Tag: cyber security

social engineering

Social Engineering, di cosa si tratta esattamente?

18 Giugno 2019

Il social engineering – l’ingegneria sociale – è l’arte di manipolare persone coinvolte in dinamiche sociali e, dunque, di gruppo. Il suo scopo è quello di carpire informazioni sensibili.

Quest’arte della truffa è sempre più usata con un allarmante tasso di successo per violare sistemi informatici. Tra gli analisti si fa avanti l’idea di affrontare il fenomeno con un approccio che fonda l’aspetto tecnico con quello psicologico/antropologico/umanistico. Il solo approccio tecnico è decisamente insufficiente ad arginare il social engineering.

Efficienza del Social Engineering

L’evoluzione tecnologica ci ha condotto a vivere in un momento storico in cui le interazioni umane quotidiane avvengono  oramai in un contesto prevalentemente “non fisico”.
Non più contatti faccia a faccia, ma cloud, big data, social media e mobile.  Gli attacchi di Social Engineering risultano pericolosi proprio perché non tecnici. O quantomeno non principalmente tecnici.

Le aziende possono adottare misure di sicurezza fitte, strutturate ed all’avanguardia, ma ovunque sia presente forza lavoro “umana”,  sono presenti anomalie costantemente rilevabili.  Autostima, fiducia negli altri, sottomissione, calcolo, interesse, dissonanza cognitiva, ignoranza, sono i nuovi piedi di porco (armi?) che rendono di poco conto – a volte inutili – tali misure difensive.

Come combattere il Social Engineering

Il Social Engineering non è altro che la manipolazione umana: sfrutta conoscenze nell’ambito psicologico, sociologico, antropologico, umanistico ed infine informatico. Non esistono quindi misure di sicurezza tecniche costantemente e sicuramente valide, che possano arginarlo.

L’unica risposta plausibile ad esso è il coinvolgimento della forza lavoro tutta. La formazione delle risorse umane è il principale modo di fornire loro gli strumenti per poter riconoscere un eventuale attacco e, conseguentemente, poter rispondere adeguatamente ad esso.

I target più comuni sono i lavoratori che si trovano “ciberneticamente” ai confini dell’azienda: receptionist, help desk, assistenti, clienti e fornitori.
L’attaccante dapprima instaura una certa tipologia di relazione con la vittima (professionale, d’amicizia, empatica e così via). Successivamente, crea appositamente una situazione di grave emergenza e si propone come unico risolutore.

Aperto il varco in e tramite uno dei bersagli sopracitati,  per l’attaccante è semplice  iniettare una entità tecnologica (backdoor, spyware, malware…) qualsiasi. Questa, a sua volta, può generare impatti fortemente negativi per l’azienda: una “semplice”  perdita economica, perdita di business continuity, conseguenti danni reputazionali.

Non è un caso se GDPR e normativa sui dati personali si basino contemporaneamente su tecnica ed umanistica. Queste devono dunque divenire competenze imprescindibili per gli analisti.

Condividi:
php 5 end of life

PHP 5 fine vita – milioni di siti web vulnerabili

19 Dicembre 2018

A partire da questo mese, le versioni 5.6 e 7.0 del linguaggio di scripting lato server PHP raggiungeranno la fine del ciclo di vita e non saranno più supportate. I siti Web che utilizzano queste versioni di PHP verranno eseguiti su piattaforme che non riceveranno più aggiornamenti o patch di sicurezza.

Tali siti saranno estremamente vulnerabili ad attacchi informatici e, di conseguenza, all’esposizione dei dati.

Diffusione di PHP 5

E’ necessario aggiornare immediatamente i siti che eseguono PHP 5  alle versioni più recenti (e supportate!) di PHP: 7.2 e 7.3.  Purtroppo a molte aziende manca la visibilità di quante e quali applicazioni possiedano. Quali di esse siano esposte su Internet e di conseguenza ad attacchi. Quali eseguano PHP e, conseguentemente, debbano aggiornare all’ultima versione.

PHP 5 è ancora molto diffuso, eppure è evidente ci si stia muovendo per aggiornare i siti. Nel grafico seguente, è possibile osservare un picco nell’adozione della versione 7 di PHP, probabilmente in un ultimo tentativo di aggiornamento prima della fine del ciclo di vita:

DISTRIBUZIONE DELLE VERSIONI DI PHP

 

Stato del supporto e cicli vitali

NON riceverà aggiornamenti di sicurezza dopo il 31 dic 2018.

NON riceverà aggiornamenti di sicurezza dopo il 3 dic 2018.

Riceverà aggiornamenti di sicurezza fino al 1 dicembre 2019.

Riceverà aggiornamenti di sicurezza fino al 30 novembre 2020.

Rriceverà aggiornamenti di sicurezza fino al 6 dicembre 2021.

 

E’ sufficiente ragionare su alcuni dati:

  • WordPress, il software che alimenta il 31% dei siti web, raccomanda l’utilizzo di PHP 7.2 ma il 64,5% usa ancora il 5.x e il 19,8% usa 7.0.
  • Laravel 5.7 richiede ≥7.1.3.
  • Magento 2 supporta 7.0.13-7.0.x e 7.1.x.

Conseguenze prossime

Per fare un esempio, proprio recentemente, è stata divulgata una nuova vulnerabilità di Drupal che ha richiesto la necessità di applicare patch su migliaia di host.

Sfortunatamente, molti team di sicurezza sono parzialmente ciechi: risorse sconosciute, non documentate e non gestite che spesso fungono da incursioni per attacchi informatici e violazioni dei dati dall’esterno. Avrebbero bisogno di un sistema che monitorasse costantemente le risorse Web. Uno strumento di scansione che si aggiorni automaticamente con le ultime informazioni sulle nuove vulnerabilità, proprio come le versioni obsolete di PHP.

E’ chiaro che molte aziende non siano in grado di porre rimedio autonomamente a queste vulnerabilità. Ma la visibilità della portata dell’impatto consente ad un’organizzazione di gestire e comprendere il proprio rischio complessivo e di quali strategie adottare.

E’ dunque ovvio che quelle aziende che possiedono siti che utilizzano ancora PHP 5.x (o 7.0) debbano contattare il proprio provider di hosting per iniziare ad utilizzare una versione sicura del linguaggio. Quantomeno la 7.2.

Le aziende che avessero necessità di identificare se siano vulnerabili o che avessero necessità di supporto nel migrare (piattaforme o applicazioni) ad una versione sicura di PHP contattino NAD oggi stesso.

Condividi:
Marriott Starwood hacked

Marriott hotels sotto attacco – a rischio dati 500 milioni clienti

3 Dicembre 2018

Attacco haker al colosso del turismo a stelle e strisce Marriott.

Il database delle prenotazioni della catena di alberghi Starwood, parte del gruppo Marriott, ha subito un attacco hacker. L’attacco stesso ha coinvolto i dati di 500 milioni di clienti dal 2014. O almeno, così riferisce la società, aggiungendo che è in corso un’inchiesta interna e che i clienti colpiti verranno avvisati.

La Marriott ha spiegato in una nota che un dispositivo di sicurezza interno ha segnalato un tentativo di accesso al database Starwood.
Anche il procuratore generale di New York ha aperto un’istruttoria sul caso.

Una «persona non autorizzata» causa dell’attacco

Dopo una breve indagine è emerso che «una persona non autorizzata si è appropriata di alcune informazioni». Per 327 milioni dei 500 milioni clienti colpiti si tratta di

dati personali come nome, cognome, indirizzo di casa, di posta elettronica, numero di telefono, numero del conto, data di nascita, giorno di arrivo e della partenza.
Siamo profondamente dispiaciuti per l’incidente

ha detto la compagnia americana annunciando di aver creato un sito per aiutare i clienti colpiti negli Stati Uniti e in altri Paesi.

Questo subito da Marriot è più grande data breach della storia

Secondo il principal security researcher di Kaspersky Lab,

si tratta di uno dei più grandi data breach di sempre. Mentre cerchiamo di accertare l’entità reale dell’attacco, sembra chiaro che le precauzioni prese dal gruppo Marriott non siano state sufficienti, dal momento che una terza parte non autorizzata è riuscita ad infiltrarsi nel sistema. I dati erano criptati, ma è possibile che gli hacker abbiano sottratto anche le chiavi di accesso, a riprova del fatto che un ulteriore livello di sicurezza sarebbe dovuto essere presente al fine di evitare una situazione simile.

Il rischio per le carte di credito

Non solo la mole di dati trafugati è enorme, ma la tipologia di dati personali coinvolti rappresenta un database di dati estremamente privati di milioni di persone; in alcuni casi sono stati coinvolti persino i dati delle carte di credito. Questo apre la possibilità che ulteriori minacce possano verificarsi, da attacchi di spear-phishing al cyber spionaggio. Un incidente di tale portata potrebbe rappresentare un punto di svolta nell’adozione di policy per la privacy e di più attente abitudini personali circa i dati che condividiamo.

 

Condividi:
attacco hacker allarmante

Attacco Hacker – danni alla pubblica amministrazione italiana

23 Novembre 2018

Il 12 Novembre è avvenuto un allarmante attacco hacker, che ha avuto ricadute importanti in particolare nella pubblica amministrazione.

Sicuramente l’attacco cibernetico dal maggior impatto lanciato nel 2018 contro l’Italia.

Gli hacker hanno trafugato i dati personali di centinaia di migliaia di cittadini. Hanno colpito circa 3000 soggetti del pubblico e del privato, più di 30000 domini e circa 500000 caselle postali, delle quali 98000 del CISR (Comitato Interministeriale per la Sicurezza della Repubblica).

“La situazione è sotto controllo, ma vanno prese al più presto misure adeguate per innalzare le cyber difese”

Questa la dichiarazione dell’Intelligence Italiana. L’attacco sembrerebbe essere partito dall’estero, per poi essere bloccato nel giro di poche ore.

Pubblica amministrazione

L’azione ostile ha mandato in tilt i tribunali, poichè il furto di dati personali delle Pec di magistrati ha generato il conseguente blocco dei servizi delle Corti d’appello di tutto il Paese.

L’attacco hacker ha interessato anche i ministeri di Esteri, Interno, Difesa, Economia, Sviluppo economico. Roberto Baldoni, il vicedirettore del Dis con delega alla cyber security, dichiara che la situazione ora è sotto controllo; quanto accaduto dimostra che debbano essere prese al più presto misure adeguate per innalzare le cyber difese.

Telecom di Pomezia bersaglio dell’attacco hacker

La polizia postale indaga sugli hacker, il cui bersaglio sarebbe stato Telecom di Pomezia (Roma), fornitore di servizi di Posta Elettronica Certificata.

Il 12 Novembre l’azienda si è resa conto di quanto stesse accadendo ed ha bloccato il servizio in via precauzionale. Il giorno dopo, Telecom ha notificato l’incidente al Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche; questi infine l’ha segnalato al Nucleo per la sicurezza cibernetica, istituito presso il Dis.

Telecom – per tutelare i propri clienti – ha bloccato il servizio ed ha inviato ai propri utenti una mail contenente un link per ottenere il reset della password della pec. L’azienda riattiva la casella postale certificata dell’utente solo dopo che questi ha eseguito il cambio della password stessa.

Il 14 novembre Giuseppe Conte ha ricevuto la notifica dell’episodio, data la rilevanza del medesimo. Il presidente del Consiglio  ha convocato una riunione tecnica del Comitato interministeriale per la sicurezza della Repubblica (Cisr) per un approfondimento.

Al termine della riunione Baldoni ha tenuto una conferenza stampa per rassicurare la popolazione in merito alle operazioni di contenimento adottate:

“la situazione è sotto controllo, il ripristino della funzionalità è tuttora in atto”. I singoli devono cambiare le password di accesso alla Pec.

Il vicedirettore dei Dis ha inoltre segnalato la necessità di rendere più forte il sistema di difesa, sostenendo che non si tratti di un problema tecnologico ma legislativo e contrattuale.

Strategia conseguente all’attacco

Il Cisr ha individuato le azioni da attuare al più presto.  Il vicedirettore del Dipartimento delle Informazioni per la Sicurezza ha affermato che

“gli operatori che erogano servizi essenziali per il funzionamento del Paese devono innalzare il livello delle proprie difese; bisogna poi evitare contratti nella Pa sulla base del massimo ribasso nel campo del cyber ed attivare un Centro di valutazione e certificazione nazionale per i prodotti, processi e servizi telematici delle organizzazioni inserite all’interno del perimetro della sicurezza nazionale”.

Chi gestisce informazioni delicate per il Paese – quali le Pec dei ministeri – deve avere adeguati sistemi di cyber difesa. Tale adeguatezza sarà certificata da un apposito Centro nazionale.

Considerazioni sull’attacco

Il capo della cyber security del Dipartimento delle Informazioni per la Sicurezza, istituzione responsabile al massimo livello della sicurezza del Paese, ha il compito di anticipare ed eludere eventuali attacchi. Il Dis in Italia possiede le equivalenti funzioni della Central Intelligence Agency (CIA) negli Stati Uniti d’America.

Pare strano che il capo della cyber security del Dis abbia consigliato pubblicamente di cambiare le password delle pec a fatti avvenuti. L’intelligence dovrebbe prevenire gli attacchi hacker, intervenendo d’anticipo. E’ evidente che il problema sia stato, purtroppo, sottovalutato o non si sia riusciti ad evidenziarlo col giusto tempismo.

Condividi:
CIO

CIO – cosa possono imparare dalla criminalità informatica

8 Novembre 2018

Nad completa la rassegna della Business Continuity, pensando al modus operandi dei CIO delle aziende.

Ricordiamo che per CIO si intende il direttore informatico, ovvero il manager responsabile della funzione aziendale tecnologie dell’informazione e della comunicazione.

Secondo la ricerca di Hackmageddon sulle motivazioni scatenanti gli attacchi informatici nel 2018, circa l’80% era guidato dal cyber crime (criminalità informatica).

L’organizzazione meticolosa crescente dei gruppi criminali rappresentano un’opportunità per i Chief Information Officer (CIO) lungimiranti di capire chi e cosa stanno affrontando.

Il CIO può essere meglio preparato a mitigare i cyber risk (rischi cibernetici) all’interno dell’azienda, traducendo la psicologia – ovvero le motivazioni – e le modalità di azione di questi attori delle minacce in decisioni perspicaci e informate.

cio

Non tutti i crimini informatici sono connessi con bande

Non tutte le bande di criminali informatici sono in realtà bande. Si tratta a volte di individui singoli, spesso con connessioni con lo stato.

Si faccia l’esempio di Alexey Belan, hacker russo che ha compromesso più di un miliardo di account. Secondo Digital Shadows, egli ha avuto accesso a wiki aziendali che hanno rivelato flussi di lavoro amministrativi e dettagli della rete privata virtuale. Semplicemente, poichè i cookie degli ambienti di staging venivano spesso riutilizzati negli ambienti di produzione, Belan ha potuto bypassare le misure di autenticazione. Ad ogni attacco, ha anche raccolto indirizzi e-mail e password, usati poi per colpire altre vittime.

Il consiglio in merito è che le chiavi e le credenziali di crittografia non debbano essere riutilizzate negli ambienti di produzione e di gestione temporanea (sviluppo…).

I CIO dovrebbero concentrarsi sui fondamentali della sicurezza

Non c’è dubbio che il cyber crimine si sia progressivamente spostato dai lupi solitari a veri e propri sindacati organizzati. Un mix terrificante di mafia e business moderno.

Un chiaro esempio è il gruppo organizzato detto Lazarus, famoso per aver investito il proprio tempo aprendo conti bancari per trasferimenti. Poi, dopo aver trovato un insider per dare una mano con l’accesso alla rete, ha infine distribuito furtivamente keylogger per ottenere le credenziali di vari account.

È importante ricordare che gli attori avanzati di minacce persistenti come Lazarus spesso approfittano dei fondamenti di sicurezza mancanti.

I CIO devono utilizzare le informazioni su tattiche, tecniche e procedure per concentrarsi su aspetti fondamentali: assegnare priorità ad aggiornamenti e patch specifici, formare i dipendenti per identificare le tattiche di phishing e configurare correttamente i dispositivi di sicurezza della rete.

I malintenzionati cercano sempre il modo più facile per entrare in una rete, come ad esempio password predefinite (di fabbrica) di server o semplici attacchi di phishing. Il CIO deve occuparsi di questo e assicurarsi che tutto il suo team sia pronto.

Ogni dipendente ha la responsabilità di concentrarsi sulla sicurezza come parte dei suoi doveri quotidiani.

Il crimine informatico è interessato solo ed esclusivamente ai soldi

Un singolo acronimo rappresenta l’intera mentalità delle corporazioni criminai informatiche: ROI o ritorno sull’investimento. Questo è il motivo per cui acquistare sul dark web credenziali rubate in precedenza e pacchetti di exploit già pronti è fondamentale ed efficace per tali operazioni.

Le motivazioni e la psicologia della maggior parte dei cyber criminali non sono complicate. Il cyber crime è il modo in cui si guadagnano da vivere.

roi

Si prenda come esempio l’organizzazione recentemente smantellata, InFraud, che gestiva un forum nella dark-web che collegava venditori affidabili di carte di pagamento e altri preziosi dati rubati con acquirenti interessati. Si stima che InFraud, in quanto facilitatore di questo commercio, abbia causato perdite per aziende e privati ​​per 455 milioni di euro.

I CIO possono imparare da esempi quali InFraud in molti modi.

È essenziale sapere dove sono archiviati i dati, come accedervi e come potrebbero essere esposti.

I CIO dovrebbero assicurarsi che le aziende possano rilevare l’uso insolito di credenziali valide. Le aziende che agiscono secondo legge dovrebbero provare ad emulare questi modelli collaborativi. In tal modo sarebbe possibile mitigare il cyber risk, scambiando feedback, conoscenze, informazioni e tecniche tra fornitori, gruppi di risposta ad emergenze informatiche e imprese private .

Condividi:
Scroll Up