggi l’obiettivo di essere ancora più flessibile e se necessario reinventarsi. Imparare l’agilità aziendale.
Andrea Biraghi, Cybersecurity e Covid: agilità e resilienza contro le minacce informatiche
La forza lavoro da remoto aumenta la superificie di attacco
Così la situazione attuale è che le organizzazioni devono agire rapidamente per mitigare i rischi creati da un improvviso passaggio al lavoro remoto.
Vi sono nuove soluzioni? Per bloccare le minacce e operare una vera e propria protezione nei settori pubblici e privati e per garantire la continuità dei servizi essenziali o strategici Laonardo Spa ha fatto partnership con CrowdStrike. Leonardo renderà disponibile la piattaforma Falcon® di CrowdStrike, soluzione innovativa basata sull’Intelligenza Artificiale nativa sul cloud. La piattaforma contiene: antivirus di nuova generazione, “IT hygiene”, rilevazione e risposta degli endpoint, cyber threat intelligence e ricerca proattiva della minaccia attraverso un unico agent, per bloccare le intrusioni informatiche nel complesso scenario attuale. Non dimentichimo però che i cambiamenti apportati dalla pandemia globale COVID 19 stanno esacerbando le vulnerabilità nell’economia globale, tra cui il rischio di paralizzare gli attacchi informatici contro infrastrutture critiche come la rete elettrica. Vd Infrastrutture critiche: il Covid moltiplica i rischi
Sicurezza informatica e smart working
L’incertezza continua delle nazioni circa la pandemia di Covid ha spinto le aziende e le organizzazioni a continuare con il lavoro da casa: nel prossimo anno molti hanno scelto infatti di mantenere posti di lavoro virtuali o semi-remoti e possibilmente per sempre. Questa decisione riguarda ad esempio le piattaforme e-commerce come Shopify o Facebook, che vorrebbero trafromare il lavoro in lavoro da remoto come impostazione predefinita. Ma per rendere effettiva e sicura questa scelta le aziende dovrebbero cambiare le loro strategie di sicurezza informatica, compreso aggiungere la formazione dei loro dipendenti.
Sappiamo infatti che il maggior numero di attacchi informatici ha successo a causa delle distrazioni ed errori umani compresa la possibilità di auemnto di attacchi di ingegneria sociale contro i lavoratori a domicilio, il cui benessere emotivo diventa il fulcro delle nuove attenzioni verso una maggiore resilienza.
In ogni caso le sfide legate a COVID-19 saranno la base per il prossimo futuro e la forza lavoro virtuale sarà l’oggetto di molti cyber attacchi basati sulle vulnerabilità di sistemi operativi e applicazioni.
Un altro problema, elencato anche nei 6 principali trend di sicurezza informatica da tenere d’occhio per la Black Hat Conference USA 2020, è la sicurezza della comunicazione dei dispostivi mobili. I dispostivi mobili e la loro sicurezza sono quindi sotto la lente di ingrandimento per trovare una serie di vulnerabilità hardware e software da problemi di privacy a problemi di integrità. Per non dimenticare un impegno del tutto nuovo per i dispositivi IoT. [Vd . Cyber Security 2019: i nuovi trend a cui si si prepara la sicurezza]
Marc Rogers, executive director of cybersecurity di Okta ha affermato che:
Con tutti al mondo che lavorano in remoto, i dispositivi e i sistemi che utilizziamo per comunicare sono sotto controllo più che mai sia dai bravi ragazzi che dai cattivi. Di conseguenza, la ricerca in questo settore è davvero decollata.
Marc Rogers
“we’ll see industrial control system (ICS) risk discussions, as well as a completely new take on IoT security risks, at DEF CON’s HacktheSea village and hackasat Space Security Challenge 2020, focused on infiltrating satellites — showing anything can be breached from the sea to the stars.”
Samantha Humphries, security strategist, Exabeam – Top 6 cybersecurity trends to watch for at Black Hat USA 2020
Cybersecurity e Covid: Il ruolo della Cybersecurity durante il Covid 19si è dimostrato essenziale: durante la pandemia molte aziende sono state messe a rischio. Tuttavia la lezione più importante è stata chiara: sicurezza informatica e pandemia hanno una cosa in comune, l’imprevedibilità. E’ qualcosa che si può aggiustare? Si con una maggiore resilienza, ma soprattutto reinventandosi ogni giorno.
Un concetto che viene insegnato agli studenti di sicurezza informatica è che non c’è alcuna sicurezza assoluta: ovvero “nessuna iniziativa di sicurezza e’ tale da garantire, con assoluta certezza, l’ assenza di rischi informatici“. Questo aiuta a stare sempre in guardia, in teoria.
Durante la pandemia, però. si sono digeriti altri concetti, uno dei quali parifica ciò che è successo con il Covid al campo della cybersecurity: allo stesso modo di un nuovo malaware o ransomware, non ci è stato possibile prevedere come il nuovo Coronavirus avrebbe influenzato – e in quale misura – le nostre vite, la nostra società, la nostra economia.
Inoltre una forzata digitalizzazione, laddove non vi era la necessaria preparazione, l’aumento di forza lavoro da remoto, ha reso il panorama ancora più precario. In questo modo la superficie di attacco è aumentata a dismisura ma la tendenza attuale non può essere fermata: le tendenze in atto oggi sono necessarie ed accelereranno ancora con la necessità sempre più forte di una forza lavoro mobile e distribuita. In questo senso la sicurezza informatica deve porsi oggi l’obiettivo di essere ancora più flessibile e se necessario reinvetarsi. Imparare l’agilità aziendale.
Le big tech stano lavorando all’l’Internet of Things (IoT) e il numero di dispostivi IoT potrebbe raggiungere 41,6 miliardi d entro il 2025, mentre gli ambienti multicliud continuano ad aumentare. E’ chiaro che serve una nuova spinta nel senso di velocità e agilità stessa delle imprese che lavorano nell’IT.
Qunidi ad oggi sappaimo dell’esitenza di minacce note ma sappiamo e ci rendiamo conto di quanto possano danneggiarci quelle ignote. Attraverso la cyber intelligence si può anticipare un attacco informatico, sapere quando arriverà di che tipologia sarà. Ed oggi più che mai conoscere la geopolitica del Cyber Spazio e usare metodologie di intelligence per la cybersecurity può contribuire a fronteggiare attacchi informatici e vulnerabilità nel modo più efficiente e veloce.
Cybersecurity e Covid: i rischi informatici sono ancora in corso
Se la chiave per vincere le minacce informatiche è basata sulla preparazione e sulla stessa innovazione bisogna avere ben chiaro che uno dei principali fattori di successo sarà un solido framework di cyber resilienza, dove i principi chiave sono l’adattabilità – alle minacce – e la prevedibilità – alle incognite.
Tuttavia, se ancora non sappiamo quanto durerà ancora la pandemia di Covid, possiamo essere certi che la trasformazione tecnologica continuerà anche molto tempo dopo che il Covid scomparirà.
E’ importante capire quindi che pianificarne lo sviluppo con agilità e modelli è strettamente necessario.
Su WeForum un articolo interessante – COVID-19 has disrupted cybersecurity, too – here’s how businesses can decrease their risk – ci parla di tre principali passi di durata diversa per le sfide attuali della Cybersecurity:
Durata immediata (da 0 a 3 mesi): a causa delle nuove modalità di lavoro – smart working e remote working – le aziende devono garantire l’accesso remoto ed intensificare gli sforzi anti-phishing e rafforzare la continuità aziendale. Necessario: un’adeguata formazione a livello informatico, monitoraggio dell’attività su risorse critiche.
Breve termine (da 3 a 6 mesi): sapere prendere le decisioni giuste e dare priorità alle azioni corrette non è cosa scontata. Necessario: la sicurezza degli utenti finali e dei dati.
Medio-lungo termine (12 mesi): pensare a più lungo termine è divenuto obbligatorio, per la sicurezza di processi e architetture. Necessario: dare priorità e accelerare l’esecuzione di progetti critici come Zero Trust, Software Defined Security, Secure Access Service Edge (SASE) e Identity and Access Management (IAM), nonché l’automazione per migliorare la sicurezza di utenti, dispositivi e dati remoti .
Digitaltransformation amazing challenge: opportunities and need of change to survive and thrive. Andrea Biraghi
2020 represents a decisive year in the world of service companies, not only for the economic impact that the Covid-19 pandemic has had and will have, but also because it will be the watershed among the companies that will be able to seize this opportunity/need of change to be able to survive and then thrive, and those that will remain anchored to an old way of operating.
If, on the one hand, manufacturing companies are closely linked to the production sites where workers work, the whole world of the economy of digital and financial services has had to suddenly work remotely, through the so-called smart or agile working. There are countries where this habit was much more developed, for example in the Scandinavian peninsula where 21% of people already worked remotely in 2019, but there are countries like Italy where only 6% of workers had the opportunity to work from home. The global average of remote working in developed countries is around 15% for this type of company, with a continuous growth rate in recent years.
Digital tranformation amazing challenge!
The reasons that are given in the United States to justify the choice of remote work are the greater productivity (many managers report that by working remotely the teams have increased their results by 28%), the reduced turnover (25% less than to companies that do not allow it), employees satisfaction (many statistics report that in the USA, employees with the possibility of working remotely are willing to even see their wages cut in order to have a flexible work), the ability to attract talent (for millennials this possibility is a driver in choosing a job).
In 2020, within two weeks, the world of service companies brought 90% of their employees into smart working, in all the countries affected by the pandemic, with no appreciable differences between them.
This impressive acceleration brings with it several consequences, which impact directly on the whole society, we think about the reduction of traffic in the cities, the time saved for commuting, the contact between colleagues that has become exclusively virtual, the need for managers to have to evaluate their resources by achieving the assigned objectives, rather than measuring their presence in the office. But in order to be efficient and prepared for this change, companies must also face important technological challenges, we think of the need to guarantee broadband for each employee, to provide IT tools for collaboration (sharing, video conferencing, cloud, etc.), to review totally the problem of the protection of its computer networks and of its intellectual capital. At a European level in Italy, Spain, France and Germany, most of the organizations presented themselves unprepared for this appointment, especially as regards the protection of their data; United Kingdom, thanks to its bond with the United States, is certainly ahead on these issues and was therefore more ready.
Digital Transformation: let’s analyse two important aspects that this change has entailed
Starting from the more strictly cultural and organizational context, it should be noted that many organizations have suddenly discovered that they are able to perform equally well in this new modality, and that this change in many cases increases the productivity and satisfaction of the employees, who manage to improve the personal work/life balance sheet. We must therefore expect that we will not go back from this situation, or rather that we will not return to a formula that sees the work done in the office as almost exclusive, but instead we will have a significant part of employees who will remain working from home.
It is worth reporting what Jack Dorsey (Twitter CEO) said, who in recent weeks has offered all employees the possibility of remote working forever. Google, Facebook and Microsoft have already announced that at least throughout 2020, employees will remain working from home. This testifies that even companies that operate in such competitive markets as that of social media and digital, are able to operate in the same way, or better, even with their employees in smart working. It will certainly be complicated for large, more “old-style” organizations to reach such flexibility, but certainly it will never return to the pre-Covid state.
Having a 30% of its employees working remotely, it would also mean that the current offices are oversized by 30% and if we think about the real estate market for business, you can easily understand what huge impact we will have, with a drop in demand a third of the offer; it is a significant saving opportunity for companies and will certainly be seized. But on the other hand, cities such as New York, London and Milan that have built their wealth also on the real estate market for businesses and organizations, will necessarily have to revise the business plans of many new construction projects.
Another not insignificant impact will be on the supply chain linked to the people who work in the offices, we think only of catering with canteens, bars and restaurants, but also of cleaning companies, taxis and so on. The reduction in the number of people in the office, on the other hand, will also lead to a reduction in traffic and the use of public transport, especially in the so-called rush hours, for the benefit of the environment and quality of life. Certainly, the possible psychological consequences caused by this lack of physical sociability are still to be explored, but for the advantages described above, we believe that it will be difficult to go back completely.
The second aspect to be explored here is related to technology. From this point of view the challenge and the opportunities are equally great, we first highlighted the need to equip all its employees with adequate tools to be able to “simulate” the presence in the office ensuring the same level of productivity, but this is a pretty simple topic to deal with, it is a matter of choosing the best technologies, purchasing them and then making them available to employees. Much more complex is the problem related to the protection of one of the most important asset for almost all companies, the data. The data that are patents, software, financial data or design, represent the true wealth of a company, protecting them therefore becomes crucial to keep their organization competitive. Remember that cyber-attacks cause damage estimated at 2/3 trillion dollars worldwide every year: stealing research and development is much cheaper and faster than doing them; it is a shortcut that is very often undertaken.
A technological challenge
Digital transformation: smart working.
To protect a company or organization, the so-called perimeter exposed to attacks must be considered, the wider it is, the more complex its defence is. Theoretically a company that has all its data stored in a single server not connected to the internet and without any communication port is 100% protected, but would be so inefficient from a working point of view, for the employees who have to operate, that fact is unachievable. Companies therefore try to find the best compromise between safety and work efficiency, increasing the possibility of accessing data through internet connections, the choice to move their data to the cloud is a direct consequence. With smart working this has pushed itself to the maximum consequences, increasing the so-called “surface exposed” to potential attacks, to a level never experienced before.
We are therefore faced with a compelling and crucial challenge, only if the cyber security experts manage to adequately protect the infrastructures, even in this new configuration so extensive, smart working will continue to be used and grow as a stable working mode; if instead it turns out that the level of risk (and therefore the related cost) is too high, we will have that only some sectors will be able to continue working remotely, while the people who work on the most critical assets will return to work in more closed perimeters and therefore more easily defensible.
Digital transformation: a technological and human challengein Cybersecurity
It is not only a technological challenge, but also and above all, a human one, cyber security has in fact a very important human component, it must be emphasized here that 90% of the attacks that are brought to organizations still go through wrong employee behaviour or through email phishing. So it will be fundamental specific training for their workers and an organization dedicated to them, available 24 hours a day, will therefore be even more important, given that people in “nimble” mode work at times that were not previously planned, while remaining always connected to the corporate network. Remote working considerably increases the exchange of emails when compared to traditional office work (there has been a 47% increase in the two Covid-19 months compared to the same period of 2019), this consequently increases the risk of phishing, because having more emails to read it can inadvertently happen to open the wrong one with disastrous consequences.
Digital transformation: Companies must therefore plan the hiring and training of qualified personnel, equip them with the appropriate digital tools to fight this new and complex battle and must foresee the need to invest in Cyber Security part of the savings/earnings obtained by Digital Transformation if they want avoid it may become a digital disaster.
You can therefore understand how this change, which companies have “suffered” because of Covid-19, can really be a crucial moment in their path of growth, because if they manage to seize this opportunity without losing efficiency, profitability and competitiveness, then they will find themselves having made a significant part of the digital transformation process which for many years has been invoked as the indispensable step to bring businesses into the future. Transformation that can only take place if done “in safety”, in another word by guaranteeing the protection of data and therefore of revenues. Moreover, it will be a change that will have important and significant repercussions also on civil society and on the lives of the people who make up the companies themselves, the workers.
You can download the full article in pdf here: Longitude, Building up business agility, Issue #106, by Andrea Biraghi
Cyberwar2020: i cyber sabotaggi sembrano avere nemici invisibili. Nelle ultime settimane infatti l’Iran ha affrontato un’ondata mortale di esplosioni e incendi in siti militari e civili sensibili, tra cui un incidente che ha causato danni enormi a un’importante struttura nucleare. Nessuno così sa ufficialmente perché stia accadendo o chi sia il responsabile.
Nel mese di giugno 2020 intanto – come si legge su SecurityAffairs.it – si sono verificati due attacchi informatici: secondo i funzionari, l’infrastruttura interessata non ha avuto alcun danno.
Cyberwar 2020: cybersabotaggi alle infrastrutture militari e civili
Due esplosioni si sono verificate il 26 Giugno e il 30 Giugno 2020: una abbastanza importante ha colpito il complesso della produzione missilistica di Khojir, considerata vitale per le capacità missilistiche dell’Iran. Una seconda esplosione ha avuto luogo in in una clinica medica a nord della capitale, Teheran – uccidendo 19 persone.
Ma non finisce qui: il 2 luglio 2020, infatti, si è verificata un’altra esplosione seguita da un massiccio incendio nella centrale nucleare sotterranea di Natanz, un componente chiave degli sforzi di arricchimento dell’uranio nel paese, con la conseguenza di un ritardo nella produzione delle centrifughe che potrebbero variare da un periodo di mesi ad anni.
Tutt’ora sembra non sia chiaro cosa sia successo, ma il capo dell’intelligence israeliana, Yossi Cohen – ha dichiarato al New York Times la scorsa settimana che Israele aveva fatto esplodere una bomba. Mentre Dalia Dassa Kaye – direttrice del Center for Middle East Public Policy presso la RAND Corporation- ha affermato che esista concretamente “un modello di escalation e un contesto che suggerirebbe un motivo da parte israeliana per colpire gli iraniani”.
Gli eventi che si sono svolti più di 10 anni fa – Stuxnet – di per sé non possono costituire alcuna prova delle cose che accadono oggi.
Olejnik, cybersecurity researcher and consultant.
Cyberwar 2020: siamo nel pieno di uno cyber guerra tra Israele ed Iran?
Cyberwar 2020: tra gli obiettivi degli attacchi informatici le infrastrutturecritiche. Secondo quanto riportato da SecurityAffairs sembra che gli ultimi attacchi gli analisti della sicurezza abbiano affermato che ci troviamo nel mezzo di una guerra cinbernetica in cui Israele e Iran sono tra gli attori.
A Maggio 2020 dopo pochi giorni dall’incursione informatica nel sistema idrico israeliano, un attacco hacker “altamente accurato” ha bloccato il porto di Shahid Rajaee sul Golfo Persico. L’Iran aveva negato di aver compiuto il primo attacco ma la risposta di Israele – se è stata una sua risposta – sembra avere un significato con un messaggio preciso: le infrastrutturecivili sono un obiettivo inaccettabile per il cyber.
Tuttavia i funzionari dell’Autorità per l’acqua hanno rivelato altri due attacchi informatici ad altre strutture nel paese: uno degli attacchi ha colpito le pompe idrauliche agricole nella parte superiore della Galilea, mentre l’altro ha colpito le pompe idrauliche nella provincia centrale di Mateh Yehuda. Israele non ha fatto importanti commenti sugli autori dell’attacco ma alcuni funzionari lo hanno attribuito a gruppi APT collegati all’Iran.
Gli attacchi, inoltre, sembrano avre avuto come obiettivo il controllo controllo dei sistemi SCADAnegli impianti di trattamento delle acque reflue, nelle stazioni di pompaggio e nelle strutture fognarie.
“La risposta agli attacchi informatici fa parte della difesa del Paese. Se sarà dimostrato che il nostro Paese è stato preso di mira da un attacco informatico, risponderemo “.
Gholamreza Jalali, capo della Difesa Civile
Reuters riporta in ultimo le considerazioni dell’Iran in seguito algli tulimi fatti, affermando che l’Iran ha dichiarato che si vendicherà contro qualsiasi paese che effettui attacchi informatici ai suoi siti nucleari.
Un articolo pubblicato dall’agenzia di stampa statale IRNA ha associato gli incidenti alla possbilità di un sabotaggio di nemici come Israele e gli Stati Uniti. “Finora l’Iran ha cercato di prevenire l’intensificarsi delle crisi e la formazione di condizioni e situazioni imprevedibili”, ha affermato IRNA. “Ma l’attraversamento delle linee rosse della Repubblica islamica dell’Iran da parte di paesi ostili, in particolare il regime sionista e gli Stati Uniti, significa che la strategia … dovrebbe essere rivista.”
Riconoscimentofacciale: la tecnologia va utilizzata pensando prima di tutto alle conseguenze che può avere e alla luce di questi fatti vanno create delle regole soprattutto in materia di sperimentazione.
La buona notizia in merito è che ricercatori e informatici sono da tempo al lavoro perchè si possa utilizzare questa tecnologia per non mettere a rischio le persone, ma contemporanemente affermano che le soluzioni che si trovano oggi non saranno mai definitive mentre la stessa tecnologia subirà continue evoluzioni.
Dall’altra parte, Giuseppe Busia, segretario generale del Garante, chiarisce che in materia di privacy, le garanzie per i cittadini sono essenziali: la sperimentazione può andare avanti ma vanno create delle regole perchè ne va della libertà di tutti.
Riconoscimento facciale: la sicurezza dei dati biometrici
E’ chiaro che una tecnologia come questa, prima di essere introdotta solo perchè la tecnologia lo consente, vanno usate delle garanzie e le garanzie principali sono quelle della Protezione dei Dati Personali: il nuovo regolamento europeo prevede il divieto dell’uso queste tecnologie salvo casi particolari che vanno disciplinati dalla legge e che vanno tutaleti con garanzie forti.
Giuseppe Busia
Riconoscimento facciale e machine learning: una corsa contro il tempo e lo sviluppo
La buona notizia, ad oggi, è che i ricercatori hanno trovato il modo – almeno temporaneamente – di causare problemi a determinate classi di algoritmi di riconoscimento facciale, sfruttando i punti deboli dell’algoritmo di allenamento o del modello di riconoscimento risultante. La scorsa settimana infatti gli informatici dell’Università Nazionale di Singapore (NUS) ha pubblicato uno studio che illumina una nuova tecnologia: tale tecnica consiste nell’individuare le aree di un’immagine in cui i cambiamenti possono interrompere al meglio gli algoritmi di riconoscimento, dove le immagini sono meno riconoscibili dall’essere umano.
Tuttavia bisognerebbe essere in grado di riconoscere la classe del determinato algoritmo ma alla fine ciò che si può raggiungere è una soluzione per poter permettere agli utenti di inserire delle modifiche impercettibili alle immagini per renderle più difficili da classificare per gli algortimi di machine learning. Questo significa che man mano che gli algoritmi diventarenno man mano più intellgenti agli utenti non rimmarrà che la scelta di degradare ulteriormente le immagini? Purtroppo è ancora un contraddittorio e il problema non è di facile soluzione.
La verità è che ogni avanzamento è temporaneo: la tecnologia di riconoscimento facciale è in costante evoluzione come la sicurezza informatica. E’ come la storia del gatto con il topo: “Ci saranno tecniche migliori sviluppate dai raccoglitori di dati, e in risposta ci saranno tecniche di privacy migliori per contrastarli”.
L’unica attuale e concreta soluzione sembra oggi quella offerta da Giuseppe Busia: la creazione di regole e normative.
Costruire una vera agilità aziendale o business agility e imparare a cavalcare l’onda delle opportunità – e delle sfide – post Covid significa puntare al massimo valore di competitività a lungo termine (o più lungamente possibile). Agilità e flessibilità, di cui a lungo parliamo, sono ora i punti di partenza per migliorare le proprie capacità, visioni, la propria innovazione e diventare infine punto di riferimento, di motivazione e ispirazione per i propri impiegati.
Ma che cosa si intende per agilità aziendale? E’ proprio la capacità di un’organizzazione di adattarsi ai cambiamenti dei mercati, internamente ma anche esternamente. Siginifca poter rispondere in modo flessibile alle esigenze dei clienti, adattarsi e adattare il cambiamento in modo produttivo, sena compromettere la sua qualità e soprattutto avere – in modo continuo – un vantaggio competitivo.
Agilità e flessibilità: imparare a cavalcare l’onda delle opportunità post Covid
L’agilità aziendale riguarda l’evoluzione di valori, comportamenti e capacità: oggi le azeinde che seguono vecchi modelli corrono il rischio di affondare. Se invece le aziende e gli individui che le compongono guardano all’adattamento, alla creatività, all’innovazione e alla resilienza allora, in un momento di incertezza, quale può essere il post dell’epidemia Covid – consente di superare complessità ed incertezze, arrivando a risultati migliori e ad un diverso livello di benessere per tutti.
Agilità e flessibilità aziendale: le sfide tecnologiche
Per essere pronti al cambiamento bisogna avere ben presenti le sfide tecnologiche che la società e il “new normal” stanno imponendo: non solo l’Italia, ma molti paesi in Europa, come Francia, Spagna, ma anche Germania, durante l’epidemia di Coronavirus, si sono rivelati impreparati alla nuova sfida. Soprattutto per quanto riguarda il lavoro da remoto e la protezione dei dati.
Lavoro da remoto: un impatto sicuramente forte lo ha avuto la nuova modalità di lavoro che molte aziene hanno dovuto obbligatoriamente sostenere: chi non ne ha sofferto sono le aziene più sviluppate, soprattutto quelle legate al settore tech e digital. Soprattutto la riduzione del numero di persone che si recano in uffcio ha avuto un impatto molto positivo sull’ambiente, il che ha significato: meno traffico, meno inquinamento, qualità di vita maggiore. Ma il lavoro da remoto ha espanso anche i rischi delle imprese e gli attacchi informatici sono aumentati in modo esponenziale.
Protezione dei dati: i dati rappresentano la vera ricchezza di un’azienda. Proteggerli significa permettere all’azienda di mantenere la sua competitività sul mercato. A causa dei cyber attacchi le aziende perdono milioni di dollari ogni anno e sono colpite maggiormente con attacchi nelle sezioni appetibili della ricerca e dello sviluppo. Più grande è un’azienda più il perimetro della sicurezza deve essere espanso: ciò significa trovare anche il miglior compromesso tra sicurezza e lavoro.
Ma il miglior compromesso significa che solo le aziende che saranno in grado di proteggere l’intero perimetro saranno in grado di portare avanti il lavoro da remoto. Questo non significa solo una sfida tecnologica ma una sfida umana: il 90% degli attacchi è infati derivato dall’inconsapevolezza e scarsa preparazione degli impiegati nella sicurezza informatica. Ciò significa che la consapevolezza deve essere accresciuta, che biosgnerebbe investire di più nella sicurezza informatica che insegna ad utilizzare gli strumenti giusti. Ciò significa agilità: essee in grado di fare fronte alle sfide della nostra trasformazione digitale, in modo efficiente ed efficace
Sicurezza informatica 2020: il rapporto Clusit 2020 ci avvisa che i nuovi attaccanti non sono più “hackers” ma:
“decine e decine di gruppi criminali organizzati transnazionali che fatturano miliardi, multinazionali fuori controllo dotate di mezzi illimitati, stati nazionali con i relativi apparati militari e di intelligence, i loro fornitori e contractors, gruppi state-sponsored civili e/o paramilitari ed unità di mercenari impegnati in una lotta senza esclusione di colpi”.
Questa lotta, senza esclusione di colpi hanno mire e bersagli precisi: “le reti, i server, i client, i device mobili, gli oggetti IoT, le piattaforme social e di instant messaging”. I cyber attacchi alle infrastrutture critiche non accennano a cambiare rotta e la possibile interruzione dei loro servizi è diventato oggetto di priorità.
Il territorio sconosciuto del Cyber spazio
Il cyber spazio ha assunto un ruolo primario nei nuovi scenari geopolitici internazionali: non ultima la dichiarazione del primo ministro australiano sull’attacco informatico alle infrastrutture critiche che sta colpendo l’Australia da mesi e che sta preoccupando gli analisti di sicurezza a livello mondiale.
Al riguardo le ultime notizie e il rapporto dell’ACSC australiano confermano l’uso di malware cinese negli attacchi recenti dichiarati dal primo ministro Scott Morrison e che hanno preso di mira governo, servizi pubblici e imprese. Su SecurityAffairs.co si legge che il malware utilizzato è stato associato a gruppi APT cinesi, come OceanLotus.
A rischio però sono anche le infrastrutture sanitarie: il rapporto Clusit 2020 afferma infatti che bisogna oggi dotarle della tecnlogia necessaria per difenderle dai pericoli.
Sicurezza informatica 2020: il rischio cyber dell’assistenza sanitaria
Il settore sanitario è, ogni giorno, sempre più bersagliato a livello globale: secondo le ricerche Netics almeno il 20% delle struttue sul territorio non ha le capacità di rispondere agli attacchi informatici nel breve tempo: il che significa in almeno 4 ore.Capire quanto possa costare alla sanità una scarsa sicurezza informatica è importante, ma quel che preoccupa è che sembra che il problema sia sottovalutato.
Il rapporto Clusit 2020 fa luce su questa situazione: mantenere un inventario ed eseguire audit regolari è assolutamente obbligatorio nel mondo connesso di oggi. Inoltre andrebbero implementati i controlli di sicurezza per monitorare chi ha accesso ai dati delle informazioni dei pazienti.
È anche importante gestire e monitorare i privilegi degli utenti finali, eseguire controlli in background sulle attività online di un dipendente prima di garantirne gli accessi e usare meccanismi di segregazione della rete per un miglior controllo e sicurezza.
Rapporto Clusit sulla Sicurezza Informatica 2019
Una guerra economica asimmetica: la hybrid warfare
Geopolitica, Cyberspazio, Netwar e Cyberwar sono le stesse parole che raccontano della guerra cibernetica – una hybrid warfare – del nostro secolo. Oggi, tutto ciò che accade nel mondo reale si riflette nel Cyberspazio: per chi pianifica la sicurezza nazionale questo significa spionaggio, ricognizione, propaganda, bersagli e quindi guerra. Conoscere la geopolitica del Cyber Spazio e usare metodologie di intelligence possono contribuire a fronteggiare gli attacchi è oggi quanto mai importante.
Un incremento dell’attività di minaccia cyber è stata attestata dall’aumento del numero di alert diramati alle infrastrutture critiche nazionali che nel 2019, rispetto al 2018, ha visto un aumento di oltre il 30%, sino a raggiungere 82484 alert.
Attacchi informatici contro infrastrutture critiche, APT (qui intesa come minaccia/fenome- no e non come agente), CNO, PSYOP, information warfare, supply chain attacks (sia nella forma seeding, sia in quella interdiction), costituiscono le manifestazioni superficiali di un confronto talvolta sotterraneo. La guerra economica asimmetrica è spesso parte di una più ampia campagna di guerra ibrida, combattuta simultaneamente e con una vasta gamma di strumenti, a volte molto diversi tra loro.
Tra gli obiettivi degli attacchi informatici le infrastrutturecritiche: il cyber spazio ha assunto un ruolo primario nei nuovi scenari geopolitici internazionali. Ultimo è l’attacco informatico che sta colpendo l’Australia da mesi che sta preoccupando gli analisti di sicurezza a livello mondiale. A confermarlo è il primo ministro Scott Morrison.
Geopolitica, Cyberspazio, Netwar e Cyberwar sono le stesse parole che raccontano della guerra cibernetica – una hybrid warfare – del nostro secolo.
L’Australia infatti, da tempo, è vittima di cyber attacchi che, in più riprese, hanno colpito i sistemi informatici governativi, le infrastrutture critiche e i servizi essenziali come anche il settore sanitario. Il ministro ha annunciato pubblicamente di essere vittima di un cyberattacco correlabile a Pechino.
Infrastrutture critiche e servizi essenziali nel mirino del cyber spionaggio
“In base alla nostra esperienza, sappiamo che l’attività di cyber-minaccia sponsorizzata da uno stato straniero replica direttamente le tensioni geo-politiche“
Scott Morrison
L’Australian Cybersecurity Centre ha esaminato l’attacco. rinominato poi in Copy-paste compromises: sono state sfruttate almeno quattro vulnerabilità di alcuni software per accedere ai sistemi e sfruttando gli exploit per eseduire codici da remoto.
Gli esperti di cyber intelligence hanno da tempo collegato vari attacchi in Australia alla Cina. Dicono che la Cina sia uno dei pochi stati, insieme a Russia, Iran e Corea del Nord, che hanno la capacità di tali attacchi e non sono alleati con l’Australia – cha fa parte del gruppo Five Eyes. Tuttavia, hanno fatto notare anche che lo spionaggio informatico tra paesi alleati è molto comune.
Come parte di Five Eyes e della sua infrastruttura per la raccolta di informazioni, le agenzie australiane come ASD sfruttano abitualmente le debolezze della sicurezza nei software ampiamente disponibili utilizzati da aziende, governi e altre istituzioni – esattamente come la Cina, la Russia, tutti gli altri servizi di intelligence e gruppi criminali in tutto il mondo.
Cyber spionaggio e attacchi a infrastrutture critiche rivelano tensioni geopolitiche
Negli ultimi anni e con maggior frequenza negli ultimi mesi, si sta assistendo, oltre che allo cyber spionaggio, all’interruzione dei servizi essenziali specialmente in nazioni e aree dove vi sono oggi le maggiori tensioni e frizioni geopolitiche.
Le minacce informatiche, in continua evoluzione, mettono così anche a rischio le infrastrutture critiche che sono in definitiva veri e propri sistemi strategici, essenziali per una nazione. Ma l’Australia non è il primo paese a denunciare attività di cyber spionaggio: Mariana Pereira, Director of Email Security Products di Darktrace ha affermato che “gli attacchi informatici degli Stati Nazionali rappresentano una realtà ormai da tempo. Negli ultimi anni, con l’intensificarsi delle tensioni globali e il diffondersi di tecniche di hacking sempre più avanzate, abbiamo assistito a una rapida escalation di questa minaccia”
Nel Febbraio del 2020 la CISA, agenzia di cyber security, ha avvertito dell’esistenza di una nuova pericolosa minaccia ransomware, così temuta dagli USA, ma non è l’unica: Ekan, riesce a manomettere i sistemi di controllo industriale IC su cui si basano ad esempio le dighe e le centrali elettriche con lo scopo di mantenere le apparecchiature in sicurezza.
In tutto il mondo il gli apparati strategici vengono presi di mira. Gli obiettivi sono centrali elettriche, ferrovie nazionali e sistemi sotterranei locali o altre forme di trasporto pubblico.
Il RamsomwareMaze continua ad attaccare e il cyber crime continua ad affinare le sue strategie: gli attacchi recenti – dati e studio su SecurityAffair.co – che sono stati rilevati comprendono una famosa società di servizi IT, la Threadstone Advisors LLP, corporate advisory specializzata in fusioni e acquisizioni, un appaltatore missilistico nucleare Usa.
Il recente Rapporto Sophos parla di 1,4 milioni di dollari per il costo medio per il recupero dei dati criptati. Gli attacchi che hanno maggior successo sono quelli che includono dati nel cloud pubblico, ma i criminali, chiaramente prendono di mira i dati, ovunque siano archiviati. “Fondamentale il backup offline”: il 41% delle aziende italiane ne ha subito almeno uno nell’ultimo anno. L’altro 42% delle imprese in Italia teme un attacco nel vicino futuro.
Maze: il ransomware delle estorsioni online
Ramsomware Maze: i recenti attacchi
Tra i recenti attacchi registrati e denunciati attreverso i media vi è quello di una società di servizi IT multi-miliardaria, con sede nel New Jersey che è l’ultima vittima del famigerato gruppo ransomware Maze che sembrava colpire una vulnerabilità Citrix. Come prova del raid sono stati pubblicati i dati finanziari sottratti alll’azienda.
L’attacco è avvenuto il 29 Maggio, e ha preso di mira le operazioni europee, colpite nelle prime ore del mattino.
“Il nostro sistema ha identificato il ransomware, che è stato poi combattuto dai nostri protocolli di sicurezza informatica”, ha spiegato. “Questa interruzione è iniziata alle 29.45 del 29 maggio”
L’incidente ha provocato tuttavia una parziale interruzzione dei servizi che sono stati ripristinati ma sono in corso tutt’ora delle indagini da parte del team di sicurezza.
Un altro attacco è stato subito da un appaltatore missilistico nucleare Usa Westech International: gli hacker sono così riusciti ad accedere alle informazioni sensibili ed è probabile che l’attacco al ransomware del labirinto abbia implicazioni significative. Si prevede che il gruppo di hacking coinvolto nell’attacco del ransomware Maze tenterà di vendere i dati a una nazione “ostile”.
La società è anche un subappaltatore di Northrop Grumman e fornisce supporto tecnico, riparazione e manutenzione di sottosistemi di terra dei missili balistici intercontinentali Minuteman III.
La società ha affermato che stava lavorando a stretto contatto con una società di comuter forense indipendente per “per determinare se qualsiasi informazione personale fosse a rischio”
Tra le ultime notizia sembra che diversi gruppi di cyber-criminali specializzati in ransomware stiano unendo le loro forze per “spremere” al massimo le vittime. L’articolo per approfodnire è il seguente: Estorsioni online: ora i pirati di Maze e LockBit fanno cartello
Attacchi di CryptoMining sono avvenuti in Svizzera, Germania, Spagna in Europa e Regno Unito: sono stati attaccati i supercomputers con malware volti ad ottenere benefici monetari. In Spagna è stato attaccato un centro di calcolo ad alte prestazioni.
Gli attacchi, che hanno preso di mira pricipalmente i centri universitari ,nel Maggio del 2020, si sono infiltrati laddove potevano trovare computer con grandi potenze di calcolo. L’Università di Edinburgo, infatti, è stata la prima a segnalare una violazioneal suo supercomputer ARCHER.
Tra le vittime: il Leibniz Computing Center, l’Accademia Bavarese delle Scienze, il Julich Research Center, l’Università Ludwig Maximilian, lo Swiss Center of Scientific Computations.
Già in passato si sono rilevati incidenti relativi al cryptomining, come il botnet Vollgar, che come ha rilevato SecurityAffairs hanno attaccato vari settori, tra cui sanità, aviazione, informatica e telecomunicazioni e istituti universitari. Il botnet, grazie ad un attacco brute force MS-SQL, “ha consentito agli hacker di seguire una serie di modifiche alla configurazione del database per consentire l’esecuzione futura dei comandi”.
Ma questa volta è diverso, perchè si tratta di un attacco su larga scala. Il CSIRT Europeo e la Cado Security in USA, hanno rilasciato i campioni del malware utilizzato. Cosa si è scoperto?
CryptoMining per la criptovaluta Monero
“Quando gli assalitori hanno ottenuto l’accesso ai nodi di supercomputer, hanno sfruttato un exploit per la vulnerabilità CVE-2019-15666. In questo modo hanno ottenuto l’accesso root alle macchine e installato un’applicazione per il mining della criptovaluta Monero (XMR).”
Chris Doman, Cado Security
Che l’infezione è avvenuta grazie al furto delle credenziali SSH di alcuni membri degli istituti con le quali gli hackers hanno potuto accedere ai cluster dei supercomputers. Una delle pratiche di attacco infatti è connettersi appunto connessi tramite le credenziali SSH compromess per configurare il NAT Prerouting oppure connettersi tramite SOCKS proxy hosts da TOR. Ma il CSIRT ha rilevato altre addizionali attacchi.
Curiosità: Mining di criptovalute, cosa ha scoperto CISCO
CyberRange: è ora della Cyberdifesa e delle esercitazioni fatte in un campo addestramento per contrastare la criminalità informatica, le potenze avversarie e quelle forze che utilizzano Internet per ottenere vantaggi o informazioni. La guerra elettronica e quella cyber stanno oggi convergendo ed è quanto mai importante non farsi trovare impreparati. Lo scenario dei conflitti nel cyber spazio è stato infatti riconosciuto come quinto dominio operativo al pari di aria, mare, terra e spazio extratmosferico.
Cyber spazio come dominio delle operazioni
Leonardo Cyber Range è un poligono virtuale, composto da una infrastruttura Hardware e software che permette di simulare complessi sistemi ICT. In materia di Difesa e Sicurezza la Cyber Security diventa sempre di più un’arma strategica e Leonardo stava lavorando ad un vero e proprio “poligono virtuale” in campo informatico (IT), il primo cyber range italiano per la Difesa e per gestire le infrastrutture critiche: i possibili scenari vengono virtualizzati per sviluppare strategie e componenti di difesa con l’intelligenza artificiale (AI).
Cyber Range: le ipotesi di scenario per la cyber warfare
Il nuovo centro di addestramento, come si legge su AnalisiDifesa.it, nasce con l’ambizione di formare il giusto personale per potere affrontare le criticità più complesse della minaccia informatica contro sistemi informativi (IT) e operativi (OT).
Basato sulla necessità di poter formare adeguatamente il personale tecnico che lavora nei settori delle infrastrutture governative e critiche, il poligono consente la generazione di molteplici scenari di allenamento con diversi livelli di complessità. Le esercitazioni sono pratiche e molto realistiche.
Componenti principali sono:
Piattaforma di esecuzione dell’attacco
Piattaforma di gestione, per la configurazione degli esercizi e del loro punteggio
Piattaforma educativa
Attraverso l’utilizzo delle piattaforme i “cadetti” divisi in attaccanti e difensori, mettono in atto, imparano e migliorano le tattiche di attacco informatico e difesa in un abinete dinamico stimolato dall’intelligenza artificiale.
Ransomware 2020: i report annuali non portano nulla di buono, il ransomware rimane il grande business del cyber crime e dei criminali informatici.
Infine, secondo il report di TrendMicro , l’Italia è il paese più colpito al mondo, almeno per quanto riguarda le cifre relative al 2019 per quanto riguarda gli attacchi ransomware. Su scala mondiale, invece, il nostro paese, è settimo per ciò che concerne malware e quarto per macromalware.
Attacchi cyber ogni 11 secondi
Ransomware: le minacce del 2019 portano alle previsioni per il 2020
Cosa consiglia TrendMicro per difendersi dalle minacce? Innanzitutto “una strategia di connected threat defense che metta al sicuro i gateway, le reti, i server e gli endpoint”.
Un pò di numeri in Italia:
17.120.526 malware intercettati
4.326 malaware relativi all’home banking
7.915.566 visite ai siti maligni
851.725 siti maligni bloccati
384.376.157 minacce via mail
185.747 APP malevoli
4.222 attacchi exploit
Ultimamente un approccio più mirato dei ransomware ha permesso tecniche più mirate volte a costringere le organizzazioni a cedere alle richieste di ricatto. L’efficiacia relativa all’evoluzione delle nuove tecniche utilizzate è stata dimostrata – a livello globale – da una serie di attacchi rivolta ad entità governative.
Il ransomware Maze ha comportato, ad esempio, ha rappresentato un onere maggiore per le sue vittime, data la sua capacità di copiare automaticamente tutti i file interessati su sever controllati dai suoi operatori.
Ma c’è stato un ulteriore e importante sviluppo: la formazione di “alleanze” tra gruppi di ransomware. TrendMicro ritiene che, nel novembre del 2019, gli operatori dietro a Ryuk abbiano lanciato l’attacco dall’ufficio dei servizi tecnologici della Lousiana stessero lavorando come fornitori access-as-a-service.
Infine c’è la questione dei dispositivi IoT, il cui numero dovrebbe aumentare a circa 22 miliardi entro il 2025: il rischio, appurato, è che i cyber criminali trasformino questi dispositivi in una piattaforma per condurre attacchi malevoli, sfruttando le loro attuali vulnerabilità.
Al riguardo, nel rapporto vengono citate le segnalazioni riguardo alla variante del famoso Mirai (Trojan.Linux.MIRAI.SMMR1), che usa molteplici exploit per colpire i router e dispisitivi IoT. Un’latra segnalazione è stata fatta riguardo una sua variante backdoor che sfrutta una vulnerabilità nei router Huwaei HG532
Ransomaware 2020: la situazione attuale
Altri due report, segnalano invece la situazione Ransomware 2020.
Mentre Sophos segnala che quasi tre quarti degli attacchi nel 2020 comportano la crittografia dei dati, si rileva che per il 51% delle oragnizazioni che hanno subito attacchi, i dati sono stati crittografati nel 73% dei casi. Lo scarto tra pagamento del riscatto (56%) e recupero tramite backup (26%) parla da solo.
Gli attacchi che hanno maggior successo sono quelli che includono dati nel cloud pubblico, ma i criminali, chiaramente prendono di mira i dati, ovunque siano archiviati.
Sembra poi che il settore pubblico, nonostante i titoli di testa, sia più al riparo di quello privato. Riguardo le assicurazioni (che pagano il riscatto il 94% delle volte), invece solo il 64% degli intervistati è coperto contro i ransomware.
Infine BlackFog ha compilato una lista internazionale, mese per mese, di tutti gli attacchi informatici a livello globale: mentre il mese di Aprile 2020 era inizato a rilento gli attacchi sono via via aumentati a partire da un grave attacco in Portogallo.
Il gigante portoghese Energias de Portugal (EDP) è stato il primo a riferire di essere stato vittima di un grave attacco quando i criminali informatici li hanno informati diun massiccio riscatto: 9,9 milioni di euro!
AndreaBiraghi: attraverso l’intelligence si può anticipare un attacco informatico, sapere quando arriverà di che tipologia sarà.
La protezione di un’infrastruttura sino ad oggi è sempre stata un concetto di reazione ma oggi prevedere un attacco diventa basilare: conoscere la geopolitica del Cyber Spazio e usare metodologie di intelligence per la cybersecurity può contribuire a fronteggiare gli attacchi informatici.
Da quando internet ha superato la sua originale funzione di scambio e condivisione è diminuita la sua capacità di tutelare i suoi utilizzatori contro i crimini informatici.
Il problema però risiede nel costante aumento dei livelli di complessità e connettività in modo parallelo a quelli delle vulnerabilità. Per citare un settore si può pensare alle cyber minacce nel settore automotive in tutta Europa: è il caso delle smart e connected cars, grazie anche all’ascesa, semprepiù veloce dell’Internet of Things (IoT). Non per nulla, Mary Teresa Barra – General Motors – ha affermato che proteggere le automobili da incidenti causati da attacchi informatici “è una questione di sicurezza pubblica”.
Nell’ambito dei nuovi componenti IIoT (Industrial Internet of Things) di carattere industriale e nei sistemi di controllo infatti, le vulnerabilità non sono evitabili, proprio come in ogni sistema informatico: questo prevede che non siano esenti da minacce come malware, che possono portare guasti all’interno dei sistemi o consentire l’accesso ai dati critici.
Nella guerra informatica, secondo il rapporto “Cyberspace and the Changing Nature of Warfare” – Kenneth Geers, PhD, CISSP, Naval Criminal Investigative Service (NCIS) – sono utilizzate almeno 5 tattiche comuni ovvero: spionaggio, propaganda, Denial of Service, modifica dei dati, manipolazione dell’infrastruttura.
Oggi, tutto ciò che accade nel mondo reale si riflette nel Cyberspazio: per chi pianifica la sicurezza nazionale questo significa cyber spionaggio, ricognizione, propaganda, bersagli e quindi guerra. Oggi si parla di geopolitica dell’hacking in un clima in cui le nazioni competono tra loro, con operazioni che vanno dai cavi sottomarini al sabotaggio nucleare sotterraneo, dove uno dei temi di maggior preoccupazione riguarda le nuove tecnologie legate all’intelligenzaartificiale. Lo spazio cibernetico ha modificato la geografia del mondo: e la sua evoluzione è in questa direzione in base anche alle interazione degli esseri umani. Proviamo a farne una mappatura.
Possiamo immaginare il cyber space come una reppresentazione a strati: il primo composto dai cavi sottomarini, della rete ethernet, dai router e dispositivi di scambio dati e comunicazione. Nel secondo strato si trovano i codici, che permettono all’hardware di funzionare e comunicare e nel terzo appunto le nostre interazioni e ora anche quelle tra “machine to machine”.
Infine, è chiaro come conoscere la geopolitica dello spazio cibernetico – al rango di “dominio delle operazioni” insieme a terra, maree e aria per le strategie di sicurezza nazionale – e usare metodologie di intelligence, sia oggi quanto mai importante per contribuire a fronteggiare gli attacchi in tema di cybersecurity.
Andrea Biraghi: la nuova frontiera è cercare di prevenire con l’intelligence
Tutti noi sappiamo – e per chi non lo sa è bene tenrelo a mente – che basta il ritardo di poche ore nell’aggiornamento dei nostri sistemi per compormetterli interamente. Oggi, quindi, diventa fondamentale anticipare gli attacchi informatici e le minacce tramite la cyber intelligence.
Immaginiamo le nostre reti come un fortino ai tempi del West con i sodlati che dovevano proteggere il forte contro gli indiani che lo attaccavano. Cosa si faceva? I soldati, per sapere quello che stava per succedere, utilizzavano gli scouts, figure che andavano in avanscoperta e cercavano di sapere da dove sarebbe arrivato l’attacco, di che tipologia sarebbe stato, se erano pochi o erano tanti. Questo è esattamente ciò che cerchiamo di fare.
Andrea Biraghi
La cyber Intelligence ha uno scopo predittivo
La cyber intelligence, come abbiamo sentito nell’intervista video ad Andrea Biraghi, ha uno scopo predittivo: si raccolgono le notizie e le informazioni, in seguito si analizzano, si valutano e si classificano, cercando di estrapolarne le giuste informazioni a supporto di una strategia operativa. Quindi per riassumerne il processo:
Raccolta informazioni e loro classificazione per ordine di importanza
Definizione delle potenziali minacce e degli obittivi strategici
Applicazione di contromisure: conoscenza di punti deboli e applicazione delle tecniche di attacco
Monitoraggio
Quali sono le potenziali minacce? Tra le minacce che vengono esaminate vi sono ransomware, phishing, violazione degli account e sniffing: ognuna viene valutata per il suo grado di gravità.
Ma in che modo vengono raccolte le informazioni? Vi sono circa sei principali sezioni, secondo ICTSecurityMagazine che rappresentano ognuna diverse modalità di raccolta di dati e informazini utili, ma tutte si basano sulla capacità di raccogliere, correlare e analizzare:
Intelligence umana (HUMINT)
Intelligence delle immagini (IMINT)
Intelligence dei segnali (SIGINT)
Intelligence delle misurazioni (MASINT)
Intelligence tecnica (TECHINT)
Intelligence delle fonti libere (OpenSource) (OSINT)
L’OSINT, ovvero Open Source Intelligence, è uan tecnica utilizzata spesso nel settore della Cyber Security per scovare informazioni a diversi livelli su internet e a scopo predittivo: tra le fonti vi sono anche il deep web e il dark web. Più dettagliata è un’informazione e più la sua qualità è alta più gli scenari ideati si avvicinano alla realtà.
La domanda relativa all’OSINT sta crescendo esponenzialmente e le previsioni sono che lo farà sino al 2024: l’OSINT si divide in
tipo di sicurezza (intelligenza umana, big data, analisi del dark web, link/network analisi, analisi di dati e testi, intelligenza artificiale)
tecnologia (ad esempio cyber security)
applicazione (ad esempio militare e difesa, sicurezza nazionale).
Cosa è l’APPImmuni? L’APP, studiata per sistemi IOS e Android per il tracciamento dei soggetti risultati positivi al virus dell’emergenza Covid-19. Tale applicazione, sviluppata da Bending Spoons – società italiana – che ci promette di diventare lo strumento per poter tornare alla normalità nella così detta Fase 2, è ultimamente molto discussa, ancora molto tempo prima che ne venisse spiegato il reale funzionamento o le caratteristiche.
Vediamo, però, quali informazioni ci riportano e maggiori testate giornalitiche e le riviste specializzate al riguardo.
In realtà questa applicazione che ha creato tanta discussione potrebbe essere utile nel momento in cui si cerchi di contenere il contagio per non “ricapitombolare” alla prima fase.
Quale è, in modo semplice, il suo funzionamento? Dal momento in cui viene installata sul telefono – su base volontaria e gratuitamente – come normale applicazione, il dispostivio conserva i datu dell’utente, a cui verrà assegnato un ID temporaneo, e questi “dati” verranno scambiati con i dispostivi vicino a lui tramite tecnologia BlueTooth. I dati però saranno crittografati, quindi protetti, che conterranno anche la durata dell’incontro tra i dispositivi, in base alla forza del segnale percepito. Quindi sapere che vicino a noi c’è una persona, tracciata come positiva al Covid19, potrà tutelarci dal “rischio contagio”…
Un articolo recente di AgendaDigitale ci chiarisce persino come si è arrivati a questa scelta che si fonda su tre motivazioni principali, che vengono chiamate ufficiali:
capacità dicontribuire in modo tempestivo come strumento di contrasto contro la propagazione del virus;
conformarsi al modello europeocome delineato dal Consorzio PEPP-PT
Una nota che viene fatta però, sul secondo punto, è che l’APP Immuni si è scostata dal modello prestabilito, andando incontro alle richieste di Apple-Google, ovvero: un modello più decentralizzato. Si seguiranno ovvero le idee del progetto Decentralised Privacy-Preserving Proximity Tracing (DP-3T) che si è separato da Pepp-Pt perseguendo un modello più decentralizzato.
Per approfondire leggi l’articolo integrale su AgendaDigitale.eu: Immuni, cos’è e come funziona l’app italiana coronavirus.
Secondo quanto riporta Avvenire, invece, vi sono ancora delle incognite legate all’efficacia del sistema. Oramai è noto che l’applicazione non è stata rivista sotto l’aspetto dela sicurezza, non potendosi valutare in modo adeguato gli aspetti relativi alla Cyber Security e alla resistenza o meno ad attività di reverse enginering, od altre tipologie di attacco informatico.
APP Immuni: il tracciamento in arrivo a fine maggio
Dopo vari ritardi l’APP Immuni sarà disponibile a fine Maggio. Tra le paure ci sono, come dice Repubblica ipotetiche sorveglianze di massa e violazioni della privacy su larga scala. Per molti ancora ci sono numerosi nodi da sciogliere.
Per quanto riguarda la Privacy, sempre secondo Repubblica, “l’app, basata sul modello decentralizzato di raccolta dati, non colleziona informazioni come il nome, cognome, indirizzo, email, numero di telefono, al contrario di quel che fanno altre applicazioni dentro e fuori l’Europa”. In effetti l’applicazione non raccoglie nemmeno i dati realtivi alla geolocalizzazione.
“L’identificativo trasmesso dallo smartphone agli altri telefoni nelle vicinanze, un codice, in più cambia di frequente. I dati restano sul dispositivo, a meno che non si risulti contagiati”. I dati inoltre non saranno raccolti da Bending Spoons, ma saranno trattati dalle autorità sanitarie, in Italia (su server gestiti e supervisionati da soggetti pubblici).
Ma vediamo quali punti riassume Avvenire circa i limiti rilevati. Le questioni aperte riguardano la gestione della sicurezza: questo potrebbe permettere infatti ai criminali informatici di raccogliere i dati via etere e poi ritrasmetterli. “Inoltre, secondo altri esperti di cyber sicurezza, la preoccupazione per la tutela dei dati degli utenti potrebbe essere legata a possibili attacchi via bluetooth”. Tra le questioni ancora aperte c’è la faccenda relativa ai dati a rischio, sul ruolo di Sogei e di Bending Spoons, ma ancora più preoccupante sarebbero i limiti della volontarietà.
Leggi tutto su Avvenire.it: Coronavirus. L’app Immuni, tutti i nodi da sciogliere
FakeNews eCovid19: i pericoli del virus sono anche online, cosa sta succedendo e quali sono le strategie messe in atto dalla cybersecurity per contrastare la disinformazione? L’informazione online è sotto minaccia?
Qui di seguito una piccola rassegna stampa per comprendere cosa c’è in gioco e la direzione che si sta prendendo per contrastare le attività criminali informatiche legate all’informazione online?
Di seguito l’interssante intervento di PierLuigi Paganini a riguardo: “COVID-19: Disinformazione e impatto sull’educazione.
Fake news e Covid19: il report dell’UE
Su Wired.it il titolo non lascia spazio ad interpretazioni: l’Ue ha modificato un report sulle fake news a tema coronavirus per accontentare la Cina.
Cosa significa? che a seguito delle molte pressioni diplomatiche di Pechino il dossier sulla disinformazione relativa al Covid19 è stato modificato. E’ stato il New York times a scoprirlo. Il report è stato pubblicato sul sito della European Union External Action (Eeas) il 24 Aprile 2020, ma non si tratterebbe della sua versione ufficiale.
Quindi, se nella prima stesura la Cian veniva incolpata di avere condotto una campagna di disinformazione globale circa la pandemia di Covid19, nella seconda le accuse sono state ridimensionate.
Su SputnikNews invece, protagonista sempre un dossier Europeo – pubblicato dal Financial Times e che riguarda una presunta campagna di disinformazione russa, si legge che il ministro degli Esteri russo, Sergei Lavrov accusa l’Unione Europea di non aver fornito alcun dato sulla presunta campagna di disinformazione della Russia sull’epidemia di coronavirus.
Cosa è davvero la disinformazione e come si spiega?
Alla domanda riponde LaVoce.info, che cerca di fare chiarezza sul fenomeno disinformazione rispondendo alla domanda su come si configurerebbe – grazie alle fake news – un tentativo di influenza estera e quindi una minaccia alla società occidentale democratica.
La Commissione europea ha definito la disinformazione come “l’aggregato di informazioni false o ingannevoli che sono create, annunciate e divulgate, per trarre vantaggi economici o per plagiare intenzionalmente le persone, e che potrebbero causare un pericolo pubblico”
Per chiarire la questione, illuminanti sono le considerazioni dell’Istituto europeo per gli studi di sicurezza (Euiss): “se uno stato volesse minare alla coesione e alla forza di una società democratica e aperta, allora attaccare la fiducia che i cittadini ripongono nelle loro istituzioni politiche e nei loro processi normativi rappresenterebbe un ovvio punto di partenza. Diffondere falsità […] è la via ideale per preparare i passi ulteriori in un contesto di minacce ibride”.
Questa volta è TheInnovationGroup.it a faci chiarezza, stilando un utile elenco utilizzando i consigli di CERT-PA per difendersi dalle minacce online:
Non installare software sconosciuti o di dubbia provenienza, soprattutto se a seguito di sollecitazioni via mail. Nel caso sia un tecnico della vostra amministrazione/azienda a richiedere l’installazione, verificate attentamente il contesto: la mail era attesa? le frasi sono scritte con grammatica corretta? il software da installare ha un fine specifico? Eventuali link nella mail puntano a siti conosciuti? il mittente è corretto?
I criminali si attengono al tema dei pagamenti, degli ordini o delle tasse per invogliarci a farci aprire un documento Word o Excel; inutile dire che anche il tema coronavirus è stato usato per questi fini. Non scaricare file compressi con estensione ZIP, RAR, TAR, GZ;
Non cliccare su link che provengono da fonti sconosciute o sono allegati a messaggi sospetti;
Prima di aprire un documento Word verificare che l’estensione sia DOCX e diffida delle estensioni DOCM o DOC;
Prima di aprire file Excel verifica che l’estensione sia XLSX e diffida delle estensioni XSLM o XLS;
Mantenere aggiornati i software;
Non inserire mai username e password di lavoro su siti o programmi che non siano i tuoi o dell’amministrazione e dell’azienda per cui lavori.
Covid19espaziocibernetico: mentre il coronavirus si diffonde tra le persone, con la stessa velocità circolano fake news in rete, e disinformazione in rete, creando in modo rapido confusione e poca certezza delle fonti di informazione.
In un articolo di IspiOnline, “La pandemia ed il virus 2.0” si parla di propagazione della pandemia di Coronavirus sul quinto dominio, ovvero lo spazio cibernetico. Le ripercussioni sono sintetizzate in tre macro settori:
Attacchi cibernetici
Fake News | Disinformazione
Privacy e Controllo
Mentre gli attacchi informatici crescono, diventando sempre più veloci e mirati e prendendo di mira i settori ancora troppo vulnerabli come le strutture sanitarie, alcuni si dimostrano impreparati ad affrontare le nuove sfide che il Covid19 ci impone. Tra questi la a stessa Organizzazione Mondiale della Sanità (OMS). Il settore sanitario è, ogni giorno, sempre più bersagliato a livello globale: un importante contributo per comprendere la situazione sanitaria in materia di sicurezza informatica lo ha dato il rapporto Clusit 2019.
Ma non finisce qui, non si parla solo di vulnerabiltà e protezionedidati: i nuovi cyber attacchi mettono a rischio anche le pubbliche amministrazioni, le infrastrutture. Gli attacchi bypassano i controlli di sicurezza dei firewall, così da avere facile accesso ai dati sensibili archiviati sui server Web. Qui sotto il grafico che ripota i principlai attacchi nelle reti italiane [Fonte: ISPI – Kaspersky LAB]
Covid19 e spazio cibernetico: deepfake e fakenews l’era pericolosa della disinformazione
Il rischio che sta comportando la pandemia presente però non è solo legato al settore della cyber security ma a quello delle fake news che corrono in rete. Non solo: spesso video manipolati e alterati, creano notizie e false informazioni inganevvoli, volte ad influenzare l’opionone pubblica e mettendo a rischio la vera informazione. Ne abbiamo già parlato in Deepfake: video manipolati nell’era dell’Intelligenza artificiale.
Spesso però non si tratta solo di infodemia ma di veri a propri attacchi di ingegneria sociale. Non per nulla IspiOnline riporta che “sono state rilevate anche operazioni di disinformazione attraverso canali più tradizionali effettuate o promosse da attori legati a potenze straniere. Il fine, in questo caso, sarebbe quello di delegittimare la risposta delle democrazie occidentali rispetto alla pandemia in corso, rafforzando pertanto l’appeal dei regimi più illiberali”.
L’informazione in questo modo sta subendo una vera e propria minaccia.
Ultimo ma non meno importante è la questione tra privacy e tracciamento dei positivi al Covid19: si apre così un dibattito importante tra la necessità di tracciare i contagi e l’annosa questione privacy. Di seguito si ripare anche un’altra questione: quanto sono compatibili sicurezza informatica e privacy?
Qui sotto la discussione nel seminario IISFA sulla tracciabilità cellulari e covid19, cyber security e protezione dei dati.
Cyber tecnologieedigitalizzazione: il mondo si trova ad una svolta e proprio durante l’emergeza Covid-19 ci si sta rendendo conto del ruolo che la tecnologia digitale sta avendo in questo momento.
L’emergenza sanitaria, inoltre, ha spinto gran parte dell’Italia ad una digitalizzazone forzata, laddove non vi era nè esperienza nè preparazione: ciò rappresenta una grande opportunità ma anche una grande sfida per il nostro Paese.
L’Italia ha bisogno di aumentare la sua preparazione a livello di sicurezza informatica: molte aziende oggi infatti sono esposte al rischio di vulnerabilità. I criminali informatici sono sempre in agguato, pronti a capitalizzare tutto ciò che può rappresentare un loro beneficio: sono pronti persino ad usare la crisi sanitaria globale come un’opportunità per colpire organizzazioni e individui vulnerabili.
Secondo Agenda Digitale, in questo momento aziende, start up ma anche i singoli cittadini rivestono un ruolo centrale per portare ancora più valore al Paese attraverso le nuove tecnologie da applicare: si parla – e solo per citarne alcune – di intelligenza artificiale, droni, robot, reti di nuova generazione, analisi video real-time o tecnologia IoT.
Il digitale quindi per il nostro Paese rappresenta anche una ripartenza per stare la passo con l’innovazione a livello interazionale e qui vengono elencati smart working, applicazioni di eGovernment, telemedicina ed eLearning, eCommerce, remote banking, digitalizzazione della supply chain e della logistica, ma la lista sarebbe ancora lunga.
Cyber tecnologieedigitalizzazione in Italia: quali sono le sfide
Sicuramente in Italia le sfide alla digitalizzazione non riguardano solo preparazione tecnica e problemi tecnici e di banda: si parla di cambiamento che non riguarda solo l’innovazione tecnologica ma anche e soprattutto l’ambito culturale. La tecnologia da sola potrebbe non bastare: bisogna pensare a riprogettare anche le stesse città.
“La smart city non è dunque restare tutti a casa con la fibra e nemmeno avere la SIM con i Giga” afferma Agenda Digitale. Dalla crisi determinata dalla pandemia di Covid-19 si potrà uscire solo con la ri-progettazione dello spazio/tempo in cui viviamo e non cercando di aggiungere/appiccicare strumenti digitali a modelli territoriali e sociali del passato, rigidi ed inefficaci nel gestire la complessità.
Intelligenzaartificiale: quali sono i rischi e le opportunità della tecnologia AI per l’uomo?
Yuval Noah Harari, tra i più grandi pensatori contemporanei, ha affermato che facciamo parte di una delle ere migliori della storia dell’umanità, ma al tempo stesso anche una delle più turbolente. In questa sera ci sono tre sfide importanti che l’umanità deve affrontare:
La possibilità di una guerra nucleare
Il collasso ecologico
La tecnologia destabilizzante, ovvero l’ascesa dell’Intelligenza artificiale
L’intelligenza artificiale e la bio-ingegneria secondo Harari, destabilizzeranno non solo l’economia e la società, ma perfino il corpo umano. Uno dei temi più rilevanti del suo pensiero rigarda il rapporto tra l’uomo e la tecnologia.
La tecnologia è quindi buona o catttiva? Lo stotico contemporaneo, in un’intervista a SkyTg24 risponde: “la tecnologia da sola non è né il problema, né la soluzione. Alla fine dei conti spetta sempre alla società decidere cosa fare con la tecnologia“. Ogni tecnologia si può usare infatti in modi molto diversi: treni, radio, televisione, automobili, elettricità possono essere usati per creare regimi fascisti, dittature comuniste e poi democrazie liberali.
Intelligenza Artificiale rischi e opportunità: il sondaggio pro e contro
Intelligenza artificiale: quali sono i rischi per l’uomo e quale è la famosa parte oscura di questa tecnologia? Cosa ne pensano le persone?
BVA DOXA, in collaborazione con WIN, ha svolto un sondaggio mondiale sulle nuove tecnologie, coinvolgendo 30.890 persone in 40 Paesi. I risultati potrebbero soprendervi!
Alla domanda: «Quanto sarebbe favorevole al fatto che in futuro l’Intelligenza Artificiale sostituisca le attività svolte dal personale medico?» solo il 7% si dichiara favorevole ad una totale sostituzione, con valori più alti in India (24%), Libano (22%) e Cina (17%). Ciò potrebbe denotare una minore fiducia nel sistema sanitario di quei Paesi e rappresentare un appello ad un maggiore uso delle tecnologie per la cura dei pazienti.
La maggior parte degli intervistati (53%) a livello mondiale auspica che l’Intelligenza Artificiale sia di supporto ai medici, ma non li sostituisca completamente.
Micro-bit di dati personali potrebbero contribuire a creare deepfakes.
Come riporta Focus.it lo scandalo Cambridge Analytica, scoppiato a marzo 2018, ha invece evidenziato l’effettiva capacità dei social media di pilotare la coscienza politica delle persone dando maggiore risalto a certe notizie e a certe fonti di informazione a discapito di altre.
L’AI è una enorme opportunità per il nostro futuro e quello del pianeta
Smartworking ed emergenza Covid-19: l’emergenza richiede continuità operativa ed efficienza, non ci si può fermare del tutto ma lo si deve fare in tutta sicurezza. L’epidemia qundi ha costretto le aziende italiane ad una digitalizzazione forzata: laddove si era comunque rimasti indietro si è dovuto fare uno sforzo per mettersi alla pari.
Molte aziende ed istituzioni hanno scelto questa strada: InfoCamere,ad esempio, grazie a sistemi cloud based e server virtualizzati è riuscita a mantenere la continuità dei servizi, estenendendo lo smart working alla maggioranza degli addetti per un totale di 2.500 connessioni telematiche private.
“In pochi giorni, seguendo l’evoluzione dei Decreti del Presidente del Consiglio, abbiamoattivato lo smart working per il personale di InfoCamere verificando la copertura dei requisiti tecnologici oltreché presidiando i profili di produttività attesi; al contempo abbiamo abilitato le Camere di Commercio richiedenti alla possibilità di ricorrere allo smart working per il proprio personale, presidiando organizzazione ed infrastrutture nell’intento di garantire a imprese e professionisti i consueti livelli di accessibilità e fruizione dei servizi online camerali”.
Smart Working e Smart Learning: i contributi per la formazione a distanza
Non solo smart working: importanti sono anche i contributi per la formazione a distanza. E’ così che il team di Samsumg Italia ha deciso di dare il proprio contributo, attivando alcuni moduli di formazione a distanza per gli studenti.
Il progetto si chiama Samsung Smart Learning e si concretizza con la creazione del Samsung Smart Learning Kit, un utile strumento per la gestione ottimale della didattica a distanza, che sarà distribuito ad oltre 60.000 docenti in tutta Italia.
In tema di gestione di risorse umane, invece Zucchetti ha recentemente incluso, tra le sue soluzioni per la gestione delle Risorse Umane, la piattaforma di learning e gamification Skillato: un prodotto mobile-first e user friendly, grazie al quale i dipendenti possono sperimentare il vero significato dell’employee engagement.
Cosa è Skillato? In sintesi un prodotto innovativo che consente alla aziende di utilizzare la tecnica del “gioco” sia per fare formazione- smart learnng – che per stimolare partecipazione e comportamenti attivi tra i dipendenti.
Solidarietà digitale: digitalizzazione e innovazione
Il Ministero per l’Innovazione tecnologica e la Digitalizzazione e Agid hanno lanciato Solidarietà digitale: una collaborazione tra sfera pubblica e privata con l’obiettivo di supportare aziende e cittadini. Tra i servizi resi disponibili e-learning e iniztiave per lo smart working.
Su AgendaDigitale la lista delle aziende che hanno aderito all’iniziativa.
AndreaBiraghi rassegna stampa del 26 marzo 2020 e ultime notizie dal mondo della cybersecurity.
5G e perimetro cibernetico
Come si sta evolvendo l’attività dei servizi segreti nei confronti del 5G?
Se ne parla nella Relazione Annuale al Parlamento 2019 :la Relazione sulla politica dell’informazione per la sicurezza riconosce infatti le armi cibernetiche come lo strumento privilegiato per la conduzione di manovre ostili in danno di target, sia pubblici che privati, di rilevanza strategica per il nostro Paese.
“Obiettivo primario dell’intelligence – viene scritto nella Relazione – ha continuato ad essere il contrasto delle campagne di spionaggio digitale, gran parte delle quali riconducibili a gruppi strutturati di cui è stata ritenuta probabile – alla luce sia delle ingenti risorse dispiegate, sia della selezione dei target, quasi sempre funzionale al conseguimento di obiettivi strategici e geopolitici – la matrice statuale”.
Il potenziamento della resilienza cibernetica del Paese è quanto mai importante: le reti di nuova generazione 5G sono al centro delle attenzioni e rappresentano una sfida a portata globale.
CyberSecurity360 23-03-2020: “Nella Relazione si parla esplicitamente, sulla scorta delle leggi 133/2019, 56/2019 e 105/2019, di monitorare la tecnologia 5G, come ci dice anche il capo del DIS Gennaro Vecchione nell’ambito del cd. Golden Power”.
Leggi tutto l’articolo: 5G e servizi segreti, strategie per la protezione rafforzata degli asset ICT strategici
Andrea Biraghi rassegna stampa 5g e cybesecurity: gli attacchi basati sul SWARM
L’avvento del 5G può fungere infine da “catalizzatore” per gli attacchi basati sul Swarm. Si è già parlato di come il suo avvento ponga nuove sfide alla Cyber Security in termini di attacchi di 5 generazione ma si deve anche prendere in considerazione come potrebbero essere vulnerabili anche agli attacchi informatici sostenuti da Stati stranieri.
Leggi su Andrea Biraghi Blog – Attacchi informatici: cosa ci aspetta nel corso del 2020?
La Cyber Security sta diventando un vantaggio competitivo nell’era dell’economia digitale.
Il Cybersecurity Tech Accord, nato con l’intezione di proteggere gli utenti e i clienti sempre e ovuqnue, si rivela essere la più grande alleanza di Cybersecurity per stimolare la collaborazione tra i diversi attori in gioco.
L’accordo con il quale i firmatari si impegnano a rafforzare l’ecosistema della cybersecurity, difendendo l’economia digitale dai cyber attacchi si basa su 4 punti principali che non vedono la cyber security solo come un vantaggio competitivo:
Proteggere- ovunque – tutti i clienti dai cyber attacchi informatici, siano essi individui, organizzazioni o governi. Ciò verrà fatto sviluppando prodotti e servizi di sicurezza basati sulla privacy, l’integrità e l’affidabilità e ridurre, a loro volta, la probabilità e la frequenza dello sfruttamento e della gravità delle vulnerabilità.
Opporsi ai cyber attacchi mirati ai cittadini e alle imprese, con l’intenzione di protegere prodotti e servizi tecnologici nelle loro fasi di sviluppo progettazione e utilizzo. Non verranno invece aiutati i governi a lanciare attacchi informatici da qualsiasi luogo contro i propri cittadini e imprese innocenti.
Aiuto a clienti e sviluppatori: verrà quindi fornito agli utenti un ampio ecosistema di sviluppatori, insieme ad informazini e strumenti di sicurezza informatica. Verranno quindi aiutati e sostenuti i governi, la società civile e le organizzazioni internazionali per fare progredire la cyber security, ia nelle economie sviluppate che in quelle emergenti.
Con l’obiettivo di lavorare insieme, verranno quindi stabilite partnership, incoraggiando la condivisione globale di informazioni e gli sforzi civili per identificare, prevenire, rilevare, rispondere e recuperare dagli attacchi informatici e garantire risposte flessibili alla sicurezza dell’ecosistema tecnologico globale più ampio.
Tra i firmatari dell’accordo c’è anche la Schneider Electric, che si va ad aggiungere a 144 aziende mondiali. Christophe Blassiau, Senior Vice President, Digital Security e Global CISO di Schneider Electric comunica che la società è orgogliosa di partecipare: “Unendoci a Cybersecurity Tech Accord, siamo orgogliosi di continuare a collaborare con i leader industriali di tutto il mondo per aiutare a individuare, prevenire, respingere i cyberattacchi”.
La cyber security come vantaggio
La cyber security, ovvero la sicurezza informatica, si legge su Key4bitz.it, a ora un’opportunità illimitata di “alzare la testa”: perchè, dopo l’epidemia di coronnavirus, con molta probabilità una buona percentuale dello spostamento digitale rimmarrà.
Il Coronavirus potrebbe quindi portare a un forte impatto in questo senso: “Un numero considerevole di processi offline migrerà in qualche modo verso Internet, sostituendo le consulenze con medici e avvocati con agili videochiamate, privilegiando software come Zoom, WebEx o GoToMeeting per le riunioni di lavoro interne; consegnando cibo e merci a domicilio invece di mangiare fuori o fare shopping nei weekend in centri commerciali sovraffollati”.
Protezionedati sensibili: nuovi cyber attacchi mettono a rischio non solo le pubbliche amministrazioni, le infrastrutture e le banche ma anche le strutture sanitarie. Gli attacchi riescono a bypassare i controlli di sicurezza dei firewall, così da avere facile accesso ai dati sensibili archiviati sui server Web.
Un importante contributo per comprendere la situazione sanitaria in materia di sicurezza informatica lo ha dato il rapporto Clusit 2019: il settore sanitario è, ogni giorno, sempre più bersagliato a livello globale.
Capire quanto possa costare alla sanità una scarsa sicurezza informatica è importante, ma quel che preoccupa è che sembra che il problema sia sottovalutato. Secondo le ricerche Netics almeno il 20% delle struttue sul territorio non ha le capacità di rispondere agli attacchi informatici nel breve tempo: il che significa in almeno 4 ore.
Una carenza che nel breve e nel lungo termine rappresenta un serio problema. Nectis afferma che a livello direzionale ASL e ospedali dedicano solo il 4,3% del budget totale alla cyber sicurezza: alle scarse risorse si aggiunge una scarsa formazione e informazione in materia.
Tanto per farci un’idea l’attacco Wannacry, secondo le stime che circolano, colpendo 150 nazioni avrebbe prodotto danni per circa 4 miliardi di euro.
Leggi su IlSole24Ore.com – Non solo coronavirus, ai cyber criminali piacciono parecchio i dati sanitari
Attacchi informatici ai dati sensibili: allarme nel settore sanitario
Secondo il Corriere, sno ad oggi, si contano 17 strutture violate a livello informatico: la maggior parte prese di mira per realizzare estorsioni di denaro.
Sempre dal rapporto Clusit 2019 emergono dati preoccupanti: i data breach riguardano i dati sensibili dei pazienti, comprese le loro cartelle cliniche. «La sanità è uno dei settori nei quali gli attacchi sono cresciuti molto di più rispetto all’anno precedente – spiegano Andrea Zapparoli Manzoni, che fa parte del Consiglio direttivo Clusit e Sofia Scozzari, del Comitato scientifico – perché i “cattivi” colpiscono dove è più facile avere successo. Questo è il segnale eclatante che il settore deve mettere in campo strategie di risposta adeguate e lo deve fare in fretta».
Leggi tutto su Corriere.it – Attacchi informatici: anche negli ospedali e nelle Asl è allarme
Fake News, notizie false, informazioni inganevvoli, prontamente confezionate per influenzare l’opionone pubblica. Un fenomeno che in questi anni ha subito una crescita esponenziale e che mette a rischio la stessa informazione. Non manca chi da queste “bufale” trae profitto, per fare soldi in minor tempo possibile e sfruttandone tutti i meccanismi che stanno dietro.
La maggior parte delle fake news corre su internet, la maggior parte sui social media, come i popolari facebook o twitter, che hanno anche lo scopo di inquinare il dibattito politico, ma non sono questi il solo canale.
Nel 2019 Facebook si è dovuto tutelare per contrastare le interferenze da parte di Paesi stranieri nelle elezioni presidenziali USA 2020: eliminando account registrati in Russia e Iran. Gli account in questione erano accusati di creare meme e video deepfake anti-Trump. Il numero della loro diffusione è notevole: hanno raggiunto circa 265.000 accounts sui social network. Il numero dei profili chiusi: 78 account Facebook, 11 pagine, 29 gruppi e quattro account Instagram.
Pochi giorni fa la stessa cosa è avvenuta contro le notizia false che stanno correndo velocissime sul web rivelando false informazioni sul virus Covid-19. Migliaia di account di social media collegati alla Russia, affermano i funzionari USA, hanno lanciato – da metà Gennaio- un’azione coordinata per diffondere allarme sul virus, interrompendo gli sforzi globali per combattere l’epidemia. L’intento è seminare disordia, minacciando la sicurezza pubblica. La campagna di disinformazione, come racconta un articolo di LeFormiche.net , “è iniziata un mese fa, in un momento in cui il bilancio in Cina era appena di tre vittime e di sole 200 persone contagiate a Wuhan, scrive Askanews”.
La soluzione di contrasto alla disinformazione
Le fake news discreditano la vera informazione, minacciando anche la libertà di stampa e la verità: il report 2017 di Reporters Sans Frontier spiega il perchè. Continuare ad agire su questo versante è quindi molto imporante.
Una soluzione potrebbe arrivare, come scrive AgendaDigitale “da un’alleanza strategica fra PA, attori privati, esperti del settore provenienti da ricerca e società civile”. L’OCSE, dal canto suo “ha identificato una serie di elementi che limitano la capacità dei governi di utilizzare la comunicazione in modo da sostenere gli sforzi di riforma più ampi”.
La Cyber Intelligence, che ha un ruolo importante nella difesa nazionale, può in realtà essere definita come il monitoraggio, l’analisi e il contrasto delle minacce alla sicurezza digitale.
L’intelligence, in una miscela di spionaggio fisico e di moderna tecnologia dell’informazione, diventa sempre più indispensabile per la sicurezza informatica perchè in grado di anticipare situazioni ed attacchi; la Cyber Intelligence, considerata soprattutto in ambito militare, si sviluppa su tre livelli: strategico, operativo e tattico.
L’intelligence sulle minacce è un investimento importante per la posizione di sicurezza di un’organizzazione in quanto offre un vantaggio e un anticipo sugli “avversari”, identificando in anticipo gli attacchi informatici.
Ma cosa pensare quando la Cyber Security per prevenire le minacce viene affiancata ed integrata all’Intelligenza artificiale? Sarebbe interessante ribaltare la domanda, ovvero, l’intelligenza artificiale riuscirà a superare i limiti della sicurezza informatica?
Perchè la DirettivaNIS e infrastrutturecritiche è un tema caldo per il 2020?
La tecnologia avanza, soprattutto nel campo delle tecnologie ICT connesse: i dispositivi IoT non entrano solo nelle nostre case ma si occupano di gestire anche i dati per le analisi di quelle che vengono considerate “infrastrutture critiche” con lo scopo di proteggerle. Andrea Biraghi – Ultime notizie
Questo è anche un caso italiano: la società WestPole monitora il Ponte Morandi con un sensore IoT, in fase di sperimentazione. Il dispostivo in grado di registrare e misurare tutte le vibrazioni cui è sottoposta la struttura nell’arco delle 24 ore. Compito del sensore è raccogliere i dati e inviarli ad un gateway, che a sua volta li trasmette al data center. [Fonte: Internet4Things]
Il compito di Westpole è innanzitutto quello di diffondere la trasformazione digitale e renderela scalabile, nel campo dell’informatica delle cose opera per aumentare la competività delle aziende e delle loro performance abilitando l’introduzione dell’Intelligenza Artificiale e dei modelli predittivi. Nel campo delle infrastrutture critiche, per rimanere in teme, si possono così ottenere monitoraggi in tempo reale, controllando in modo veloce la situazione e il superamento delle soglie di sicurezza.
Questo ci fa comprendere come nel 2020 il tema delle infrastrutture critiche rimarrà cruciale, per capirne soprattutto gli scenari futuri. Gli oggetti connessi in rete infati comprendono per ora rischi che non sono da sottovalutare, ad esempio nel settore sanitario, ancora molto vulnerabile.
La Direttiva NIS, nota anche come Direttiva Comunitaria per la sicurezza delle reti e dell’informazione, stabilisce i requisiti minimi di sicurezza per l’informatica. E’ essenziale che reti, sistemi e servizi siano affidabili e sicuri, poichè eventuali incidenti relativi alla sicurezza rappresentano una vera e propria minaccia per il loro funzionamento, ripercuotendosi sulla società. Perchè la stessa città va vista come una grande infrastruttura critica. Per comprenderne l’importanza qui di seguito il documento di InfrastruttureCritiche.it in tema: Direttiva NIS pdf
Sicuramente i dispositivi IoT rappresentano una notevole innovazione ma contemporaneamente la loro fase di sperimentazione è, in modo evidente, molto importante. Anche l’introduzione della nuova rete 5G ha un potenziale estremamente innovativo al pari di vunerabilità di violazioni che non hanno precedenti. In sintesi velocità più elevate offriranno agli hacker la possibilità di colpire più dispositivi e innescare attacchi informatici sempre più grandi. Da qui la necessità che la Cyber Security elabori nuove strategie di difesa.
A valle del recepimento della Direttiva NIS, la Strategia nazionale di sicurezza cibernetica, è un provvedimento che segna un ulteriore passo in avanti verso l’attuazione della direttiva europea, proprio per definire le procedre tecniche per la prevenzione degli incidenti cibernetici.
Il tema della Cyber Security nelle Infrastrutture critiche è stato affrontanto relativamente al quadro normativo presente. Qui di seguito l’intervento di Angelo Tofalo all’Università degli studi di Roma Tor Vergata.
Direttiva NIS e infrastrutture: l’energia elettrica
La Direttiva NIS si applica ai settori e alle infrastrutture critiche, con lo scopo di migliorare le difese delle infrastrutture critiche degli Stati europei. Se solo pensiamo che il comparto energetico, che cerca soluzioni più sostenibili e sicure, passando per la digitalizzazione, si può comprendere come questa infrastruttura critica sia un asset da proteggere contro gli attacchi informatici.
A diventare più restrittivo della Direttiva Nis sarà il Perimetro Nazionale: quindi verranno presi in considerazione non solo i danni di un attacco ma anche quelli relativi alla violazione dell’integrità di un asset.
Le modifiche al decreto legge approfondiscono la gestione della sicurezza cibernetica nazionale secondo criteri di gradualità del rischio, individuazione di vulnerabilità sin dalla fase dell’approvigionamento e la definizione delle tempistiche associate agli obblighi di notifica.
Anello debole della catena rimane ancora l’errore umano: informazione e formazione restano la chiave per avere tecnici più preparati, programmatori più attenti e utenti più consapevoli e attenti: qusto sarà per molti il vero cambio del 2020.
Tra i migliori libri sulla sicurezzainformatica, consigliati anche dagli esperti del settore, ve ne sono alcuni molto interssanti sia in termini accademici che in termini di intrattenimento. Tra questi ve ne solo altri che sono perfettamente in grado di tenere insieme teoria e pratica, ssolutamente da leggere perchè raccontano la storia del nostro tempo, l’era della rivoluzione digitale.
Utili quindi per comprendere appieno la nostra società e il presente, i migliori libri che trattano di sicurezza informatica, tengono anche in considerazione che la trasformazione digitale non è solo tecnologia, ma è molto di più.
Hacking: risolvere un problema in un modo assolutamente non previsto
Jon Erickson, Hacking: The Art of Exploitation
Per questo la lista dei migliori libri che trattano dell’argomento e da non perdere non è solo una classica lista di manuali e guide tecniche che riassumono gli strumenti del mestiere e gli avanzamenti nel campo. Questo perchè il panorama della sicuerzza informatica è piuttosto complesso. Piuttosto qui troverete i titoli di alcuni libri che parlano di un mondo, raccontanto in modo semplice. Infatti i temi della così detta Cyber Security oggi riguardano tutti noi e più un libro ci terrà icollati oltre la quinta di copertina più l’argomento ci appassionerà e vorremo approfondirlo.
Ecco la lista dei migliori 5.
Libri che raccontano la sicurezza informatica e l’hacking
‘L’arte dell’Hacking: le idee, gli strumenti, le tecniche degli hacker’, titolo originale “Hacking: The Art of Exploitation”: al primo posto il libro di Jon Erickson con la prefazione di Raoul Chiesa. E’ un libro che racconta le cose dal punto di vista di un hacker ed è questa la cosa interessante: che non bisogna essere tecnici informatici per leggerlo. In generale il libro di Erickson – uno dei maggiori esperti di sicurezza informatica al mondo – è un manuale, sulle idee, gli strumenti e le tecniche degli hacker, (che include nella versione originale anche un live cd in ambiente Linux). Su ZeusNews, potrete trovare una recensione approfondita.
‘The Art of Invisibility‘, è un altro libro scritto dal famoso hacker Kevin Mitnick, che nelle sue pagine spiega come restare sicuri nell’epoca dei Big Data. Sempre Di Mitnik è un altro interessante libro: ‘Il fantasma nella rete’- titolo originale Ghost in the Wires: My Adventures As the World’s Most Wanted Hacker – ed è la sua autobiografia, che altro non è la storia di Condor uno degli hacker più ricercati al mondo. Le domande restano aperte: chi c’è dietro le maschere di Anonymous e da quali idee sono mossi?
Per chi ama la crittografia non può non leggere ‘Codici & segreti. La storia affascinante dei messaggi cifrati dall’antico Egitto a Internet’ di Simon Singh. Una storia senz’altro affascinante, indubbiamente avvincente e sicuramente appassionante che vede il mondo della crittografia dalla parte di chi cerca di occultare e da chi cerca il modo per violare i messaggi cifrati.
Indubbiamente contemporaneo è ‘Social Engineering: the Science of Human Hacking’ di Christopher Hadnagy, CEO e Chief Human Hacker di Social-Engineer, LLC. L’ingegneria sociale, altro non è che l’arte di sfruttare, influenzare e manipolare le debolezze umane per sferrare nuovi cyber attacchi. Con questo volume, ricco di informazioni pratiche,Hadnagy insegna e sottolinea che nella sicurezza informatica l’elemento umano è sempre l’anello debole.
‘The Cyber Effect’ di Mary Aiken è l’ultimo libro, per oggi, anche perchè la lista avrebbe potuto essere molto più sostanziosa. A parte avere il merito di rappresentare un’aesplorazione rivoluzionaria del Cyberspazio è una lettura sicuramente da non perdere. Muovendosi tra le sue pagine si affronta la questione di come la tecnologia oggi abbia invaso le nostre vite, cambiando inevitabilmente il nostro comportamento.
Per riassumere le scelte sono state condizionate da un pensiero condiviso: ovvero che la tecnologia non sia buona nè cattiva e l’unica scelta che noi abbiamo è conviverci in modo intelligente. Anche leggendo qualche buon vecchio libro di carta, qualche volta.
Sicurezza informatica: massima attenzione non solo sui malware che girano in questi giorni con campagne malspam ma anche sulle fakenews, che in questi giorni rischiano di avere un forte impatto con l’aumentare delle preoccupazioni legate al coronavirus.
Così, mentre Oms e Iss scendono in campo contro le notizie false che crescono in modo esponenziale sui social media, pregando di non dare credito alle fonti non ufficiali, i criminali informatici approfittano della situazione di paura globale ed entrano in azione. Il Coronavirus diventa così un’esca o meglio un’arma di facile portata.
Sicurezza informatica: un malware sfrutta la paura del contagio
E’ di pochi giorni fa il comunicato del Singapore Computer Emergency Response Team che avvisa che i criminali informatici stanno sfruttando la situazione del Wuhan Coronavirus per condurre attività informatiche dannose attraverso mezzi come e-mail o messaggi che inducono gli utenti ad aprire allegati dannosi offrendo ulteriori informazioni relative alla situazione sull’epidemia.
Si cerca così, a livello di sicurezza, di monitorare in modo costante le ultime minacce rilevate attraverso i messaggi di posta elettronica che usano il coronavirus come oggetto, cercando di convincere le vittime ad aprire il contenuto, mascherandosi dietro notifiche ufficiali dei centri di salute pubblica. La prima grande ondata di malware è stata rilevata da IBM X-Force Threat.
Mentre Hong Kong è in subbuglio a causa delle proteste che si sono trasformate in un’opposizione all’ingerenza di Pechino nell’autonomia di Hong Kong, un cyber attacco,basato su malware, cerca di raccogliere e sottrarre dati.
Gli attacchi sarebbero incominciati durante le proteste di Hong Kong di marzo 2019, avrebero nel mirino altre tre università cinesi e sarebbero associati al gruppo Winnti, attivo dal 2011 e farebbe parte dei gruppi di hacker sostenuti dal governo cinese. I ricercatori di Kaspesky hanno scoperto dei collegamenti con la violazione del LiveUpdate di ASUS durante l’Operazione ShadowHammer.
Un wallpaper malevolo con Kobe Brynat: cryptojacking
Mentre il mondo piange la perdita di Kobe Bryant, leggenda della NBA, i criminali informatici stanno anche qui e come previsto, approfittando della tragedia. Microsoft lo annuncia in un Tweet di oggi. Si tratta di un file HTML con lo sfondo che ritrae Kobe Bryant ma con uno script malevolo.
Cyber Crime: il nuovo ransomware basato su Node.js si chiama Nodera. Riscontrato da Quick Heal Security Labs, durante le attività di “caccia alle minacce” secondo il CERT-PA non ha ancora colpito l’Italia ma si continua a monitorarne gli ulteriori sviluppi per realizzare le difese di sicurezza necessarie.
Secondo la società di analisi Forrester gli attacchi ransomware sono triplicati e gli incidenti causati “cresceranno poichè tenere in ostaggio i dati è un percorso rapido verso la monetizzazione”. I cyber attacchi e gli incidenti sono quindi destinati ad aumentare.
Ma non solo perhè i criminali informatici stanno diffondendo ransomaware fuori dal comune.
L’uso del frameworkNode.js infatti non è comune nelle famiglie di malware: questo ransomware è unico nel suo genere e utilizza il framework Node.js, che gli consente di infettare il sistema operativo basato su Windows.
Node.js: cosa è e come funziona
Ma cosa è Node.js? Per addentrarci in un’analisitecnica Node.js è un ambiente runtime JavaScript open-source, multipiattaforma che esegue codice JavaScript all’esterno di un browser e basato sul motore JavaScript V8. V8, a sua volta, è il motore JavaScript e WebAssembly ad alte prestazioni open source di Google, scritto in C ++.
Implementa ECMAScript e WebAssembly e funziona su Windows 7 e successivi, MacOs 10.12 e successivi e sistemi Linux (processori: x64, IA-32, ARM o MIPS)
Nodera, un nuovo e orribile ransomware progettato dal Cyber Crime
Il nuovo ransomware Nodera, che risulta ancora in fase di sviluppo, può facilmente infettare durante la navigazione online: il tutto può accadere cliccando su un file HTA malevolo.
Le modalità di Nodera, afferma Difesa e Sicurezza, sarebbero simili agli altri ransomware: “come di consueto, una volta eseguito, il ransomware cifra i file e aggiunge l’estensione “.encrypted”. All’utente appare un file HTML con la nota di riscatto” (0.4 Bitcoin).
Privacy e Protezionedati: il 2020 si prospetta come un anno fitto di impegni a ritmi serrati mentre centinaia di disegni di legge rimangono in sospeso in tutto il mondo. Si discutono intanto i rischi associati ai dati biometrici e alla localizzazione, mentre alcuni legislatori negli Stati Uniti vorrebbero includere la cronologia di navigazione web. Mentre aspettiamo per vedere se le informazioni che rivelano le nostre attività online verranno incluse o meno, vediamo quali sono le tendenze, le previsioni e le agende 2020 dei paesi dei prossimi 12 mesi con un focus su Europa e Italia.
Privacy 2020: l’agenda sulla scrivania del garante
Agenda Digitale, in modo cronologico, ha elencato tutto quello che è stato fatto nel 2019, anno decisivo a livello sia europeo che generale per il GDPR e in generale per la protezione dei dati. L’elenco delle arttività più significative è disponibile qui di seguito: Privacy e protezione dei dati, ecco le urgenze 2020.
Tra gli interventi più attesi del 2020 per la protezione dei dati invece, un ruolo determinante sarà dato al Regolamento e-Privacy, che dovrebbe intensificare l’impatto del Gdpr In Europa. L’obiettivo è quello di creare un quadro normativo omogeneo nel contesto delle comunicazioni elettroniche. Nuove disposizioni quindi per i dati memorizzati o inviati dai device digitali, introducendo norme più severe per le attività di marketing.
Ruolo importante anche per le Nuove Guidelines dall’EDPB in programma e la pronunciazione pronunci sul digital marketing e sui cookie, oltre che sulle versioni finali realtive alla normativa in materia di videosorveglianza e il diritto alla cancellazione o diritto all’oblio, consentendo di deindicizzare il proprio nome dai risultati che compaiono nelle prime pagine Google.
Previsioni su Privacy e Protezione dei dati per il 2020
In materia di privacy, alquanto sensibilizzata in Europa, non è da dimenticare la protezione dati sulle piattaforme social per garantire una maggiore protezione dei dati sensibili dei cittadini dell’UE.
Ad ogni modo vedremo le strategie della Privacy combinarsi con quelle della Cyber Security, e nuove regola sulle cessioni di dati a terze parti e come le stesse li condividono con la quarta, la quinta e via dicendo: dovrà quindi essere compreso come i dati di un’organizzazione vengono utilizzati, archiviati e accessibili da altre parti.
I “cimiteri didati” diventano un rischio per la conformità: al riguardo la società immobiliare Deutsche Wohnen che per anni ha archiviato illecitamente dati sensibili, è stata duramente sanzionata da Berlino: l’accusa è di aver elaborato in modo inappropriato i dati di inquilini e proprietari di case per un lungo periodo sproporzionato.
Infine, la privacy dei dati, se gestita in modo ottimale, diventa oggi un fattore strategico.
Reti neurali artificiali: l’intelligenza artificiale, sempre più utilizzata per prevedere, identificare ed eliminare minacce informatiche, sta per rivoluzionare la CyberSecurity?
Dal punto di vista dell’utilizzo sul campo, l’introduzione di strumenti di Machine Learning ha permesso oggi di gestire problematiche che richiedono analisi estremamente lunghe e complesse. L’aspettativa per i vantaggi che l’applicazione dell’Intelligenza Artificiale potrà portare alla CyberSecurity è attualmente molto alta perchè le nuove risorse di aiuto potrebbero derivare direttamente dall’AI. Attualmente l’Ai viene utilizzata per prevedere le minacce, identificare le vulnerabiltà e arrestare i Cyber Attacchi più velocemente.
La velocità nel 2020 è diventata infatti indispensabile e per un essere umano analizzare grandi volumi di dati è pressochè impossibile, questo è il caso di un gran numero di data log relativi agli attacchi informatici.
Agenda Digitale spiega quali sono i progressi fatti nel campo analizzando un recente rapporto di Forrester Research: tra questi la biometria e l’elelaborazione del linguaggio neurale. Se la biometria può contribuire a ridurre i tassi di frode e migliorare il livello di sicurezza contro gli attacchi cche utilizzano credenziali rubate, la tecnologia legata all’elaborazione del linguaggio naturale (NLP) è in grado di leggere e comprendere i testi scritti dall’uomo. IBM Watson per la Cybersecurity, ad esempio, comprende il testo scritto e quindi può essere utilizzato ai fini di un’analisi aggiuntiva.
Non solo la Forrester si è cimentata in questa ricerca, se ne è parlato anche alla tavola rotonda durante evento Hot Topics on Networking and Cybersecurity organizzato da NetEvents in Portogallo: ossia quali possano essere gli effettivi utilizzi dell’intelligenza artificiale per potenziare le capacità predittive dei sistemi e quindi difendere dagli attacchi in modo ottimale. Roark Pollock, SVP Marketing di Ziften Technologies (soluzioni cloud di protezione degli endpoint) ha affermato che oggi non si possa ancora concretamente parlare di vera e propria AI applicata alla cybersecurity, ma al contempo NLP e machine learning hanno compiuto importanti progressi.
E’ comunque un dato di fatto che lo sviluppo e l’applicazione dell’Intelligenza Artificiale sta progredendo ovunque e naturalmente il settore della sicurezza delle informazioni e quello della Cyber Security sono inclusi. Le tecnologie di ML e AI sono state studiate per la loro applicazione nell’ambito della Cyber Security in TIM, al tempo della costruzione della piattaforma di Big Data di Security.
Le reti neurali artificiali oggi svologono un ruolo sempre più importante nella gestione della rete: tecnologia che resa più flessibile e sciura potrebbe sempre più migliorare il rilevamento di falsi allarmi. Allo stato di fatto la quantità di ricerca condotta sull’applicazione di reti neurali per rilevare le intrusioni sono limitate, anche se diversi studi hanno rilevato che l’utilizzo di reti neurali artificiali può identificare un attacco in situazioni ove le regole non sono note e con maggior coerenza. Le sfide future sono l’affidabilità e la precisione nell’identificazione delle intrusioni in rete non sicure.
Le reti neurali di Google Brain
Le reti neurali di Google Brain hanno imparato da sole a nascondere i segreti, cifrandoli: il team di ricerca di Google, noto come Google Brain, ha dimostrato che una rete neurale artificiale può apprendere autonomamente a nascondere il contenuto dei propri messaggi durante le sue interazioni comportamentali. Basato sulla comunicazione di tre diverse reti neurali, soprannominate Alice, Bob ed Eve, appositamente istruite a comunicare fra di loro, il progetto ha dato risultati strabilianti.
Cyber Security 2020: a pochi giorni del World Economic Forum (WEF) si discute già delle questioni più urgenti che il mondo si trova ad affrontare.
Soprattutto giono dopo giorno la tecnologia non solo diviene sempre più avanzata ma è costantemente in sviluppo. La società, in base ad una connettività continua, sta cambiando e facendo crescere l’utilizzo di sempre più piattaforme: datacenter, cloud e dispositivi Internet degli oggetti (IoT). Nel 2020 questa prima tendenza continuerà ad aumentare. Quale sarà il prezzo da pagare? Naturalmente le nostre accresciute vulnerabilità: più siamo connessi più i dati divengono vulnerabili.
Se solo guardiamo i progressi degli ultimi due anni, i risultati di analisi e reports sulla sicurezza informatica riportano il fatto che la Cyber Security non solo è diventata la garanzia di protezione, efficacia e resilenza ma anche il tallone d’Achille per una nuova innovazione. I progressi entusiasmanti dell’Intelligenza Artificiale (AI) e dell’Internet delle cose (IoT) ne sono un esempio.
Le principali previsioni sulla Cyber Security del 2020, o le tendenze in crescita, come si preferisce chiamarle, oltre ad analizzare a fondo cosa sta funzionando o meno e guardano comunque al futuro per esaminare nuove soluzioni informatiche alle nuove minacce che stanno per presentarsi.
Oltre a ransomware più mirati, nuovi attacchi al Cloud e attravreso la tecnologia deepfake, tutti concordano sul fatto che la sicurezza informatica sia oggi e lungo il 2020, soprattutto, più importante che mai. L’FBI ha difatti ultimanente ammorbidito la propria posizione nei confronti dei ransomware sempre più dannosi: in alcuni casi viene ammesso quindi il pagamento del riscatto per porteggere azionisti, clienti e gli stessi dipendenti. Inoltre, si prevede che con le elezioni presidenziali degli Stati Uniti del Novembre 2020 che i deepfakes venranno sfruttati per tentare di screditare i candidati e inviare messaggi politici fasli agli elettori attraverso i social media.
Dorit Dor, della Check Point Technologies, riassume i trend della sicurezza informatica in tre sezioni principali: la guerra cibernetica Est-Ovest, che si intensificherà, nuove vulnerabilità dovute alle tecnologie del 5G e dello Iot e il ripensamento della tecnologia Cloud da parte delle aziende che hanno bisogno di nuove architetture più flessibili su cloud che offrano protezione scalabile a velocità elevata.
Cyber Security 2020 e gli attacchi di quinta generazione
Lo sviluppo della tecnologia 5G e dell’Internet of Things aumenteranno le vulnerabilità degli utenti: si parla di attacchi informatici di quinta generazione su larga scala. Molte aziende però non sono ancora preparate contro attacchi di questo tipo: multi-dimensionali, multi-stadio, multi-vettore, polimorfici, in poche parole estremamente articolati.
Ma cosa è un attacco di Quinta Generazione? Un attacco cibernetico estremanente pericoloso e a grande scala, progettato per infettare più componenti di un’infrastruttura informatica, comprese le reti, le macchine virtuali istanze cloud e i dispositivi endpoint. Un attacco di questo tipo è in grado di superare le barriere di difesa dei FireWall: primi esempi di questo tipo di tacchi sono stati NotPetya e WannaCry.
Le soluizioni attuate sino ad oggi sono state quelle di diminure la superficie di attacco, prevedere le minacce in tempo reale e l’utilizzo di Firewall con funzioni avanzate di nuova generazione (NGFW).
Privacy e Dati Personali: tra le linee strategiche definite dalla XXXXI Conferenza internazionaledelle Autorità per la protezione dei dati (ICDPPC) la privacy è riconosciuta al primo posto come diritto fondamentale per il buon funzionamento delle democrazie. L’ICDPPC ha fissasto inoltre i punti chiave della sua azione tra cui: lotta ai messaggi inneggianti al terrorismo sui social media, cooperazione tra le Autorità nella tutela dei dati personali e riduzione dell’errore umano nelle violazioni dei dati (data breaches).
Il piano strategico della GPA per il 2019-2021 riguarda una serie di priorità strategiche tra cui:
la promozione della privacy globale nell’era digitale
un ambiente normativo con standard chiari ed elevata protezione dei dati
massimizzare la voce della GPA, migliorandone il ruolo, rafforzando le relazioni con gliorganismi internazionali.
sviluppare le capacità e le conoscenze dei suoi membri attrverso le miglori pratiche.
Privacy e Dati Personali. Il documento del piano strategico 2019-2021 mette la cooperazione al centro del suo operato: nel supportare le autorità di tutto il mondo e migliorando la prevenzione, l’individuazione, la deterrenza e la soluzione efficaci dei problemi relativi alla protezione dei dati, garantendo coerenza e prevedibilità nella protezione delle informazioni personali in tutto il mondo.
Privacy e Dati Personali: misure e salvaguardie per ridurre i rischi
C’è bisogno di un profondo ripensamento volto all’impegno nell’introdurre misure e salvaguardie per ridurre i rischi per il trattamento dei dati personali: soprattutto per quanto riguarda le piattaforme utilizzate nei processi aziendali. Queste ultime andrebbero riprogettate, ripensate e riottimizzate alla luce dei paradigmi introdotti dal GDPR. Il problema maggiore si presenta nella valutazione dei rischi.
Ecco perchè in una riunione dell’European Data Protection Board sono state approvate le linee guida sulla Data Protection by Design & Default: linee guida sulla protezione dei dati personali fin dalla progettazione e per impostazione predefinita.
Tra i punti più importanti e su cui si è focalizzata l’attenzione ci sono appunto le piattaforme applicative o technology provider, le quali dovrebbero garantire una progettazione ed un funzionamento in linea con le indicazioni del GDPR.
L’Art. 25 del Regolamento europeo per la protezione dei dati personali introduce il principio di privacy by design e privacy by default. Il primo concetto, che risale al 2010 e coniato da Ann Cavoukian è basato sula privacy come impostazione di default: i problemi quindi vanno valutati nella fase di progettazione, in base al principio del prevenire e non correggere e l’utente viene messo al centro di tutto.
La privacy by default, ovvere la protezione per impostazione predefinita, riguada invece la non eccessività dei dati raccolti: il sistema del trattamento dei dati quindi dovrebbe essere in misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini.
Cyber Security Ultime Notizie: nel 2020 i cyber attacchi e gli incidenti aumenteranno. La notizia di CyberSecItalia si basa sulle previsioni per il prossimo anno della società di analisi. “Gli incidenti causati da attacchi ransomware cresceranno poichè tenere in ostaggio i dati è un percorso rapido verso la monetizzazione. Gli aggressori sempre più esperti, indirizzeranno i loro attacchi a dispositivi di consumo (e ai consumatori) a scapito dei produttori di dispositivi“.
Attacco ransomware: LifeLabs paga il riscatto
Tra le ultime notizie che hanno accesso varie controversie c’è l’attacco subito dalla canadese LifeLabs. La portata dell’attacco ransomware in Novembre ha portato l’azienda a pagare il riscatto per proteggere i dati sensibili di circa 15 milioni di utenti. LifeLabs esegue infatti ogni anno milioni di test di laboratorio e il bottino dei criminali informatici conteneva, oltre ai soliti nomi, indirizzi fisici, e-mail, password, date di nascita, i numeri di tessera sanitaria e i risultati dei test di laboratorio dei propri pazienti. La decisione di pagare il ricatto è così stata presa per poter rientrare in possesso delle informazioni sottratte evitando così divenissero pubbliche.
La storia di LifeLabs è piuttosto controversa, a partire dal fatto che non è la prima volta che un’azienda capitola di fronte ad un attacco ma soprattutto perhè la conseguenza potrebbe essere quella di incentivare atti emulativi.
In questi ultimi giorni però, gli sviluppatori di Maze, uno degli ultimi ransomware, hanno appunto pubblicato un sito dove per chi non cede alle estorsioni vedrà pubblicato la data dell’attacco, i nomi dei propri file, i volumi dell’archvio, l’indirizzo IP delle macchine attaccate e così via.
Cyber Security ultime notizie: la nuova variante della botnet GoldBrute
CyberSecurity360 ha pubblicato nei giorni scorsi tutti i dettagli tecnici e i consigli per mitigare i rischi di un possibile attacco della nuova variante della botnet GoldBrute che sta prendendo di mira i server RDP (Remote Desktop Protocol) in tutto il mondo: lo scopo è trasformarli in altri bot ai comandi dei criminali informatici. La pericolosa variante è stata scoperta in Italia dagli analisti di CybergON business unit di Elmec Informatica, che affermano che alcune parti di codice malevolo non ancora completamente operative.
Cybersecurity Leonardo (ex Finmeccanica) guarda al Centro di Valutazione e Certificazione nazionale.
Alessandro Profumo, CEO di Leonardo, in occasione del discorso di apertura di Cybertech Europe 2019, ha ricordato che il gruppo” è disposto a ricoprire un ruolo chiave nel panorama europeo della sicurezza informatica”
Il 21 novembre è entrata in vigore la legge che definisce il perimetro di sicurezza cibernetica nazionale. L’Italia così accelera la consapevolezza sul tema della sicurezza informatica ma non solo: la strada che si sta percorrendo è quella che procede verso la costituzione di un Comando delle operazioni in rete che riunisca tutte le capacità delle Forze armate nel settore cyber.
Leonardo Spa (ex Finemccanica), attivo nei settori della difesa, dell’aerospazio e della sicurezza, dovrebbe avere un ruolo cruciale. Barara Poggiali, in un’intervista a Wired ha affermato che Leonardo SpA potrebbe avere “un ruolo per fare certificazioni e assicurare la resilienza“. In particolare Leonardo guarda al Centro di Valutazione e Certificazione nazionale (Cnvc) istituito presso il Ministero dello Sviluppo Economico (Mise), con il compito di analizzare le tecnologie critiche delle reti e dei sistemi informativi. Il Cnvc infatti che sarà dotato di un laboratorio interno per analizzare prodotti hardwaree software si appogegrà anche a centri esterni accreditati”.
CyberSecurity Leonardo: la sicurezza della distribuzione energetica
Il 6 Dicembre al Forum CyberSecurity svoltosi a Napoli, si è dicusso delle necessarie iniziative di cooperazione pubblico/privato in tema di sicurezza informatica, e quidni del bisogno di facilitare il dialogo tra Governo, Industria e Università per valorizzare e implementare le competenze ingegneristiche in materia di Cyber Security.
La CyberSecurity infatti, al di là di rappresentare una fondamentale importanza in senso militare e quidni una questione nodale per la difesa del Paese, riguarda i servizi come quello della distribuzione energetica, i sistemi bancari e l’assistenza sanitaria tanto per citarne alcuni.
La divisione Cyber di Leonardo, è infatti al lavoro sul progetto europeo Secure Gas, per la protezione delle reti di distribuzione del gas a livello continentale. Ombretta Arvigo, specialista della divisione CyberSecurity di Leonardo ha affermato infatti che: “si va sempre più verso un modello e soluzioni di sicurezza che mettono insieme la sicurezza ‘fisica’ di reti e strutture con la loro sicurezza ‘cyber’. Perché mondo reale e digitale sono sempre più intrecciati e interconnessi”.
Tra le preziose partnership di Leonardo c’è infatti anche il nome di Saipem: l’occasione di riunire questi due grandi nomi è stato il Cyber attacco del 2018: occasione che ha visto la Saipem iniziare ad investire non solo su innovazione e nuove tecnologie ma anche nella formazione del personale (Cyber Security Awareness).
Alla tavola rotonda hanno partecipato: Alberto Manfredi (Head of Cyber Information & Security – Business support, di Leonardo Spa); Marco Tulliani (Chief information Security Officer di Bnl Spa); Nicola Sotira (Direttore della Fondazione GcSec).