Blog sulla sicurezza informatica e l’informazione dei sistemi

Andrea Biraghi, Cyber Security manager e direttore della divisione Security and information Systems, lavora da anni per il mantenimento della sicurezza dei sistemi informativi. In una società sempre più digitalizzata ed interconnessa è divenuto ormai indispensabile prendere atto delle minacce esistenti nella rete Internet: solo un costante impegno ed aggiornamento rendono possibile affrontare e combattere i Cyber criminali e riprendersi in fretta dalla loro violazioni. La posta in gioco è alta e la sicurezza dei servizi web è fortemente legata al nostro sviluppo economico: basti pensare al rapido aumento delle connessioni, degli utenti, l’aumento del valore di numerose transazioni effettuate attraverso le reti, la crescita delle imprese legate al commercio elettronico.

Year: 2021

Nuovi standard tecnologia UK andrea biraghi

Nuovi severi standard per i produttori di tecnologia digitale connessa ad Internet in Uk

Nuovi severi standard “anti hacker” per i produttori di tecnologia digitale connessa ad Internet in Uk: la nuova legge introdotta oggi dal governo inglese ha l’obiettivo di proteggere dagli attacchi degli hacker su telefoni, tablet, smart TV, fitness tracker e altri dispositivi collegabili a Internet.

La nuova legge – Product Security and Telecommunications Infrastructure Bill (PSTI) – richiederà a produttori, importatori e distributori di tecnologia digitale che si connettono a Internet o ad altri prodotti di assicurarsi di soddisfare i nuovi severi standard di sicurezza informatica, con multe salate per coloro che non si conformano.

I nuovi standardi di sicurezza per la tecnologia Uk di fatto impediscono la vendita di prodotti collegabili di consumo nel Regno Unito che non soddisfano i requisiti di sicurezza di base, includendo piani per multe fino a 10 milioni di sterline o fino al 4% delle entrate globali per le aziende che non rispettano la normativa

Nuovi standard tecnologia UK: vietate le password predefinite universali

Presentata ieri al Parlamento, la legge consentirà al governo di vietare le password predefinite universali, costringere le aziende a essere trasparenti nei confronti dei clienti su ciò che stanno facendo per correggere i difetti di sicurezza nei prodotti collegabili e creare un migliore sistema di segnalazione pubblica per le vulnerabilità riscontrate in tali prodotti.

Il disegno di legge accelererà inoltre l’implementazione di reti mobili e a banda larga più veloci e affidabili, rendendo più semplice per gli operatori l’aggiornamento e la condivisione dell’infrastruttura. Le riforme incoraggeranno negoziati più rapidi e collaborativi con i proprietari terrieri che ospitano le attrezzature, per ridurre i casi di lunghe azioni giudiziarie che ostacolano i miglioramenti nella connettività digitale.

Il ministro per i media, i dati e le infrastrutture digitali Julia Lopez ha dichiarato:

Ogni giorno gli hacker tentano di entrare nei dispositivi intelligenti delle persone. La maggior parte di noi presume che se un prodotto è in vendita, è sicuro e protetto. Eppure molti non lo sono, mettendo troppi di noi a rischio di frode e furto.

Il nostro disegno di legge metterà un firewall attorno alla tecnologia di tutti i giorni, da telefoni e termostati a lavastoviglie, baby monitor e campanelli, e vedrà multe salate per coloro che non rispettano i nuovi rigidi standard di sicurezza.

La proprietà e l’uso di prodotti tecnologici connessi è aumentato notevolmente negli ultimi anni. In media ce ne sono nove in ogni famiglia del Regno Unito, con previsioni che suggeriscono che potrebbero esserci fino a 50 miliardi in tutto il mondo entro il 2030. Le persone presumono in modo schiacciante che questi prodotti siano sicuri, ma solo un produttore su cinque dispone di misure di sicurezza adeguate per i propri prodotti collegabili.

Leggi anche: Moses Staff un ransomware senza richiesta di riscatto è ancora un ransomware?

moses staff malware

Moses Staff un ransomware senza richiesta di riscatto è ancora un ransomware?

Nel settembre 2021, il gruppo di hacker Moses Staff ha iniziato a prendere di mira le organizzazioni israeliane, con un’ondata di attacchi informatici seh segue quella iniziata circa un anno fa dai gruppi Pay2Key e BlackShadow.

Gli utlimi due gruppi – Pay2Key e BlackShadow – però hanno agito principalmente per ragioni politiche – sottolinea il rapporto CheckPoint – nel tentativo di danneggiare l’immagine del Paese, chiedendo denaro e conducendo lunghe e pubbliche trattative con le vittime. Moses Staff si comporta diversamente.

Moses Staff afferma apertamente che la loro motivazione nell’attaccare le società israeliane facendo trapelare i dati sensibili rubati e crittografando le reti delle vittime, senza richiedere un riscatto. Il loro scopo sarebbe

“Combattere contro la resistenza ed esporre i crimini dei sionisti nei territori occupati”.

Per comprendere il gruppo i risultati chiave del rapporto di CheckPoint sono:

  • MosesStaff effettua attacchi mirati facendo trapelare dati, crittografando le reti. Non vi è alcuna richiesta di riscatto e nessuna opzione di decrittazione; i loro motivi sono puramente politici.
  • L’accesso iniziale alle reti delle vittime è presumibilmente ottenuto sfruttando vulnerabilità note nell’infrastruttura pubblica come i server Microsoft Exchange.
  • Gli strumenti utilizzati di base sono: PsExec, WMIC e Powershell.
  • Gli attacchi utilizzano la libreria open source DiskCryptor per eseguire la crittografia del volume e bloccare i computer delle vittime con un bootloader che non consente l’avvio delle macchine senza la password corretta.
  • L’attuale metodo di crittografia del gruppo può essere reversibile in determinate circostanze.
TheHackerNews

L’accesso iniziale quindi sarebbe ottenuto tramite lo sfruttamento di vulnerabilità note pubblicamente come mezzo per violare i server aziendali e ottenere l’accesso iniziale, seguito poi dall’implementazione di una shell web personalizzata che viene utilizzata per eliminare malware aggiuntivo. Una volta all’interno, gli intrusi sfruttano le tecniche LotL (Living off the Land) per spostarsi sulla rete e distribuire malware per bloccare le macchine tramite un malware PyDCrypt”.

CheckPoint ancora sottolinea un errore commeso dal gruppo:

“A differenza dei loro predecessori hanno commesso un errore quando hanno messo insieme il proprio schema di crittografia, il che è onestamente una sorpresa nel panorama odierno in cui ogni criminale informatico a due bit sembra conoscere almeno le basi su come mettere insieme un ransomware funzionante. “

Ancora il rapporto afferma che il gruppo potrebbe avere sede in Palestina.

Le vittime calcolate sino ad oggi sono circa 16.

Leggi anche: NSO Group (Pegasus) nella lista nera USA con altre due società

dispositivi medici rischio hacker

Report: dispositivi medici a rischio hacker

Una recente ricerca sottolinea come alcuni software per dispositivi medici siano vulnerabili e quindi a rischio hacker. La causa starebbe nei loro difetti, afferma FORESCOUT RESEARCH LABS, che ha condotto lo studio su alcuni software sui quali sono state rilevatepiù di una dozzina di vulnerabilità, così anche nei macchinari utilizzati in altri settori che, se sfruttati da un hacker, potrebbero causare il crash di apparecchiature critiche come i monitor dei pazienti.

La ricerca, condivisa in esclusiva con CNN, indica le sfide che gli ospedali e altre strutture hanno dovuto affrontare nel mantenere aggiornato il software durante una pandemia che assorbe in modo continuo tutte le risorse. La ricerca è un perfetto esempio che spiega comele agenzie federali stiano lavorando più a stretto contatto con i ricercatori per indagare sui difetti della sicurezza informatica che potrebbero influire sulla sicurezza dei pazienti.

Dispositivi medici a rischio hacker: esecuzione di codice in remoto, denial of service e perdita di informazioni


Secondo le società di sicurezza informatica Forescout Technologies – con il supporto di Medigate Labs – , che hanno analizzato circa 4.000 dispositivi realizzati da una vasta gamma di fornitori nei settori sanitario, governativo e al dettaglio, si sono scoperte almeno 13 vulnerabilità.

Le vulnerabilità interessano lo stack Nucleus TCP/IP, conosciuto come NUCLEUS:13, e consentono l’esecuzione di codice in remoto, il denial of service e la perdita di informazioni.

Nucleus è utilizzato in dispositivi critici per la sicurezza, come macchine per anestesia, monitor per pazienti e altri nel settore sanitario. Forescout Research Labs si impegna a supportare i fornitori nell’identificazione dei prodotti interessati (il nostro rilevatore di stack TCP/IP open source può essere utile in questo senso) e a condividere i nostri risultati con la comunità della sicurezza informatica.

Forescout Technologies

Nel blog di Forescout viene mostrata la tabella cone le vulnerabilità scoperte di recente e colorate in base al punteggio CVSS: giallo per medio o alto e rosso per critico. Secondo la ricerca, oltre ai monitor dei pazienti, alcune macchine per anestesia, ultrasuoni e raggi X potrebbero essere interessate dal difetto del software.

Non ci sarebbero – per ora – invece prove che hacker malintenzionati abbiano approfittato dei difetti del software e l’azeinda Siemens, proprietaria del software, lavorando con funzionari federali e ricercatori ha rilasciato già aggiornamenti che correggono le vulnerabilità.

In risposta al rapporto la Cybersecurity and Infrastructure Security Agency (CISA) del Department of Homeland Security emetterà un avviso per incoraggiare gli utenti ad aggiornare i propri sistemi e per accertare rapidamente se i loro dispositivi sono interessati da vulnerabilità.

Leggi anche: Attacchi ransomware nel settore sanitario: il rapporto Mandiant

NSO Group

NSO Group (Pegasus) nella lista nera USA con altre due società

La società israeliana NSO Group del software Pegasus è finita nella lista nera Usa con le accuse di pirateria informatica.

Il Dipartimento del Commercio contro Nso: “È impegnata in attività contrarie alla sicurezza nazionale o agli interessi di politica estera degli Stati Uniti”

Il dipartimento del commercio degli Stati Uniti ha aggiunto mercoledì il gruppo israeliano NSO e Candiru alla sua lista nera commerciale, con le accuse di aver venduto spyware a governi stranieri che hanno utilizzato l’attrezzatura per prendere di mira funzionari governativi, giornalisti e altri.

Leggi l’articolo: Pegasus spyware: l’hacking tool per spiare giornalisti e attivisti

NSO Group è noto per la produzione di strumenti di hacking, utilizzati dai governi e dalle forze dell’ordine di tutto il mondo. Lo strumento più noto dell’azienda è “Pegasus”, uno spyware in grado di eseguire il jailbreak di un dispositivo come un iPhone, installare malware e consentire l’esportazione dei dati dell’utente.

Ma non sembrerebbe l’unica ad essere entrata in tale lista, come afferma Reuters: sono state elencate infatti anche Positive Technologies of Russia e Computer Security Initiative Consultancy PTE LTD Singapore.

Un ex funzionario degli Stati Uniti che ha familiarità con Positive Technologies, che ha parlato a condizione di anonimato, ha affermato che l’azienda ha contribuito a stabilire l’infrastruttura informatica utilizzata negli attacchi informatici russi alle organizzazioni statunitensi.

L’aggiunta delle società all’elenco, per impegnarsi in attività contrarie alla sicurezza nazionale degli Stati Uniti o agli interessi di politica estera, significa che le esportazioni verso di esse dalle controparti statunitensi sono limitate. Ad esempio, rende molto più difficile per i ricercatori di sicurezza statunitensi vendere loro informazioni sulle vulnerabilità dei computer.

In una mossa che non ha precedenti, il portavoce del Dipartimento di Stato degli Stati Uniti avvisa: “Non stiamo intraprendendo azioni contro paesi o governi in cui si trovano queste entità”, ma per la sicurezza impone che i fornitori dovranno richiedere una licenza prima di vendere i loro prodotti (che probabilmente verrà negata). In risposta il portavoce della NSO ha affermato che le tecnologie della società “supportano gli interessi e le politiche di sicurezza nazionale degli Stati Uniti prevenendo il terrorismo e la criminalità, e quindi cercheranno di invertire questa decisione.

E’ infatti la prima volta che un’amministrazione Usa prende di mira società cyber israeliane, che ricevono le loro licenze di esportazione dal Ministero della Difesa israeliano.

zero trust

La strategia dei ransomware evolve: la difesa passerà allo zero-trust

La strategia dei ransomware sta evolvendo e la difesa – afferma Daniel Spicer, CSO, Ivanti – passerà allo zero trust. Questo significa microsegmentare la sicurezza.

Zero Trust è un termine coniato dagli analisti di Forrester Research: il suo significato fa riferimento a un’architettura alternativa per la gestione della sicurezza IT. L’approccio Zero Trust, filosoficamente parlando, è basico. Il principio perseguito, infatti è quello di non fidarsi mai e di verificare sempre.

ZeroUnoWeb

La sicurezza quindi va implementata e sicuramente la sua strategia va rivista, in luce di ransomware sempre più frequenti ma anche gravi per per tutte le organizzazioni. Il panorama della sicurezza informatica ha già avvisato: la situazione non farà che peggiorare. 

Gli attacchi informatici e ransomware che hanno scopi economici sono ora crimini multimiliardari e le loro strategie sono sempre più complesse e le aziende pagano per i dati sensibili che diventano pubblicamente disponibili su Internet. Le organizzazioni pagano in media $ 220.298 e subiscono 23 giorni di inattività a seguito di un attacco segnala ThreatPost, e diventa necessario fare di tutto per prevenirli.

Stare un passo davanti al cyber crime: sicurezza e zero trust

Tuttavia stare un passo avanti ai cyber criminali diventa ogni giorno più impegnativo: i moderni ransomware tra ingegneria sociale, phishing e-mail, collegamenti e-mail dannosi e sfruttamento di vulnerabilità in software senza patch si infiltrano e distribuiscono malware. Non lasciano tempo ad uno stop e inoltre man mano che la strategia di sicurezza cambia i cyber criminali si adeguano a loro volta. Questo richiede il monitoraggio in tempo reale.

La sicurezza zero-trust inoltre richiede ad aziende e organizzazioni continue verifiche prima di consentire gli accessi alla rete, la garanzia di sistemi aggiornati, autotrenticazioni implementate e rafforzate, gestione continua di patch e vulnerablità. A ciò viene incontro la tecnologia del deep learning che garantisce un controllo in tempo reale di endpoint, dispositivi perimetrali etc.

Servono perà ulteriori passi avanti per la preventizone delle minacce e soprattutto piani di ripristino. In poche parole come afferma Daniele Spicer biosgna imparare a “prevdere l’imprevedibile”.

Leggi anche: La Sicurezza aerospaziale richiede un approccio qualificato e maturo

Sicurezza aerospaziale andrea biraghi leonardo

La Sicurezza aerospaziale richiede un approccio qualificato e maturo

La sicurezza informatica aerospaziale richiede un approcio qualificato e maturo: questo è stato il messaggio principale della conferenza intenazionale Cyber Security for Aerospace nella sede di Leonardo a Chieti.

La conferenza con l’obiettivo di affrontare e approfondire i temi legati alla sicurezza informatica per il settore aerospaziale ha coinciso con l’inaugurazione della nuova Customer Experience Area di Leonardo e l’ufficializzazione degli ultimi dati relativi al progetto Cyber trainer sviluppato da Leonardo in collaborazione con l’Ateneo Aquilano e la Regione Abruzzo. Cyber Trainer addestrerà gli operatori della cyber security che testarenno nuove tecnologie contro le minacce informatiche.

Sicurezza aerospaziale: il rapporto Kaspersky e Zayed University

Il settore dell’Aerospazio sta attraversando infatti un periodo di cambiamenti tecnologi e digitali radicali: la space economy attrae cifre sempre più ingenti, ma gli attacchi informatici mettono a repentaglio il settore. Ciò confermato anche da un rapporto di Kaspersky in collaborazione con la Zayed University di Dubai, intitolato Cyberthreat profile of space infrastructure.  

Le minacce alle infrastrutture sono esaminate in dettaglio, in un momento in cui sempre più paesi – tra stati e aziende private – stanno puntando in questa direzione, non ultimi gli Emirati Arabi Uniti con la missione Hope.

Finanziata dall’Agenzia spaziale degli Emirati Arabi Uniti, la Zayed University (ZU) ha progettato una camera di simulazione di Marte per studiare l’ambiente del pianeta rosso prima delle missioni con equipaggio. Inoltre, i ricercatori ZU hanno pubblicato una libreria di firme spettrali per l’ambiente degli Emirati Arabi Uniti utilizzando sensori remoti iperspettrali e altri.

L’infrastruttura spaziale comprende sistemi mission-critical come razzi, stazioni orbitali, satelliti, sistemi aerei senza equipaggio, sonde spaziali, robotica e sistemi di comunicazione spazio-terra. Proprio come qualsiasi altra infrastruttura critica, quella spaziale spesso incorpora una rete aziendale che ospita servizi di posta elettronica, servizi elettronici e file server e i dati raccolti da sonde, sistemi e sensori.

La minaccia alle infrastrutture spaziali sta già accadendo: soprattutto negli utlimi anni gli attacchi informatici sono stati diretti ad interrompere le comunicazioni satellitari, sfruttare l’infrastruttura per intercettare le trasmissioni satellitari o rubare informazioni sensibili. La potenziale superficie di attacco è ampia, le possibilità di interruzione sono considerevoli e i potenziali guadagni per gli attori malevoli potrebbero essere molto allettanti.

“Le infrastrutture critiche tradizionali sono state ripetutamente compromesse negli ultimi anni, con conseguenze spesso gravi. Gli esseri umani devono imparare dagli errori del passato e rendere la sicurezza informatica una priorità fin dall’inizio mentre si espandono nello spazio”, ha affermato Maher Yamout, Senior Security Researcher di Kaspersky.

Le economie dei governi di tutto il mondo fanno sempre più affidamento su infrastrutture dipendenti dallo spazio; si è quindi aperta una nuova frontiera per la sicurezza informatica.

Leggi anche: La Sicurezza dei satelliti e dei network della difesa | Andrea Biraghi

In settori come i trasporti e la logistica, i dati sulla posizione vengono registrati regolarmente in tempo reale dai satelliti GPS e inviati ai back office consentendo ai team di monitorare i conducenti e le risorse. Le organizzazioni che hanno avamposti remoti o navi oceaniche ovviamente non possono connettersi online tramite una rete mobile o via cavo, devono invece utilizzare i satelliti per le comunicazioni. Inoltre, i satelliti memorizzano le informazioni sensibili che raccolgono da soli, che potrebbero includere immagini di installazioni militari riservate o infrastrutture critiche. Tutti questi dati sono obiettivi interessanti per vari tipi di criminali informatici.

Andrea Biraghi

hacker di stato

Google alert: aumento di attività da parte di Hacker di stato

Google avvisa dell’aumento di attività da parte di hacker di stato: nel 2021 in totale 50.000 avvisi, un aumento di quasi il 33% rispetto allo stesso periodo nel 2020. Questo picco è in gran parte dovuto al blocco di una campagna di un gruppo russo noto come APT28 o Fancy Bear.

Hacker di stato: il gruppo APT35

Ma non solo Google si concentra anche su un gruppo legato alle Guardie rivoluzionarie iraniane, noto come APT35, o Charming Kitten, che conduce regolarmente attacchi di phishing, dove, ad esempio, viene utilizzata un’e-mail per indurre qualcuno a consegnare informazioni sensibili o per installare malware.

All’inizio del 2021, APT35 ha compromesso un sito web affiliato a un’università del Regno Unito per ospitare un kit di phishing. Gli aggressori hanno inviato messaggi di posta elettronica con collegamenti a questo sito Web per raccogliere credenziali per piattaforme come Gmail, Hotmail e Yahoo. Agli utenti è stato chiesto di attivare un invito a un webinar (falso) effettuando l’accesso. Il kit di phishing richiederà anche codici di autenticazione inviati ai dispositivi.

APT35 si affida a questa tecnica dal 2017: nel mondo accademico, nel giornalismo, nelle ONG, nella politica estera e nella sicurezza nazionale. Google descrive in dettaglio le forme di attacco del gruppo APT35, che includono: tentativo di caricare spyware nel Google Play Store, attacchi di phishing,  bot sul servizio di messaggistica di Telegram per notificare quando gli utenti sono entrati in un sito di phishing. Google sottolinea e avverte: la Guardia rivoluzionaria iraniana – creato dopo la rivoluzione islamica del 1979 – ha un ruolo chiave nell’ondata di hack sostenuta dallo stato.
Lo stesso gruppo di Teheran – che dispone di un vasto apparato di intelligence – ha preso di mira i membri dello staff della campagna elettorale negli Stati Uniti del 2020.

“Per anni questo gruppo ha dirottato account, distribuito malware e utilizzato nuove tecniche per condurre lo spionaggio in linea con gli interessi del governo iraniano”.

Ajax Bash, membro del team di analisi delle minacce di Google

Leggi anche: Campagne di spionaggio e hacking: Russia e USA

Attacchi ransomware nel settore sanitario: il rapporto Mandiant

Aumentano gli attacchi ransomware al settore sanitario mentresocietà di sicurezza informatica americana Mandiant – in un nuovo rapporto – sottolinea come un gruppo di criminali informatici noto come “FIN12” stia espandendo le seu operazioni di hacking prendendo di mira ripetutamente il settore. Kevin Mandia, l’amministratore delegato di Mandiant, ha affermato:

“Questo è un gruppo a cui abbiamo risposto tante volte e vogliamo che tutti possano iniziare a difendersi in modo più efficace”

CBS News

Gli hacker del gruppo Mandiant attaccano spegnendo i sistemi, ostacolando l’accesso alle cartelle cliniche dei pazienti e alle immagini radiologiche: ciò aumenta il rischio per tutti i pazienti fino a quando non viene pagato un riscatto.

Nel report completo “FIN12: The Prolific Ransomware Intrusion Threat Actor That Has Aggressively Pursued Healthcare Targets”, Mandiant afferma che il gruppo stia colpendo dal 2018, quindi ben prima della pandemia. Ma viene anche svelato un ndoo centrale, quello dell’affiliazione tra vai gruppi che collaborno insieme. Nel report infatti – dove viene svelata l’attività del gruppo FN12 – viene anche evidenziato come FIN12 abbia partner che gli consentono varie operazioni, come l’accesso iniziale, l’evoluzione delle tattiche, delle tecniche e delle procedure del gruppo e le tendenze nel loro ampio uso di Cobalt Strike BEACON.

Nel sommario viene sinteizzata l’attività principale dei cyber criminali:

  • FIN12 è un gruppo di minacce finanziariamente motivato, attivo almeno da ottobre 2018, specializzato nella distribuzione post-compromissione del ransomware principalmente RYUK.
  • Fin dalla sua prima apparizione, FIN12 ha mantenuto una stretta collaborazione con gli attori delle minacce affiliati a TRICKBOT. Tuttavia, FIN12 ha apparentemente diversificato le sue partnership per le operazioni di accesso iniziale, in particolare nel 2021.
  • FIN12 fa molto affidamento su strumenti e malware disponibili pubblicamente per consentire le proprie operazioni. In quasi ogni singola intrusione FIN12 da febbraio 2020, FIN12 ha utilizzato Cobalt Strike BEACON, ma storicamente hanno utilizzato anche EMPIRE e TRICKBOT come strumento post-sfruttamento.
  • La maggior parte delle vittime di FIN12 osservate ha sede in Nord America, ma il loro targeting regionale si è ampliato nel 2021 in altre regioni, tra cui Europa e Asia Pacifico.

Gli attacchi ransomware del gruppo FN12 si concentrano per circa il 20% sul settore sanitario.

Leggi anche: Ransomware 2021 i tre rapporti : IBM, Trend Micro e BlackBerry

Nuovo gruppo APT prende di mira i settori carburante, energia ed aviazione

Un nuovo gruppo APT prende di mira i settori carburante, energia ed aviazione: il gruppo non ancora documentato – riporta HackerNews – è stato identificato come responsabile di una serie di attacchi in Russia, Stati Uniti, India, Nepal, Taiwan e Giappone con l’obiettivo di rubare dati da reti compromesse.

Il gruppo di minacce persistenti avanzate (APT) è stato soprannominato ChamelGang dalla società di sicurezza informatica Positive Technologies per le sue capacità camaleontiche, incluso il mascheramento “del malware e dell’infrastruttura di rete sotto servizi legittimi di Microsoft, TrendMicro, McAfee, IBM e Google“.

Inoltre la società avvisa:

Poiché il nuovo gruppo APT ha iniziato a sfruttare le vulnerabilità di ProxyShell negli attacchi per infettare Microsoft Exchange, è possibile che anche i server vulnerabili nel Regno Unito possano essere interessati in futuro. Il gruppo, noto come ChamelGang, sembra essere concentrato sul furto di dati da reti compromesse e i suoi primi attacchi alle relazioni di fiducia 1 sono stati registrati nel marzo 2021.

Positive Technologies Uncovers New APT Group Attacking Russia’s Fuel and Energy Complex and Aviation Production Industry

Denis Kuvshinov, Head of Threat Analysis presso Positive Technologies, spiega:

“Prendere di mira il complesso del carburante e dell’energia e l’industria dell’aviazione in Russia non è l’unico obiettivo: questo settore è uno dei tre più frequentemente attaccati. Tuttavia, le conseguenze sono gravi: il più delle volte tali attacchi portano a perdite finanziarie o di dati: nell’84% di tutti i casi l’anno scorso, gli attacchi sono stati creati appositamente per rubare dati e ciò provoca gravi danni finanziari e di reputazione. Inoltre, le aziende industriali spesso non sono in grado di rilevare un attacco informatico mirato ai loro proprio – credono che le loro difese siano b, e che tali interruzioni siano altamente improbabili.

Ma in pratica, gli aggressori possono penetrare nella rete aziendale di un’impresa industriale più del 90% del tempo e quasi ogni tale invasione porta alla completa perdita di controllo sull’infrastruttura. Più della metà di questi attacchi porta al furto di dati su partner e dipendenti dell’azienda, corrispondenza e documentazione interna.”

Leggi anche: Cyber crime e aziende comparto energia in Italia a rischio: il rapporto Swascan

Google Alert: il cyber crime può rendere il malware non rilevabile su Windows

Google avvisa: una nuova tecnica può rendere il malware non rilevabile su Windows. I ricercatori hanno rivelato una nuova tecnica per eludere deliberatamente il rilevamento del malware, tramite l’aiuto di firme digitali non valide dei payload di malware. L’analisi del certificato viene quindi interrotta per evitare il rilevamento. La nuova tecnica è attualamente utilizzata dal cyber crime a proprio beneficio. Inoltre, gli aggressori in grado di nascondere la propria identità nelle firme senza comprometterne l’integrità, possono evitare il rilevamento più a lungo, e prolungare la durata dei certificati di firma del codice per infettare più sistemi.

“Gli aggressori hanno creato firme di codice non valide che sono considerate valide da Windows ma non possono essere decodificate o verificate dal codice OpenSSL, che viene utilizzato in numerosi prodotti di scansione di sicurezza”

Neel Mehta di Google Threat Analysis Group

Il team ha osservato che il nuovo meccanismo è stato sfruttato da una famigerata famiglia di software indesiderato noto come OpenSUpdater, utilizzato per scaricare e installare altri programmi sospetti su sistemi compromessi. La maggior parte degli obiettivi della campagna sono gli utenti residenti negli Stati Uniti che sono inclini a scaricare versioni craccate di giochi e altri software.

I gruppi di campioni OpenSUpdater sono spesso firmati con lo stesso certificato di firma del codice, ottenuto da un’autorità di certificazione legittima. Da metà agosto, i campioni OpenSUpdater hanno una firma non valida e ulteriori indagini hanno dimostrato che si trattava di un tentativo deliberato di eludere il rilevamento. In questi nuovi campioni, la firma è stata modificata in modo tale che un marcatore End of Content (EOC) ha sostituito un tag NULL per l’elemento ‘parameters’ del SignatureAlgorithm che firma il certificato Leaf X.509.

I prodotti che utilizzano OpenSSL per estrarre le informazioni sulla firma rifiuteranno questa codifica in quanto non valida. Tuttavia, per un parser che consente queste codifiche, la firma digitale del binario apparirà altrimenti legittima e valida.

Firma digitale

Leggi anche: Telegram è la nuova dark web per i criminali informatici

Telegram è la nuova dark web per i criminali informatici

Telegram, l’app del pietroburgese Pavel Durov – secondo una ricerca – sembra che stia emergendo come nuovo dark web per i criminali informatici. La ricerca è della società di sicuerezza Cyberint – insieme al Financial Times – che ha scoperto canali con decine di migliaia di abbonati.

L’esplosione dnell’utilizzo di Telegram è stata provocata, secondo lo studio, dai recenti cambiamenti in uno dei suoi concorrenti: WhatsApp, ora proprietà di Facebook.

Mentre Telegram e WhatsApp sono entrambe destinazioni popolari per coloro che cercano maggiore privacy nelle loro comunicazioni digitali – le due piattaforme offrono una qualche forma di crittografia end-to-end – la nuova politica sulla privacy di quest’ultima, anche se assediata, ha reso la piattaforma meno attraente per i criminali informatici.

Tal Samra, analista delle minacce informatiche di Cyberint ha affremato: “Di recente abbiamo assistito a un aumento del 100% dell’utilizzo di Telegram da parte dei criminali informatici”

“Il suo servizio di messaggistica crittografata è sempre più popolare tra gli attori delle minacce che conducono attività fraudolente e vendono dati rubati . . . in quanto è più comodo da usare rispetto al dark web.”

Tal Samra

In passato, i dump di dati e i data leak che ora vengono scambiati tramite l’app – di facile utilizzo – erano infatti in gran parte dominio del cosiddetto “dark web”, a cui è possibile accedere solo utilizzando browser e login speciali.

Gli hacker trovano attraente il dark web perché vive in un angolo del deep web – vale a dire, la parte di Internet che non appare nei motori di ricerca – che è ancora più bloccato contro gli osservatori esterni e le intrusioni.

Tutte queste barriere – quelle della dark web – hanno un prezzo, ovviamente: non tutti possono accedervi. È qui che Telegram entra in scena. È facile scaricare l’app e creare un account. Le chat “segrete” del servizio utilizzano la crittografia end-to-end, per una maggiore privacy. E mentre le chat di gruppo non hanno la stessa protezione, hai comunque bisogno di un link o di un invito per entrare. Inoltre Telegram consente anche enormi chat di gruppo fino a 200.000 utenti.

La notizia giunge anche nel momento in cui molti in Russia definiscono “un momento spartiacque” la sospensione dell’accesso alle raccomandazioni di voto anti-governativo diffuse dal team di Aleksej Navalyj in occasione delle parlamentari. Dopo Google e Apple è stata la volta dell’applicazione di messaggistica istantanea Telegram che ha annunciato che avrebbe bloccato tutti i servizi associati alla campagna elettorale, incluso il “Bot” del Voto intelligente: il canale automatizzato che raccomandava il nome da votare in base al seggio.

Leggi la ricerca del Finacial Times

VPN Fortinet: un leak password colpisce 500.000 account

VPN Fortinet: un leak password ha colpito 500.000 account: gli hacker avrebbero prelevato le credenziali di accesso da dispositivi non protetti, quindi le hanno scaricate su un forum del dark web. Anche se la vulnerabilità di Fortinet smebra sia stata corretta molte credenziali VPN sono ancora valide. L’attore delle minacce, un certo “Orange” ha fatto trapelare password e nomi utente, ma nulla in vendita, la grande quantità di informazioni era disponbile gratuitamente.

Il comunicato stampa di Fortinet:

The security of our customers is our first priority. Fortinet is aware that a malicious actor has disclosed SSL-VPN credentials to access FortiGate SSL-VPN devices. The credentials were obtained from systems that have not yet implemented the patch update provided in May 2019.  Since May 2019, Fortinet has continuously communicated with customers urging the implementation of mitigations, including corporate blog posts in August 2019July 2020April 2021 and June 2021 For more information, please refer to our latest blog. We will be issuing another advisory strongly recommending that customers implement both the patch upgrade and password reset as soon as possible.” (Fortinet)

Si ritiene che gli account siano stati compromessi tramite una vulnerabilità scoperta in precedenza nel prodotto. Ad aprile, le agenzie federali avevano avvertito di molteplici falle di sicurezza nella VPN di Fortinet che avrebbero potuto consentire l’accesso agli hacker. Da allora alla società sono state rilasciate patch per tali falle di sicurezza, anche se apparentemente ciò non ha impedito a molti utenti di compromettere le informazioni sugli account.

VPN Fortinet leak: i collegamenti con la banda ransonmware Groove

Secondo una ricerca della società di sicurezza Advanced Intel, si pensa che Orange sia un membro della banda di ransomware “Groove”. Si dice che abbiano anche lavorato in precedenza per Babuk, un’importante banda di ransomware che ha tentato di estorcere milioni di dollari al dipartimento di polizia di Washington D.C. all’inizio di quest’anno.

Gizmodo.com

Groove ha recentemente lanciato un nuovo forum sulla criminalità informatica chiamato RAMP e i ricercatori hanno teorizzato che la banda potrebbe aver divulgato gli account VPN per attirare l’attenzione sulla loro nuova impresa commerciale.

I Cyber Partisans in Bierlorussia affermano di aver violato i database ufficiali

I cyber partisans in Bierlorussia – Belarus Cyber ​​Partisans – affermano di avere violato i database ufficiali e di avere accesso a dati estremamente sensibili.

I Berlarus Cyber Partisans hanno rivendicato così una serie di attacchi informatici – a fine agosto 2021 – ai database del governo e della polizia in Bielorussia, compresi quelli del Ministero degli Interni. La notizia è riportata da DW a cui un hacker avrebbe detto che l’idea era di fornire alla popolazione informazioni importanti.

Il 17 agosto, il sovrano bielorusso Alexander Lukashenko ha indirettamente confermato la perdita di dati sensibili. “Se non puoi proteggere le informazioni nei tuoi computer, allora scrivi le cose a mano e mettile nei cassetti”, ha detto ai ministri in una riunione.

Di recente il gruppo avrebbe affermato di avere accesso ai dettagli del passaporto di tutti i bielorussi, nonché ai piani di sicurezza interna, e dati riguardo alle intercettazioni. Secondo quanto riferito, l’elenco include funzionari della sicurezza, aziende statali e aziende private. I Cyber Partisans affermano di avere centinaia di migliaia di ore di registrazioni, affermando anche che elaboreranno le informazioni e le rilasceranno gradualmente. 

Per fare ciò, i cyber partisans della Bierlorussia hanno creato un canale Telegram che ha già 77.000 abbonati. L’app di messaggistica crittografata è spesso utilizzata dai sostenitori dell’opposizione in Bielorussia perché rende più facile aggirare i censori. È stata una delle maggiori fonti di informazione durante le proteste antigovernative nel 2020.

I Cyber partisans sono un collettivo di attivisti/hacktivisti anonimo decentralizzato bielorusso emerso nel settembre 2020 – dopo le presidenziali del 2020 – noto per i suoi vari attacchi informatici contro il governo bielorusso, istituzioni governative e agenzie governative.

Wikipedia

Secondo i Cyber Partisans, il ministero dell’Interno bielorusso ha creato un database intitolato Street Riots, in cui sono state registrate quasi 39.000 persone solo lo scorso anno, principalmente perché avevano partecipato alle proteste dopo le contestate elezioni presidenziali. Il database apparentemente contiene informazioni sui passaporti di questi manifestanti, nonché dettagli relativi agli arresti e al successivo esito. DW – la Deutsche Welle, emittente internazionale tedesca e uno dei media internazionali di maggior successo e di rilievo – afferma di avere visto gli screenshot e confermano.

Leggi anche: Hacking e abuso di privacy: la fuga di informazioni personali nell’hack DragonForce Malaysia a giugno

Hacking e abuso di privacy: la fuga di informazioni personali nell’hack DragonForce Malaysia a giugno

DragonForce Malaysia Hack: l’hacktivismo in Medio Oriente persiste: nuovi attacchi digitali durante il mese di maggio 2021 e le crescenti tensioni in Medio Oriente hanno portato a rinnovate operazioni di attivisti informatici in tutta la regione.

Gli attacchi digitali di maggio hanno presentato un certo livello di rischio per i siti non protetti poiché gli attori delle minacce hanno preso di mira le organizzazioni delle telecomunicazioni, i settori finanziari e le agenzie governative. Al momento, le azioni fisiche sono diminuite nella regione dall’ultima incursione, ma gli attacchi digitali sono continuati fino a giugno. La più grande paura nell’hacking informatico risiede nell’abuso della privacy – come la fuga di informazioni personali nell’hack DragonForce Malaysia a giugno – così come la preoccupazione che le forze straniere possano dirottare i sistemi e prendere il controllo dei database nazionali e dei sistemi operativi

Gli eventi informatici in Medio Oriente sono diventati reazionari nell’ultimo anno; ai casi di hacktivismo nella regione seguono poi tipicamente scontri fisici o politici.


DragonForce Malaysia – #OpsBedilRadware.com

DragonForce Malaysia hack: il report di Radware

In uno degli eventi più pubblicizzati , DragonForce Malaysia (DFM) ha fatto trapelare informazioni su centinaia di migliaia di studenti israeliani. Queste informazioni includevano nomi utente, password, nomi, indirizzi, numeri di telefono, date di nascita e altri dati relativi alla scuola. Sotto il sito web di AcadeME che fa riferimento a #OpsBedil e “Operation Israel” mentre chiama hacker, attivisti e organizzazioni per i diritti umani a unirsi e fare una campagna contro Israele.

DragonForce-Malaysia-andrea-biraghi

OpsBedil è un’operazione di hacktivist che attualmente prende di mira diversi verticali e agenzie governative in Medio Oriente. È l’ultima campagna digitale per colpire la regione ed è condotta da attori delle minacce nel sud-est asiatico, in particolare Malesia e Indonesia. Gli attacchi eseguiti sotto #OpsBedil sono considerati una risposta politica all’ambasciatore israeliano a Singapore che ha dichiarato a giugno che Israele è pronto a lavorare per stabilire legami con le nazioni a maggioranza musulmana del sud-est asiatico.

La Malesia, che è per oltre il 60% musulmana e sostiene la Palestina, ha una presenza significativa di attivisti informatici e militanti palestinesi. A seguito di questa richiesta di stabilire legami, gli attivisti informatici nella regione hanno iniziato a prendere di mira le risorse israeliane a giugno con una serie di attacchi DoS, fughe di dati e campagne di deturpazione. Il gruppo condanna la proposta di stabilire legami e ribadisce il proprio continuo sostegno alla Palestina con attacchi digitali.

Leggi il report: DragonForce Malaysia – #OpsBedilRenewed Hacktivism in the Middle East Persists With New Digital Attacks

Leggi anche: Pegasus spyware: l’hacking tool per spiare giornalisti e attivisti

Attacco informatico andrea biraghi

Attacco informatico al Dipartimento di Stato US | Fox News e Reuters

Un attacco informatico ha recentemente colpito il Dipartimento di Stato degli Stati Uniti US: secondo i rapporti di Fox News e Reuters, gli hacker hanno colpito recentemente, mentre il Cyber ​​Command del Dipartimento della Difesa ha rilasciato notifiche di una violazione dei dati potenzialmente grave.

Il primo avviso è stato un tweet di sabato 21 agosto 2021 di una giornalista di Fox News, che ha speigato l’netità del danno, anche se non è ancora chiaro quando sia stata scoperta la violazione e quali siano stati gli sforzi fatti – ancora in corso – per mitigarla. Si ritiene peerò che sia avvenuta un paio di settimane fa. Tuttavia fonti di Reuters assicurano che non ci sono state interruzioni significative e le operazioni non sono state in alcun modo ostacolate.

Relativamente all’attacco informatico e tramite comuqnue uno dei portavoce il Dipartimento di Stato US ha fatto sapere che:

“Il Dipartimento prende sul serio la sua responsabilità di salvaguardare le proprie informazioni e adotta continuamente misure per garantire che le informazioni siano protette. Per motivi di sicurezza, non siamo in grado di discutere la natura o la portata di eventuali presunti incidenti di sicurezza informatica in questo momento”

ItPro.co.uk

Steven Hope, CEO e co-fondatore di Authlogics, ha detto a ITPro che il Dipartimento di Stato US è un obiettivo più interessante per gli hacker rispetto al negozio dietro l’angolo, affermando che: “Anche se non sappiamo cosa è stato violato, e in questo caso potremmo non saperlo mai, il fatto che sia elencato come ‘grave’ indica che potrebbe esserci molto dietro questo, in termini di volume di dati a cui si accede o di importanza”

Leggi anche: Attacchi informatici 2021: gli hacker prendono di mira gli USA

Mentre i ransomware e gli attacchi double extrorsion sono in continua crescita anche in Italia – terzo paese più colpito al mondo – tra i più importanti attacchi informatici del 2021 – che conosciamo – la maggior parte hanno avuto come target gli Stati Uniti. E mentre gli USA si dimostrano sempre più vulnerabili, il dito viene puntato contro la Russia. Gli attacchi sono comunque reminder delle crescenti minacce informatiche alle infrastrutture critiche e ai fornitori di servizi che sono obiettivi dei criminali informatici.

T-Mobile indaga su “enorme violazione dei dati”

T-Mobile sta indagando su una enorme violazione di dati: gli hacker affermano di avere nomi e numeri di previdenza sociale di almeno 100 milioni di clienti.

La violazione – riporta TheSun – riguarda dati come numeri di previdenza sociale, numeri di telefono, nomi, indirizzi fisici, numeri IMEI univoci e informazioni sulla patente di guida.

La scoperta è stata fatta domenica scorsa 15 agosto 2021, a partire da un forum sul quale un utente affermava della possibile violazione e di vendere enormi quantità di dati personali compromessi. Il venditore ha affermato che i dati erano stati prelevati dai server T-Mobile e scaricati in locale: il valore del ricatto ammonterebbe a sei bitocin – 260mila dollari.

L’analisi dei primi dati sembrerebbe avere avuto una conferma di autenticità, Motherboard, in seguito, ha riferito:

“Siamo a conoscenza delle affermazioni fatte in un forum sotterraneo e abbiamo attivamente indagato sulla loro validità”, ha detto un portavoce di T-Mobile in una e-mail a The Verge. “Al momento non abbiamo ulteriori informazioni da condividere”.

T-Mobile violazione dei dati: 2018, 2019 e 2020

Sulla violazione dei dati si sta quindi ancora indagando non essendo ancora nemmeno chiaro come sia avvenuto l’accesso ai dati. Tuttavia T-Mobile è stata l’obiettivo di diverse violazioni dei dati negli ultimi anni, le ultime nel dicembre 2020 e nel 2018. Le due violazioni riguardavano le infromazioni personali di circa 2 milioni di clienti con nomi indirizzi e numeri di conto (2018), nomi, indirizzi e account (2019) e alcune informazioni finanziarie, numero di previdenza sociale e account (marzo 2020).

Nella violazione del 2020 il team di sicurezza informatica di T-Mobile ha identificato e bloccato un attacco dannoso contro il proprio fornitore di posta elettronica che aveva portato all’accesso non autorizzato a determinati account di posta elettronica dei dipendenti di T‑Mobile, alcuni dei quali contenevano informazioni sull’account di clienti e dipendenti.

Leggi anche: Pegasus spyware: l’hacking tool per spiare giornalisti e attivisti

La Cina nega l’hacking dei dati sul fiume Mekong e confuta il rapporto Reuters

Il rapporto Reuters accusa la Cina dell’hacking di dati sul fiume Mekong dalla Cambogia.

Non è immediatamente chiaro quale tipo di dati abbiano rubato gli hacker e non sappiamo perché abbiano fatto questo tentativo. Ma ci deve essere qualcosa di interessante o importante che li ha motivati ​​a farlo”, ha affermato il Segretariato della Commissione del fiume Mekong (MRC). Questo è successo nel 2018 ma stiamo ascoltando la notizia ora che il dipartimento di giustizia degli Stati Uniti l’ha rilasciata.

Il Segretario ha anche affermato che la maggior parte dei dati su MRC è disponibile pubblicamente e ospitata su un portale di dati. Il portale rappresenta un magazzino di dati in cui sono attualmente disponibili almeno 10.333 dataset. I set di dati includono serie temporali idro-meteorologiche e climatiche attuali e storiche, mappe spaziali, atlanti, fotografie e set di dati settoriali a cui è possibile accedere facilmente.

L’accusa dell’hacking è partita dagli Stati Uniti e puntava ad una campagna di spionaggio informatico globale: tra i governi presi di mira dagli hacker cinesi c’era la Cambogia, uno dei più fedeli alleati asiatici di Pechino.

L’obiettivo dell’attacco è stato rivelatore: le discussioni tra Cina e Cambogia sull’uso del fiume Mekong (segreti commerciali e dati idroacustici). Il Mekong infatti è divenuto un nuovo campo di battaglia per l’influenza statunitense e cinese nel sud-est Asia.

Reuters si basa sulle accuse che “sono state delineate in un atto d’accusa di 30 pagine del tribunale degli Stati Uniti che descrive in dettaglio le attività di quella che è stata definita una società di facciata gestita dalla sicurezza dello stato cinese ad Hainan, una provincia insulare cinese vicino al sud-est asiatico”.

Tra gli obiettivi degli hacker c’era il “Ministero del governo cambogiano”, secondo l’accusa, dal quale “hanno rubato dati relativi alle discussioni tra i governi di Cina e Cambogia sull’uso del fiume Mekong” nel gennaio 2018.

In risposta a Reuters, il ministero degli Esteri cinese ha affermato che le accuse alla Cina dell’hacking ai dati sul Mekong sono infondate e che gli Stati Uniti sono la principale fonte mondiale di attacchi informatici, compresa anche l’intercettazione dei propri “alleati”:

La Cina si è opposta fermamente e ha combattuto gli attacchi informatici di tutte le forme. La Cina non fa mai [questi attacchi] né incoraggerà, sosterrà o condonerà gli attacchi informatici. Gli Stati Uniti, infatti, sono la più grande fonte di attacchi informatici al mondo.

Leggi anche: Cyber crime e aziende comparto energia in Italia a rischio: il rapporto Swascan

pegasus-spyware-andrea-biraghi

Pegasus spyware: l’hacking tool per spiare giornalisti e attivisti

Attivisti, giornalisti per i diritti umani ed oppositori politici sono stati oggetto di tentativi di hacking tramite Pegasus spyware di NSO Group. Secondo un’indagine circa 37 smartphone – su 67 esaminati – sono stati violati con successo utilizzando lo strumento di sorveglianza, sviluppato dall’azienda israeliana di armi informatiche NSO. Il leak contine circa 5.000 numeri di telefono. il TheGuardian riporta che “si ritiene che un gruppo di 10 governi siano clienti NSO che aggiungono numeri al sistema, con l’elenco che include Azerbaigian, Kazakistan, Ruanda ed Emirati Arabi Uniti, tra gli altri”.

NSO Group è noto per la produzione di strumenti di hacking, utilizzati dai governi e dalle forze dell’ordine di tutto il mondo. Lo strumento più noto dell’azienda è “Pegasus”, uno spyware in grado di eseguire il jailbreak di un dispositivo come un iPhone, installare malware e consentire l’esportazione dei dati dell’utente.

Il malware può violare sia gli smartphone con sistema Android sia iOS, lasciando pche tracce. Entra in azione grazie ad un click dell’utente su un link dannoso ricevuto – si insinua all’interno del dispostivo accendendo ad informazioni come: foto, registrazioni, passwords, localzzazione, registri chiamate e post pubblicati sui social. Inoltre Pegasus consente di abilitare telecamere e microfoni in segreto, leggere messaggi crittografati e registrare telefonate. È stato anche possibile acquisire le coordinate GPS, consentendo il monitoraggio in tempo reale e la registrazione di dove si trovava il bersaglio.

In un’indagine di un gruppo di 17 organizzazioni dei media, sembra che Pegasus venga utilizzato per attaccare i critici dei governi, piuttosto che solo contro i criminali. Una fuga di notizie, riportata da The Guardian, include un elenco di oltre 50.000 numeri di telefono ritenuti persone di interesse per i clienti del gruppo NSO dal 2016.

…nell’elenco sono stati inclusi più di 180 numeri associati ai giornalisti, inclusi giornalisti e dirigenti di importanti testate, tra cui il Financial Times, la CNN e il New York Times.

Nell’ottobre 2019, Facebook ha fatto causa a NSO Group per accuse che il produttore di strumenti di hacking abbia utilizzato una vulnerabilità in WhatsApp per inviare malware a circa 1.400 giornalisti. Nell’aprile 2020, il gruppo NSO ha affermato che Facebook si era precedentemente avvicinato alla società nel 2017 per acquistare potenzialmente l’accesso al software, in particolare per raccogliere dati sui dispositivi Apple.

AppleInsider

Leggi anche: Cyber spionaggio e controllo da remoto: Mollitiam e il monitoraggio di massa di profili e identità digitali

cyber-crime italia-settore-energia-andrea-biraghi

Cyber crime e aziende comparto energia in Italia a rischio: il rapporto Swascan

Cyber crime: l’Italia è il quarto paese più colpito dai ransomware subito dopo Regno Unito, Francia e Germania.

I dati arrivano dalla scoietà di sicurezza informatica FireEye che segna una crescita dei ransomwareche colpisce tutta l’area Emea. L’area Emea comprende Europa, Africa e Medio Oriente, e i ransomware rappresentano la tipologia di attacco cyber maggiormente in aumento, con un +422% tra febbraio 2020 e maggio 2021.

Quali sono i settori più colpiti? dal cyber crime in Italia? Il settore manifatturiero è al primo posto, seguito da servizi legali e professionali, logistica e industria ingegneristica.

“I gruppi che operano attraverso attacchi ransomware continueranno a crescere fino a quando non inizieremo ad affrontare il problema a livello politico.Rallentare queste attività criminali richiederà un livello di coinvolgimento che non abbiamo mai visto prima. Il cybercrime è una sfida globale e abbiamo necessità di segnalare e operare contro i paesi che offrono protezione ai cyber criminali o che accettano, con passività, le loro azioni, finché non colpiranno chi li ospita o li protegge”. 

Jens Monrad, Director, Head of Mandiant Intelligence, Emea

Nel frattempo Swascan ha pubblicato l’Energy Cyber Risk Indicator (Giugno 2021): gli indicatori sono stati determinati con il servizio di Domain Threat Intelligence (DTI).

Sottolineando il fatto che il settore energetico è una delle infrastrutture critiche del nostro Paese, sostenendone le attività e lo sviluppo economico, evidenzia come la transizione verso una rete energetica digitalizzata o 4.0, esponga il settore a nuovi rischi e alle attvità malevole dei “criminal hacker”.

Il settore sarebbe quindi ad altro rischio e la conferma è il numero crescente di minacce e di attori che prendono di mira le utility. Ulteriore criticità è rappresentata dalla natura decentralizzaa della leadership della cyber security di molte organizzazioni, oltre alle interdipendenze – tra le le infrastrutture fisiche e informatiche – che rendono le aziende vulnerabili agli attacchi. L’analisi riferita al Giugno 2021, prende in considerazione un campione di 20 aziende tra le prime 100 del settore su base fatturato.

Il numero totale delle potenziali vulnerabilità riscontrate per il settore energetico è 1643, così distribuite: 4 aziende (20% del campione) hanno 0 potenziali vulnerabilità, 7 aziende (35% del campione) hanno tra 1 e 25 potenziali vulnerabilità, 3 aziende (15% del campione) hanno tra 26 e 50 potenziali vulnerabilità e 6 aziende (30% del campione) hanno più di 50 potenziali vulnerabilità. La media delle potenziali vulnerabilità è 82, ma è presente 1 azienda che espone oltre 900 potenziali vulnerabilità: escludendola dal calcolo della media, il numero medio di potenziali vulnerabilità per azienda si abbassa da 82 a 34.

Energy Cyber Risk Indicator – Swascan
Attacco-ransomware-via-Kaseya-andrea-biraghi

Attacco ransomware via Kaseya: aziende di tutto il mondo sotto minaccia

Il nuovo attacco ransomware che via Kaseya si sta diffondendo tra centinaia di clienti.

Kaseya è un software utilizzato nel monitoraggio remoto, nella gestione delle tecnologie dell’informazione, nella risoluzione della sicurezza di rete e basata su cloud: si tratta di un software utilizzato da grandi aziende e fornitori di servizi tecnologici per gestire e distribuire aggiornamenti software ai sistemi sulle reti di computer

L’attacco secondo i ricercatori di sicurezza e VSA Kaseya Ltd – dopo un’attenta analisi da parte della società di sicurezza informatica Emsisoft – è stato operato dal noto gruppo REvil, il gruppo ransomware che circa un mese fa ha raccolto un pagamento di 11 milioni di dollari dal produttore di carne JBS SA ha iniziato un attacco diffuso che ha probabilmente infettato centinaia di organizzazioni in tutto il mondo e decine di migliaia di computer, secondo gli esperti di sicurezza informatica.

JBS Foods – il più grande fornitore di carni al mondo – ha dovuto fermare i suoi stabilimenti in seguito ad un attacco ransomware. Il 31 Maggio 2021 l’attacco condotto dal gruppo hacker REvil ha mandato fuori uso i server di supporto ai sistemi IT del colosso, paralizando la produzione degli impianti.

Attacchi informatici 2021: gli hacker prendono di mira gli USA

REvil è un noto fornitore di ransomware, e il riscatto chiesto è in genere sotto forma di bitcoin. Ma questo ultimo attacco sembra essere il più grande di sempre. Secondo gli esperti di sicurezza informatica, l’incidente potrebbe aver infettato fino a 40.000 computer in tutto il mondo. Tra le società colpite una catena di supermercati in Svezia, che ha affermato che in alcuni casi i suoi registratori di cassa sono stati colpiti nell’attacco, spingendo molti dei suoi negozi a chiudere.

Kaseya ha riferito che circa 40 suoi clienti (provider/fornitori IT) sono stati colpiti dal ransomware e consiglia di spegnare i suoi sistemi. Chiunque li sui ora è a rischio.

Cybersecurity360

In una nota Kaseya avvisa che continueranno ad indagare sull’incidente di sicurezza con FireEye Mandiant IR (azienda leader nella risposta agli incidenti informatici): nessun “Falso Positivo” è stato segnalato dagli utenti.

Nobelium-Microsoft-andrea-biraghi

Gli hacker di Solar Winds, Nobelium attaccano il servizio clienti Microsoft

Il gruppo hacker Nobelium, legato agli attacchi Solar Winds, è riuscito a compromettere il computer di un lavoratore Microsoft. Microsoft ha dichiarato venerdì che l’accesso è stato utilizzato per lanciare attacchimirati contro i clienti dell’azienda. La scoperta è avvenuta mentre Microsoft stava indagando su nuove violazioni da parte dello stesso gruppo di hacker.

Secondo Microsoft, gli hacker hanno utilizzato le informazioni raccolte dagli strumenti per avviare attacchi “altamente mirati” su specifici clienti Microsoft. La società afferma di aver contattato i clienti interessati dall’uso degli strumenti da parte del gruppo di hacker e che Nobelium non ha più accesso al dispositivo dell’agente dell’assistenza clienti. Microsoft ha avvertito i clienti interessati di prestare attenzione alle comunicazioni con i propri contatti di fatturazione e di prendere in considerazione la modifica di tali nomi utente e indirizzi e-mail, oltre a impedire ai vecchi nomi utente di accedere.

Secondo quanto rivelato dall’aziendaNobelium ha provato a fare breccia all’interno degli strumenti dell’Assistenza Clienti Microsoft senza riuscirci veramente in nessuno dei target principali. A quanto pare infatti, solo tre degli obiettivi strategici di Nobelium sono stati compromessi, ma la compagnia non ha rivelato ulteriori dettagli in merito

TechEveryEye

Il governo degli Stati Uniti ha pubblicamente attribuito i precedenti attacchi del gruppo Nobellium al governo russo, che nega il coinvolgimento. In ogni caso Microsoft ha chiarito che l’attacco attribuito a Nobellium è separato dall’incidente di Solar Winds. Tuttavia, l’azienda a affermato che l’attacco fa parte di una più ampia campagna Nobelium in gran parte incentrata su aziende e governi IT di tutto il mondo.

In occasione dell’imminente Windows 11, Microsoft continua a puntare alla sicurezza: il 24 Giugno ha annunciato che il nuovo Windows 11 richiederà il chip TPM (Trusted Platform Module) sui dispositivi esistenti e nuovi. È un cambiamento hardware significativo che ha richiesto anni di lavoro, anche se non è ancora stato chiarito sul fatto che i vecchi hardware siano compatibili.

“Il Trusted Platform Modules (TPM) è un chip che può essere integrato nella scheda madre del tuo PC o aggiunto separatamente nella CPU”, spiega David Weston, direttore della sicurezza aziendale e del sistema operativo di Microsoft. “Il suo scopo è proteggere le chiavi di crittografia, le credenziali dell’utente e altri dati sensibili dietro una barriera hardware in modo che malware e aggressori non possano accedere o manomettere tali dati”.

Cyber-spionaggio-controllo-da-remoto-andrea-biraghi

Cyber spionaggio e controllo da remoto: Mollitiam e il monitoraggio di massa di profili e identità digitali

Cyber spionaggio e controllo remoto di internet: Mollitiam Industries sarebbe in procinto di sviluppare strumenti di hacking in grado di assumere il controllo di dispotivi Android, MacOS e Windows su smarthphone e tablet.

Secondo i documenti visti da Wired – materiali di marketing online non protetti – la società di cyber intelligence, con sede in Spagna, grazie afi fondi europei (UE) ha creato una nuova tecnologia di sorveglianza invasiva che consente di assumere il “controllo remoto anomimo” ed invisibile dei dispositivi connessi alla rete Internet elundendo il rilevamento. Wired cita i prodotti di intercettazione anonima come “Invisible Man” e “Night Crawler“, in grado di accedere in remoto ai file e alla posizione di un bersaglio e di accendere di nascosto la fotocamera e il microfono di un dispositivo (incluse password, attività di ricerca sul Web e persino testi scambiati su applicazioni di messaggistica crittografate). Ma non sarebbe una novità perchè Mollitiam, in un recente webinar, ha mostrato la capacità della sua tecnologia di registrare le chiamate WhatsApp, divulgare i dettagli dell’ingegneria sociale e delle tattiche di phishing utilizzate. “Conquista la fiducia del bersaglio”.La tecnologia, a basso consumo di dati e batteria di Moltiam, consente ai suoi strumenti di funzionare senza destare sospetti.

…il suo spyware sarebbe dotato di un keylogger, il che significa che ogni sequenza di tasti eseguita su un dispositivo infetto, incluse password, query di ricerca e messaggi inviati tramite app di messaggistica crittografate, può essere tracciata e monitorata.

Cyber spionaggio:

Secondo quanto riferito dalla rivista, Mollitiam è anche in procinto di implementare uno strumento per il “monitoraggio di massa di profili e identità digitali“, sia attraverso i social media sia la dark web: il progetto – viene affermato – è soprendentemente simile ad un progetto sulla raccolta dati finanziato in parte dal Fondo di sviluppo europeo (UE). Il progetto dovrebbe sviluppare una piattaforma di generazione di intelligence automatizzata che analizzi e metta in correlazione grandi quantità di dati “da fonti Internet aperte”. Wired ha esaminato i documenti ufficiali. La notizia arriva in un momento in cui vengono sollevati problemi di privacy a causa degli sforzi delle forze dell’ordine e delle agenzie di intelligence per accedere ai dati personali aggirando le tecnologie di messaggistica crittografata. Né la società né le autorità europee hanno risposto alla segnalazione.

Edin Omanovic, direttore della difesa di Privacy Watchdog Privacy International ha così affermato:

“Il fatto che abbiano ricevuto denaro pubblico dall’UE per sviluppare la loro attività è scioccante. Le capacità di mercato di Mollitiam che rappresentano una minaccia così unica per la nostra privacy e sicurezza che è altamente discutibile se tali poteri possano mai essere compatibili con il diritto internazionale sui diritti umani” .

This secretive firm has powerful new hacking tools
Mollitiam Industries claims to have created hackings tools that can take control of smartphones and laptops

Dovremmo tutti presumere che le nostre comunicazioni, anche le nostre comunicazioni crittografate, siano monitorate?

Intelligenza-artificiale-cyber security-andrea-biraghi

Intelligenza artificiale e cyber security

Anche se l’intervento umano è ancora considerato essenziale nel settore l’intelligenza artificiale (IA) è oggi in prima linea nella battaglia della cyber security per salvare le organizzazioni dagli hacker. Sebbene l’intelligenza artificiale abbia compiuto progressi significativi nelle sue applicazioni in tutti i settori, al momento il suo utilizzo nella sicurezza informatica può ancora essere definito come “nascente”.

L’IA – che parte dll’emulazione del pensiero umano – infatti aiuta ad esempio i professionisti e gli esperti nell’analisi del riconoscimento vocale e comprendere in modo accurato il crimine informatico in un momento in cui le aziende e le organizzaziini – esposte alle crescenti minacce – richiedono tecnologie di sicurezza elevate.

L’IA sta dicentando anche un potente strumento nel campo della protezione dei dati e contro attacchi potenzialemnte articolati, derivanti dallo sviluppo della tecnologia 5G e dell’Internet of Things che si stima porteranno ad attacchi informatici di quinta generazione– multi-dimensionali, multi-stadio, multi-vettore, polimorfici – e su larga scala che richiedono una prevenzione in tempo reale e continui aggiornamenti per evitare attacchi zeroda, oltre all’utilizzo di Firewall con funzioni avanzate di nuova generazione (NGFW).

Ma cosa è un attacco di Quinta Generazione? Un attacco cibernetico estremanente pericoloso e a grande scala, progettato per infettare più componenti di un’infrastruttura informatica, comprese le reti, le macchine virtuali istanze cloud e i dispositivi endpoint. Un attacco di questo tipo è in grado di superare le barriere di difesa dei FireWall: primi esempi di questo tipo di tacchi sono stati NotPetya e WannaCry.

Andrea Biraghi

Intelligenza artificiale e cyber security: benefici e rischi

In tutto questo non bisogna dimenticare che l’intelligenza artificiale può rappresentare un arma a doppio taglio: si necessita quindi mettere in conto che l’IA stessa possa essere violata la pari di ogni sistema e quindi rappresentare una perdita piuttosto che un benficio. Tra le tecnologie che devono investire in una solida sicurezza dell’IA la guida autonoma, i missili autonomi, telecamere di sicurezza e via dicendo.

Tra gli attacchi contro l’IA: l’alterazione dell’input dell’algoritmo (con inupt errati), informazioni false inserite nei data set che influiscono sui processi di data mining e attacchi alla privacy, dove in fase di addestramento l’IA può venire sfruttata per raccogliere informazioni sul suo algortimo.

I benefici e i vantaggi tuttavia sono numerosi, tra cui una maggiore efficienza e accuratezza degli analisti informatici, con una riduzione notevole del tempo di analisi e dei costi di rilevamento. Consente inoltre una risposta più veloce e quidni efficace alle violazioni, automatizzando le contromisure. Tra i benefici anche la possibilità di migliorare le analisi predittive e la mitigazione dei rischi.

Attacchi-informatici-2021-andrea-biraghi

Attacchi informatici 2021: gli hacker prendono di mira gli USA

Mentre i ransomware e gli attacchi double extrorsion sono in continua crescita anche in Italia – terzo paese più colpito al mondo – tra i più importanti attacchi informatici del 2021 – che conosciamo – la maggior parte hanno avuto come target gli Stati Uniti. E mentre gli USA si dimostrano sempre più vulnerabili, il dito viene puntato contro la Russia. Gli attacchi sono comunque reminder delle crescenti minacce informatiche alle infrastrutture critiche e ai fornitori di servizi che sono obiettivi dei criminali informatici.

Attacchi informatici 2021: colpiti i settori food, carburante, sanità e trasporti.

  • JBS Foods – il più grande fornitore di carni al mondo – ha dovuto fermare i suoi stabilimenti in seguito ad un attacco ransomware. Il 31 Maggio 2021 l’attacco condotto dal gruppo hacker REvil ha mandato fuori uso i server di supporto ai sistemi IT del colosso, paralizando la produzione degli impianti.
  • Colonial Pipeline: nel Maggiio 2021 l’hacking della Colonial Pipeline ha portato alla carenza di carburante sulla costa orientale. La società ha ammesso di aver pagato più di $ 4,4 milioni in riscatto, anche se l’FBI ha affermato che sono stati richiesti riscatti per oltre $ 25 milioni. A confermare il pagamento è stato Joseph Blount, CEO Colonial Pipeline che distribuisce carburante lungo la costa orientale degli Stati Uniti. Il riscato è stato pagato per permettere la ripresa delle attività dell’oleodotto.
  • Sistema sanitario: recentemente sono state coplite le strutture sanitarie di San Diego, con la conseguente violazione dei dati sensibili (informazioni mediche dei pazienti). Un danno che ha chiesto un mese di tempo per essere risolto: le strutture di Scripps hanno iniziato a riacquistare la capacità di creare nuovi record digitali le scorse settimane. Anche il servizio sanitario irlandese è stato colpito, impiegando lo stesso sistema usato contro la Colonial Pipeline negli Usa. A dichiarare che si è trattato di un attacco orehestrato a livello internazionale è stato Paul Reid, il direttore del sistema sanitario dell’Irlanda.
  • Nel settore dei trasporti a New York è stato rilevato un attacco ransomware ai servizi del traghetto a Cape Cod, probabiomente parte di un furto i dati, mentre un gruppo hacker che si crede avere dei legami con la Cina, è penetrato nell’Aprile 2021 nei sistemi informatici della Metropolitan Transportation Authority, che trasporta milioni di persone ogni giorno.

hacker-di-stato-andrea-biraghi

Campagne di spionaggio e hacking: Russia e USA

Campagne di spionaggio e hacking: mentre Microsoft avvisa che il gruppo APT Nobelium – il collettivo hacker legato all’intelligence russa – ha colpito ancora, un report dell’FSB avvisa che hacker stranieri hanno compromesso le agenzie federali russe in una campagna di spionaggio digitale che i funzionari russi hanno descritto come senza precedenti per portata e raffinatezza.

Il Cyber attacco Nobellium

Nella scorsa settimana Microsoft ha osservato un’ondata di attacchi informatici verso 150 diverse organizzazioni – tra agenzie governative e organizzazioni non governative – che ha preso di mira circa 3.000 account di posta elettronica. La maggior quota di attacchi è stata diretta verso gli Stati Uniti ma il numero delle vittime si è eseto sino a 24 diversi paesi. Un quarto delle organizzazioni coinvolte sono coinvolte in attività di sviluppo internazionale, umanitarie e per i diritti umani.

Gli attacchi – secondo gli esperti di sicurezza – sembrano fare parte di una campagna di raccolta informazioni presso le agenzie governative coinvolte nella politica estera. Microsoft – che continua a monitorare la situazione ha avvisato gli utenti di aumentare l’attenzione sulle partiche di sicurezza informatica – compreso l’utilizzo dell’autenticazione a più fattori, dell’antivirus – avvisando di non cliccare collegamenti sospetti nelle e-mail, a meno che non sia possibile confermare l’affidabilità per ridurre al minimo il rischio di phishing. Le Formiche evidenziano come l’attacco si sia svolto in vista del bilaterale Biden-Putin.

Il collettivo di hacker legato all’intelligence russa e già identificato da Washington come autore del maxi attacco dell’anno scorso contro SolarWinds, ha colpito ancora: nel mirino, questa volta è finita la U.S. Agency for International Development, l’ente della diplomazia statunitense che si occupa di sviluppo internazionale.

Le Formiche

FSB: il report sulle campagne di spionaggio

MOSCA (Reuters) – Hacker stranieri hanno compromesso le agenzie federali russe in una campagna di spionaggio digitale nel 2020 che i funzionari russi hanno descritto come senza precedenti per la sua portata. Nel rapporto – pubblicato il 13 maggio – si può leggere un’analisi abbastanza dettagliata su una presenuta operazione di spionaggio informatico da hacker di stato e diretta alla stato russo. Nessuna menzione viene fatta su chi potrebbe essere stato.

Il rapporto menzionava anche che gli hacker avevano utilizzato le strutture di archiviazione cloud delle principali aziende tecnologiche russe, Yandex e Mail.ru, per aiutare a esfiltrare i dati. Mail.ru ha affermato che il suo servizio cloud non è stato compromesso né utilizzato per distribuire malware durante gli hack. Yandex ha rifiutato di commentare.

USNews

Reuters riporta anche che il rapporto che è sembrato – a detta di molti – diretto ad un’audience russa: il rapporto è infatti arrivato in un momento in cui il Cremlino è sempre più sotto esame da parte degli Usa e non solo per l’hack di SolarWinds (che Mosca nega di aver compiuto) ma anche per le accuse secondo cui la Russia ospita consapevolmente criminali informatici in cerca di riscatto.

“Se questo rapporto è stato uno sforzo di segnalazione del governo russo a un servizio di intelligence occidentale – come molti hanno affermato – allora è stato un segnale molto sottile”, ha detto Soesanto a Reuters mercoledì.

Colonial-Pipeline-ransomware-andrea-biraghi

Colonial Pipeline: un ransomware da 4,4 milioni di dollari

Il Colonial Pipeline ha pagato un riscatto di 4,4 milioni di dollari agli autori del ransomware: il gruppo hacker DarkSide. A confermare il pagamento è stato Joseph Blount, CEO Colonial Pipeline che distribuisce carburante lungo la costa orientale degli Stati Uniti. Il riscato è stato pagato per permettere la ripresa delle attività dell’oleodotto.

L’attacco ai sistemi informatici dell’azienda è avvenuto ad inizio maggio quando la Colonial ha dovuto arrestare le sue attività e chiudere l’intera rete dopo il cyber attacco. Blount all’inizo era contrario al pagamento del riscatto, ma ha poi affermato di non avere scelta. “Pagare il riscatto è stata la cosa giusta da fare negli interessi del Paese” ha affermato il CEO durante un’intervista al Wall Street Journal. Non biosgna dimenticare che la società rappresenta una risorsa fondamentale nel settore delle infrastrutture energetiche degli USA.

Un cyber attacco ha arrestato la principale rete di oleodotti USA: venerdi 7 maggio 2021, dopo l’attacco informatico, il principale operatore statunitense di gasdotti Colonial Pipeline ha chiuso la sua intera rete. Colonial infatti, trasporta il 45% della fornitura di carburante della costa orientale, spostando 2,5 milioni di barili al giorno attraverso migliaia di miglia di oleodotti.

Andrea Biraghi – Cyber attacco arresta la principale rete di oledodotti USA, il Colonial Pipeline

Colonial Pipeline ransowmare: il reminder delle crescenti minacce informatiche alle infrastrutture critiche

L’attacco è un reminder delle crescenti minacce informatiche alle infrastrutture critiche e ai fornitori di servizi che sono obiettivi dei criminali informatici. E ora i media sono pieni di notizie sugli effetti a cascata dell’attacco ransomware sferrato contro Colonial Pipeline dalla banda di criminali informatici DarkSide.

L’attacco hacker al più grande oleodotto degli USA ha messo in crisi l’economia, la vita della gente (rimasta senza benzina) e l’immagine della presidenza Biden.

Panorama – Il caso della Colonial Pipeline

Leggi anche: L’importanza della Cyber Security nel settore marittimo

Intelligenza-artificiale-strategia-di-intelligence-andrea-biraghi

Intelligenza artificiale come strategia di intelligence e l’accelerazione globale

Le applicazioni dell’intelligenza artificiale crescono senza sosta e viene utilizzata sempre più nell’intelligence per ordinare le vaste quantità di dati: in futuro però sarà molto di più di tutto questo, perchè la direzione è quella dell’estrazione di informazione di grande valore.

A livello globale ogni paese segue i suoi modelli, le sue priorità e le sue strategie con un uso pianificato dell’intelligenza artificiale, ma sebbene l’Europa abbia ha deciso di percorrere un percorso diverso dal resto del mondo che la vede pioniera della protezione dei dati personali, non è così per altri stati. Il piano dell’India è sostanzialmente diverso dall’EU per qaunto riguarda il consenso pubblico, facendo riferimento a “Con il consenso corretto e informato dei cittadini, questi dati resi anonimi possono essere condivisi ai fini dell’intelligenza artificiale e dell’analisi dei dati”. Le considerazioni etiche alla base della progettazione sono enfatizzate in Francia: “le considerazioni etiche devono essere pienamente prese in considerazione nello sviluppo di algoritmi di intelligenza artificiale” (France AI Plan, 2018).

Secondo lo studio di Brookings.edu che analizza le differenze nello sviluppo dei piani IA in 34 paesi, ogni piano nazionale richiede un’interpretazione e vengono identificate le seguenti aree: ricerca sull’intelligenza artificiale, dati sull’intelligenza artificiale, etica algoritmica, governance dell’IA e uso dell’IA nei servizi pubblici. Tuttavia i segnali diversi sono stati raggruppati in 4 categorie.

  1. Segnali tradizionali: viene fatta menzione dell’ammontare preciso dell’investimento effettuato nella ricerca sull’IA nel settore sanitario.
  2. Segnali di divulgazione involontaria: trasmettono informazioni vere, ma non inviate deliberatamente.
  3. Segnali opportunistici: non sono veri ma inviati deliberatamente. Un paese potrebbe dire che intende utilizzare l’intelligenza artificiale per i servizi pubblici, ma in realtà intende utilizzarlo per i sistemi basati sulla guerra.
  4. Segnali misti: trasmette involontariamente false informazioni: dichiarazione di utilizzo di dati pubblici anonimi nei sistemi di intelligenza artificiale, ma non riesce a farlo.

Leggi l’intera analisi: Analyzing artificial intelligence plans in 34 countries

L’impatto dell’Intelligenza artificiale sull’intelligence

Nel futuro si prevedono nuovi compiti per l’intelligenza artificiale che avranno un impatto significativo sulle analisi dell’intelligence, superando i limiti cognitivi umani. Inoltre l’intelligenza artificiale potrebbe aiutare ad abbinare l’analista giusto al compito giusto in modo che gli analisti possano lavorare sui loro punti di forza, consentendo al lavoro di essere svolto meglio e più rapidamente di prima. Ne parla Reuters, che riassume alcuni scenari, tra cui nuovi modelli che prevdono l’uso dell’IA su larga scala, l’apprendimento continuo e la convalida dei risultati che può essere eseguita durante la progettazione degli strumenti di intelligenza artificiale o la selezione dei dati di addestramento.

Leggi anche: Andrea Biraghi: intelligence per la sicurezza informatica nazionale

cyber-attacco-usa.andrea-biraghi

Cyber attacco arresta la principale rete di oledodotti USA, il Colonial Pipeline

Un cyber attacco ha arrestato la principale rete di oleodotti USA: venerdi 7 maggio 2021, dopo l’attacco informatico, il principale operatore statunitense di gasdotti Colonial Pipeline ha chiuso la sua intera rete. Colonial infatti, trasporta il 45% della fornitura di carburante della costa orientale, spostando 2,5 milioni di barili al giorno attraverso migliaia di miglia di oleodotti.

Cyber Attacco USA: infrastrutture energetiche nella mira degli hacker

Secondo le fonti Bloomberg News ha riferito che l’attacco proveniva da un gruppo di criminali informatici chiamato DarkSide, che ha rubato una grande quantità di dati a partire dal giorno prima che Colonial interrompesse le sue operazioni.

Su Reuters invece si legge che l’attacco è stato causato da un ransomware, un tipo di malware progettato per bloccare i sistemi crittografando i dati e chiedendo il pagamento per riottenere l’accesso.

L’incidente è una delle operazioni di riscatto digitale più importanti mai segnalate all’infrastruttura energetica degli Stati Uniti. L’arresto prolungato di questa infrastruttura, inoltre, provocherebbe un aumento dei prezzi della benzina prima del picco della stagione di guida estiva.

“Questo è il più vicino possibile alla giugulare delle infrastrutture negli Stati Uniti”, ha affermato Amy Myers Jaffe, professore di ricerca e amministratore delegato del Climate Policy Lab. “Non è un gasdotto importante. È il gasdotto.”

Un attentato silenzioso e incruento, ma che ha colpito dritto al cuore le infrastrutture petrolifere statunitensi. Non sono ancora chiari i dettagli dell’attacco informatico che ha colpito la rete di oleodotti di Colonial Pipeline. Ma è già evidente che le conseguenze sono gravi. È stata messa ko una ragnatela di condutture di 8.850 chilometri, che garantisce quasi metà degli approvvigionamenti di carburanti della East Coast degli Stati Uniti

Il Sole 24 Ore – Cyber attacco costringe Colonial Pipeline a chiudere uno dei più grandi oleodotti Usa

La società ha dichiarato diaver chiuso i sistemi per contenere la minaccia, ma non ha fornito ulteriori dettagli, incaricando una società di sicurezza informatica per avviare un’indagine. Secondo fonti Reuters, la società di sicurezza informatica FireEye (FEYE.O) sarebbe stata coinvolta per rispondere all’attacco, ma non ci sono stati commenti da parte della società.

La maggior parte dei cyber attacchi sono diretti alle infrastrutture critiche e il cyber spazio ha assunto un ruolo primario nei nuovi scenari geopolitici internazionali. Quali sono i nuiovi scenari? Nemici da remoto che utilizzano armi come virus informatici, malware e programmi che alterano l’operabilità di un sistema o avviano uno spegnimento completo del sistema. Gli attacchi informatici saranno il nuovo campo di battaglia – invisibile, invisibile e imprevedibile – dove hacker di varie nazioni competeranno per distruggere economie e vite.

Andrea Biraghi
minacce-informatiche- automotive-andrea-biraghi

Car Hacking: le minacce informatiche nel settore automotive

Minacce informatiche e Automotive. Mentre gli esperti di sicurezza canadesi avvertono dei rischi di pirateria informatica dei veicoli autonomi, i ricercatori di sicurezza Ralf-Philipp Weinmann di Kunnamon, Inc. e Benedikt Schmotzle di Comsecuris GmbH hanno mostrato alla conferenza CanSecWest, una vulnerabilità di sicurezza “remote zero-click” scoperta nell’Ottobre 2020, di un componente software open-source (ConnMan) utilizzato nelle automobili Tesla. Questo gli ha permesso di aprire le porte di una Tesla con un attacco remoto da un drone che trasportava un dongle Wi-Fi. Tuttavia si tratta di un vecchio bug, quindi – secondo i ricercatori – l’attacco non dovrebbe essere possibile oggi.

Sarebbe così possibile per un criminale sbloccare le porte e il bagagliaio dell’auto, cambiare la posizione dei sedili, sia le modalità di sterzo che di accelerazione, ma questo tip di attaccto non fornirebbe il controllo totale della guida. Chiamati “TBONE”, questi exploit sono stati originariamente scritti per il concorso PWN2OWN 2020, che è stato annullato a causa di COVID-19. Successivamente gli hacker hanno rivelato queste vulnerabilità a Tesla, che le ha patchate nell’aggiornamento 2020.44 alla fine di ottobre 2020.

Potrebbe sembrare fantascienza per molti ma anche senza accesso fisico al tuo veicolo, gli hacker possono prendere il controllo dell’automobile. I rischi della tecnologia cosi si moltiplicano al pari delle opportunità. I criminali informatici e il “cyberspionaggio” hanno iniziato da tempo a prendere di mira anche l’industria automotive con minacce informatiche per rubare dati e informazioni relative in special modo i veicoli a guida automatica o semiautomatica. Ma i rischi non si fermano qui.

Gli hacker possono accedere ai sistemi di un automobile con accesso da remoto senza la chiave, che secondo Upstream.auto ha rappresentato il 93% degli attacchi di furto nel 2020. Si aggiungono gli accessi tramite smarthphone, attacchi informatici tramite le porte dati USB e infine gli avanzati sistemi telematici di navigazione e localizzazione, che rendono le auto connesse bersagli attraenti per hacker, terroristi e stati-nazione.

Minacce informatiche e la supply chain del settore automotive

Gli esperti automotive canadesi invece non sembrano così tranquilli: nasce cosi un nuovo centro specializato, lo SHIELD Automotive Cybersecurity Centre of Excellence, che ha sede presso l’Università di Windsor. Il suo compito sarà distribuire le conoscenze sulla riduzione delle vulnerabilità cibernetiche all’interno delle automobili e dei loro componenti tra produttori, ricercatori e automobilisti, con l’intenzione di offrire servizi di consulenza e test alle piccole e medie imprese canadesi. Il messaggio è quello legato alla supply chain, considerando i tanti partner coivolti, dai produttori di componenti, agli assemblatori, agli operatori di rete, agli amministratori, ai gestori dei parcheggi e agli automobilisti.

L’obiettivo del nuovo centro è ridurre il rischio.

Mary Teresa Barra, della General Motors, ha affermato che proteggere le automobili da incidenti causati da attacchi informatici “è una questione di sicurezza pubblica”. Ma non è solo un problema di conformità alle normative ma di dettagliate analisi delle minacce alla sicurezza e alla privacy, di valutazione del rischio e trattamento del rischio, consideriamo non solo lo sviluppo iniziale dei progetti e dei prototipi ma anche l’intero ciclo di vita dello stesso prodotto.

Andrea Biraghi – Cyber Security e Cyber Spionaggio: le minacce nel settore automotive in Europa

sicurezza spaziale leonardo andrea brigahi

Leonardo cyber security e la sicurezza dello spazio | Andrea Biraghi

I nuovi obbietivi di Leonardo SPA hanno lo scopo di potenziare 3 principali aree strategiche per il futuro sviluppo delle applicazioni di sicurezza in ambito spaziale, leggi anche Andrea Biraghi La sicurezza nello spazio: la nuova frontiera per la Cyber Security.

Le economie dei governi di tutto il mondo fanno sempre più affidamento su infrastrutture dipendenti dallo spazio; si è quindi aperta una nuova frontiera per la sicurezza informatica. Anche l’Italia è chiamata a giocare un ruolo strategico, sia a livello eruopeo sia internazionale e Leonardo SPA – che opera nel contesto della sicurezza nazionale e della difesa – gioca un ruolo fondamentale in questo.  Nel contesto spaziale infatti evolvono minacce e rischi: con i satelliti che supportano le comunicazioni globali – per non parlare di una serie di funzioni economiche, governative e militari quotidiane – non dovrebbe sorprendere che si tratti anche un potenziale obiettivo per i criminali informatici.

sicurezza spaziale leonardo andrea brigahi

Leonardo: le tre aree strategiche per la sicurezza spaziale – Looking for space Security, Andrea Biraghi.

Quali sono le tre aree strategiche che Leonardo implementerà per la sicurezza spaziale? Per il prossimo triennio – come si legge in un articolo di CorriereComunicazioni è previsto l’investimento di un milione di euro annui e l’impiego di circa 30 ricercatori, in base all’accordo fra Leonardo e l’Istituto Italiano di Tecnologia. Le aree su cui si focalizzeranno gli sforzi, le ricerche e le applicazioni sono: il calcolo ad alte prestazioni, l’intelligenza artificiale e la robotica.

La crescente minaccia cyber sta così convergendo con la dimensione spaziale.

La continua proliferazione dell’esplorazione spaziale non farà che aumentare la portata del nostro ambiente connesso. Dato l’elevato valore dei dati memorizzati sui satelliti e altri sistemi spaziali, sono bersagli potenzialmente interessanti per chiunque voglia sfruttare questa situazione per realizzare un profitto illegale. 

Andrea Biraghi

Leggi anche:

riconoscimento-facciale-intelligenza-artificiale-andrea-biraghi

L’UE ammette il riconoscimento facciale: mentre il Garante boccia il sistema in uso alle forze dell’ordine

Mentre l’UE ammette l’utilizzo del sistema di riconoscimento facciale tramite intelligenza artificiale, per la lotta al terrorismo e la sicurezza pubblica, il Garante boccia il sistema di riconoscimento in tempo reale utlizzato dalle forze dell’ordine. Tuttavia, anche nel regolamento europeo sono previste importanti eccezioni e limitazioni.

Bruxelles fissa i paletti per l’uso dell’intelligenza artificiale in Europa: i sistemi ad alto rischio per la sorveglianza di massa saranno vietati, con alcune eccezioni ammesse per la controversa tecnologia del riconoscimento facciale in caso di necessità per la lotta contro il terrorismo e la tutela della sicurezza pubblica. Sono i punti cardine della nuova proposta di legge, la prima sull’AI, che la Commissione Ue svelerà il 21 aprile.

Ansa – Ue vieta AI ad alto rischio, deroghe a riconoscimento volti

Secondo la bozza del documento che verrà presentato dalla Commssione Europea in data 21 aprile 2021 le aziende che non si conformeranno alle norme Ue potrebbero ricevere multe fino a 20 milioni di euro o al 4% del loro fatturato.

Questa tecnologia va comuqnue utilizzata pensando prima di tutto alle conseguenze e non mettendo a rischio le persone.

Giuseppe Busia, segretario generale del Garante, aveva chiarito che in materia di privacy, le garanzie per i cittadini sono essenziali: la sperimentazione può andare avanti ma vanno create delle regole perchè ne va della libertà di tutti.

Andrea Biraghi – Riconoscimento facciale e privacy: quali i progressi?

UE Riconoscimento facciale: le nuove regole

La nuova bozza prevede il divieto di sistemi di sorveglianza che possono essere utilizzate per manipolare il comportamento, le opinioni o le decisioni dei cittadini. Ci sarebbe infatti l’espresso divieto di utilizzare le tecnologie di IA per creare ed alimentare un sistema di valutazione del credito sociale.

…saranno sottoposte a ulteriori controlli tutte le applicazioni per valutare un punteggio sociale, la solvibilità creditizia dei cittadini,  determinare l’accesso all’istruzione. Saranno banditi, inoltre, i sistemi di reclutamento e di valutazione delle richieste di asilo e visti ma restano escluse dal regolamento tutte le applicazioni militari.  

RaiNews

Mentre l’Europa scende in campo per regolamentare l’utilizzo delle tecnologie di Intelligenza Artificiale soprattutto in campo biometrico, il Garante boccia l’utilizzo del sistema Sari Real Time da parte del ministero dell’Interno.

“Il sistema, oltre ad essere privo di una base giuridica che legittimi il trattamento automatizzato dei dati biometrici per il riconoscimento facciale a fini di sicurezza – spiega il Garante in una nota – realizzerebbe per come è progettato una forma di sorveglianza indiscriminata/di massa”.

Leggi anche: Intelligenza artificiale e identità digitale: la capacità di dimostrare davvero chi siamo

malware-mobile-tendenze-2021-andrea-biraghi

Malware Mobile: il report Check Point 2021 sulle minacce alla sicurezza

Il Mobile Security Report 2021 di Check Point rileva che quasi tutte le organizzazioni a livello globale hanno subito un attacco malware mobile nel 2021. Il report scopre anche le ultime minacce per i dispositivi mobili: dalle app dannose agli attacchi ransomware.

Nell’ultimo anno, i ricercatori di minacce mobili Check Point hanno analizzato i dati di 850 aziende in tutto il mondo. Hanno così determinato che ogni azienda è stata attaccata almeno una volta. Le minacce per gli utenti mobili sono una miriade e potenti e il report esamina le ultime minacce emergenti rivolte ai dispositivi mobili aziendali. Viene inoltre fornita una panoramica completa delle principali tendenze nel malware mobile, nelle vulnerabilità dei dispositivi e negli attacchi informatici nazionali.

In una sintesi il 97% delle organizzazioni nel 2020 ha affrontato minacce mobili che hanno utilizzato più vettori di attacco, il 46% delle organizzazioni ha avuto almeno un dipendente che scarica un’applicazione mobile dannosa e almeno il 40% dei dispositivi mobili del mondo è vulnerabile agli attacchi informatici

Check Point Software’s Mobile Security Report 2021 Shows Almost Every Organization Globally Experienced a Mobile Malware Attack during the Past Year

Gli attacchi mobile e la pandemia Covid

Il passaggio al lavoro remoto di massa durante la pandemia di COVID-19 ha visto la superficie di attacco mobile espandersi. Il risultato lo abbiamo visto nella precendete sintesi, dove il 97% delle organizzazioni deve affrontare minacce mobili da diversi vettori di attacco.

Gli attori delle minacce hanno diffuso malware mobile, tra cui Trojan di accesso remoto mobile (MRAT), trojan bancari e diaatori premium. Spesso il malware è nascosto nelle app che affermano di offrire informazioni correlate al COVID-19. Non solo, entro il 2024 si prevede che il 60% dei lavoratori aumenteranno drstaicamente il numero di mobile e la sciurezza quindi deve essere una priorità per tutte le aziende e le organizzazioni.

[…]ci sono minacce più complesse all’orizzonte. I criminali informatici stanno continuando a evolversi e adattare le loro tecniche per sfruttare la nostra crescente dipendenza dai cellulari. Le aziende devono adottare soluzioni di sicurezza mobile che proteggano senza soluzione di continuità i dispositivi dalle minacce informatiche avanzate di oggi e gli utenti dovrebbero fare attenzione a utilizzare solo le app degli app store ufficiali per ridurre al minimo il rischio.

Neatsun Ziv, VP Threat Prevention di Check Point Software.

Malware Mobile: i punti più importanti del report

Con la rapida digitalizzazione a causa della pandemia, il passaggio al server cloud, l’alto numero di smartphone connessi in rete e il passaggio al lavoro da remoto tutti noi diveniamo più vulnerabili. Nonostante le misure prese per assicurare di essere protetti in oggni momento i nuovi attacchi hanno riguardato una serie di exploit informatici su larga scala. Perchè molte aziende sono protette contro attacchi de seconda e terza generazione e la sicurezza informatica deve evolvere invece verso la quinta generazione per proteggere le aziende contro gli attacchi all’intera infrastruttura IT.

Andrea Biraghi – I Cyber attacchi di quinta generazione: il 2021 anno chiave
  • il 93% degli attacchi ha avuto origine in una rete di dispositivi, che tenta di ingannare gli utenti a installare un payload dannoso tramite siti Web o URL infetti o a rubare le credenziali degli utenti.
  • il 46% delle organizzazioni ha avuto almeno un dipendente che ha scaricato un’applicazione mobile dannosa che ha minacciato le reti e i dati della propria organizzazione nel 2020.
  • 4 cellulari su 10 a livello globale sono vulnerabili, quindi almeno il 40% dei dispositivi mobili del mondo che necessitano di patch urgenti.
  • I malware mobile sono in aumento: Check Point ha rilevato un aumento del 15% dell’attività trojan bancaria e le credenziali di mobile banking degli utenti sono a rischio di furto.
  • I gruppi APT prendono di mira i dispositivi mobili per spiare gli utenti e rubare dati sensibili

Leggi anche: Preparing for physical and cyber security convergence by Andrea Biraghi

cyber-crime-report-security-andrea-biraghi

Cyber Crime: l’ultimo Internet Crime report dell’FBI

Cosa rivela l’ultimo Cyber Crime report dell’FBI? Innanzitutto gli attacchi sono aumentati rispetto al 2019 anche se l’82% degli attacchi informatici si è rivelato infruttuso.

Tuttavia il danno finanziario e le perdite sono importanti. Inoltre viene rilevato che gli obiettivi più numerosi della criminalità informatica sono quelli diretti verso i più vulnerabili nella società: operatori medici e famiglie. In tutto ciò il phishing rimane un problema crescente, realtivamente alle vulnerabilità delle aziende e delle organizzazioni, che si riversano poi sugli utenti.

Le campagne phishing sono il mezzo più utilizzato per la maggior parte delle truffe via e-mail mascherate che manipolano i destinatari tramite la social engineering a condividere informazioni sensibili. L’utilizzo della firma digitale delle e-mail ha invece ridotto significativamente il rischio di phishing via e-mail.

L’Internet Crime Report 2020 include informazioni di circa 791.790 denunce di sospetta criminalità su Internet in USA – 300.000 denunce nel 2019 – con perdite superiori a $ 4,2 miliardi. In particolare, il 2020 ha visto l’emergere di truffe che sfruttano la pandemia di COVID-19. L’IC3 ha ricevuto oltre 28.500 reclami relativi al COVID-19, con truffatori rivolti sia alle aziende che ai privati.

Sicurezza informatica e Covid: durante la pandemia i Cyber criminali approfittano della nostre vulnerabilità, che non sono solo quelle informatiche ma sono quelle più umane, legate alle emozioni, alle paure vere e proprie.

Ci stiamo però adattando ad una nuova realtà, fatta anche di lavoro da casa dove abbiamo già visto, in altra sede, quali sono le sfide da sostenere per il solo smart working.

Andrea Biraghi – Sicurezza informatica e Covid: i cyber criminali approfittano delle nostre vulnerabilità

Cyber Crime: il report tra Covid, phishing e Ransomware

Il rapporto annuale che l’FBI analizza e condivide, riguarda le informazioni provenienti dalle denunce presentate per scopi investigativi e di intelligence, per le forze dell’ordine e soprattutto per la consapevolezza pubblica.

Tra i punti chiave: nel 2020 è iniziata la pandemia di Covid19 che ha cambiato letteralmente le vite di tutti a livello globale. I truffatori hanno così approfittato della pandemia colpendo aziende, privati e organizzazioni.

Il Cyber Crime ha colpito con tutti i mezzi: attraverso i social media, le e-mail o tle elefonate fingendo di essere un ente governativo. Il loro intento era quello di raccogliere informazioni personali o denaro illecito, anche tramite l’inzio delle vaccinazioni. Sono emerse quindi truffe che chiedevano alle persone di pagare di tasca propria per ricevere il vaccino o anticiparlo.

Benchè i cyber criminali utilizzino una varietà di tecniche per infettare le vittime con ransomware, i mezzi più comuni di infezione sono:
• Campagne di phishing via e-mail
• Vulnerabilità RDP (Remote Desktop Protocol)
• Vulnerabilità dei software

in una classifica dei primi tre reati segnalati dalle vittime nel 2020 vi sono: truffe di phishing, truffe di mancato pagamento / mancata consegna ed estorsione.

Leggi anche: Sicurezza informatica e smart working: le nuove sfide post Covid


guerra-informatica-andrea-biraghi-cyber-security

Guerra Informatica: obiettivi dell’hybrid warfare le infrastrutture critiche

Mentre la guerra informatica continua ad essere combattuta tra gli stati, continua anche la corsa della sicurezza informatica che ad oggi deve essere ritenuta responsabilità del paese nel suo complesso e non solo relativa ad un individuo o ad un’organizzazione.

Nel corso degli anni, abbiamo assistito a un’escalation nella serie di hacking sui servizi sanitari, le reti elettriche, le centrali nucleari e la nostra privacy. Le minacce non vengono solo da Cina, Russia, Corea del Nord o qualsiasi attore statale o non statale con l’intento di destabilizzare un paese. Le minacce informatiche, in continua evoluzione, mettono così anche a rischio le infrastrutture critiche che sono in definitiva veri e propri sistemi strategici, essenziali per una nazione.

…le vere vittime sono imprese, organizzazioni e cittadini, che ne subiscono gli effetti. Allo stesso tempo, si assottiglia la linea di separazione tra azioni statali e “semplice” criminalità informatica.

AgendaDigitale.eu – Cyberwar, i nuovi fronti da Microsoft Exchange alla disinformazione sui vaccini

Ma la maggior parte dei cyber attacchi sono diretti alle infrastrutture critiche e il cyber spazio ha assunto un ruolo primario nei nuovi scenari geopolitici internazionali. Quali sono i nuiovi scenari? Nemici da remoto che utilizzano armi come virus informatici, malware e programmi che alterano l’operabilità di un sistema o avviano uno spegnimento completo del sistema. Gli attacchi informatici saranno il nuovo campo di battaglia – invisibile, invisibile e imprevedibile – dove hacker di varie nazioni competeranno per distruggere economie e vite.

Guerra informatica: i nemici invisibili

Negli ultimi anni e con maggior frequenza negli ultimi mesi, si sta assistendo, oltre che allo cyber spionaggio, all’interruzione dei servizi essenziali specialmente in nazioni e aree dove vi sono oggi le maggiori tensioni e frizioni geopolitiche. E i cyber sabotaggi spesso sembrano avere nemici invisibili: nonostante infatti le accuse alla Russia da parte del Governo USA, rimane incerta l’attribuzione dell’attacco alla società SolarWinds

Gli eventi attuali dimostrano che le strategie e le tattiche di guerra informatica aggressiva sono già un luogo comune in tutto il mondo e per ciò e di conseguenza la Sicurezza nazionale deve migliorare in modo drastico la comprensione della tecnologia, delle leggi e dell’etica collegate agli attacchi e alle difese informatiche, pianificando un vero e propri piano in tutte le sue fasi. Il cyber spazio, diventato terreno quotidiano per moltissime operazioni, infatti è diventato terreno di scontro decisivo.

Andrea Biraghi – Cyber Warfare e Geopolitica del CyberSpazio

AgendaDigitale.eu parla dell’ultimo libro della giornalista americana Nicole Perlroth: This Is How They Tell Me The World Ends – pubblicato nel Febbraio 2021. Nicole Perlroth getta uno sguardo inquietante sulle strategie di cyber war in atto affermando che siamo vicinissimi, ad un “9/11 cyber Pearl Habor”: un Pearl Harbor cyber dell’11 settembre. La giornalista descrive così in dettaglio il mercato poco compreso per gli exploit zero-day, che i governi hanno segretamente pagato agli hacker milioni di dollari sperando di usarli prima che qualcuno risolva – o approfitti – dello stesso errore. Invece oggi…sono in mano a tutti.

Leggi anche: Cyber Attacchi alle infrastrutture critiche: gli obiettivi dell’hybrid warfare

NimzaLoader-malware-andrea-biraghi

NimzaLoader: le analisi del malware scritto in linguaggio Nim

NimzaLoader è un malware utilizzato per le campagne phishing scritto utilizzando il linguaggio di programmazione Nim creato dal programmatore tedesco Andreas Rumpf. Rumpf ne parla come di un linguaggio efficiente, espressivo, elegante e parla delle sue caratteristiche in un pagina dedicata: https://nim-lang.org/

Nim è stato creato per essere un linguaggio veloce come il C, espressivo come Python ed estensibile come Lisp

Wiki – Nim linguaggio di programmazione

La difficoltà di NimzaLoader – siccome sctìritto appunto in un linguaggio inusuale per un malaware – sta appunto nel suo rilevamento e nelle analisi. E appunto per eludere il suo rilevamento è stato utilizzato il linguaggio Nim.

La campagna di phishing è stata intanto attribuita all’attore minaccia TA800, che in precedenza propagato il malware BazaLoader. Ma ci sono delle differenze: Il linguaggio di programmazione tra i due malware è completamente diverso. Non coincidono nemmeno l’offuscatore di codice, lo stile di decrittografia delle stringhe e gli algoritmi di generazione del dominio. Pertanto, NimzaLoader non è considerato una variante di BazaLoader.

Le minacce informatiche si stanno evelovemdo utilizzando armi sempre più diverse per sfuggire al controllo.

NimzaLoader malware dettagli e caratteristiche

La campagna di TA800 ha iniziato a diffondere NimzaLoader il 3 febbraio 2021 sfruttando i dati personali degli utenti nelle sue e-mail di phishing. L’e-mail contine collegamenti che reindirizzano gli utenti alle pagine di phishing per compromettere e / o rubare le informazioni sensibili o, potenzialmente, distribuire malware aggiuntivo. Diventa sempre più importante così, formare i dipendenti su come individuare le e-mail di phishing, in particolare quando campagne come questa tentano di sfruttare i dati personali.

Qui sotto un esempio tratto da un articolo di CyberSecurity360.it che parla di tutti i dettagli riguardo la nuova minaccia informatica.


Le esche di phishing utilizzate includono testi tipici dell’inegneria sociale, e così difficili da interpretare in modo corretto da parte dell’utente che viene spinto da un certa urgenza da parte del messaggio che tra l’latro dirige a link verosimili all’oggetto dell’eMail. Il malware NimzaLoader inoltre è progettato per riuscire a fornire agli aggressori informatici l’accesso ai computer Windows e la successiva possibilità di eseguire i comandi e controllare la macchina.

TA800 ha spesso sfruttato malware diversi e unici e gli sviluppatori possono scegliere di utilizzare un linguaggio di programmazione raro come Nim per evitare il rilevamento, poiché gli ingegneri inversi potrebbero non avere familiarità con l’implementazione di Nim o concentrarsi sullo sviluppo del rilevamento per esso, e quindi strumenti e sandbox potrebbero avere difficoltà ad analizzarne campioni

Sherrod DeGrippo, ProofPoint – L’analisi di ZDnet
ransomware-2021-andrea-biraghi

Ransomware 2021 i tre rapporti : IBM, Trend Micro e BlackBerry

Ransomware 2021: da 3 rapporti separati sulle minacce informatiche pubblicati da IBM, Trend Micro e BlackBerry, emergono molti degli stessi temi.

In questi rapporti nei nomi dei nuovi arrivati vi sono i nomi Egregor e DoppelPaymer, e ransomware come Sodinokibi e Ryuk permangono nelle liste delle migliori campagne. Tra i punti di unione dei tre rapporti la crescita e il raddoppiamento di ransomware e phishing – con alcune modifiche – e minacce come i deepfake e la disinformazione che nel futuro diventeranno minacce sempre più importanti.

I criminali informatici e gli hacker di stato risultano raddoppiati, approfittando anche del caos della pandemia con il passaggio al lavoro da remoto. BlackBerry sottolinea che i Managed Service Provider (MSP) erano obiettivi importanti durante gli attacchi ransomware 2020: secondo il “2021 Threat Report” gli hacker hanno sempre più sfruttato il ransomware per compromettere gli MSP come parte di campagne di criminalità informatica altamente mirate. Il ransomware rimane il grande business del cyber crime .

Ransomware 2021: come cambiano gli attacchi

Una delle osservazioni circa il numero di tentativi di attacchi ransomare è stata circa il suo declino. Questo declino per Jon Clay di TrendMicro non è dovuto alla diminuzione delle minacce, ma al mutare delle tattiche.

“Se si guardano i numeri ransomware, quel numero è in realtà in calo di anno in anno perché le tattiche sono cambiate”.

“Siamo passati dagli attacchi ransomware spray-and-pray all’approccio molto più mirato da parte degli attori ransomware.”

Darkreading – Ransomware, Phishing Will Remain Primary Risks in 2021

Altre notevoli tendenze del ransomware 2020 evidenziate nel rapporto di BlackBerry includono l’uso di Ransomware-as-a-Service (RaaS), l’esfiltrazione dei dati prima e durante la crittografia ransomware,la “collaborazione” di Ryuk con Trickbot ed Emotet, o la collaborazione di Zeppelin con Azorult.

Un altro fattore è il mercato Bitcoin che sta spingendo gli aggressori a trasferirsi in Linux e cercare di sfruttare i servizi cloud. “Molte aziende si stanno spostando verso il cloud, quindi ci sono molti dati lì”, afferma Rossmann di IBM Security X-Force.

Le tendenze che si evincono dallo stesso rapporto riguardano le strategie di doppia estorsione, l’uso di Crimeware-as-a-Service da parte di hacker di Stato e attacchi informatici a pazienti sanitari e loro. cartelle cliniche.

Dal monitoraggio 24 ore su 24 agli strumenti di sicurezza basati sull’intelligenza artificiale e al rilevamento delle minacce interne e la comprensione di come gli eventi attuali hanno un impatto sulla superficie di attacco di un’organizzazione possono fare la differenza tra una violazione dei dati e una difesa informatica di successo.

Eric Milam, vice presidente della ricerca e dell’intelligence di BlackBerry.


cyber-security-falsi-positivi-andrea-biraghi

Cyber security: avvisi di sicurezza e falsi positivi, l’analisi di Fire eye

Cyber security e falsi positivi: si può migliorare l’analisi della sicurezza senza tradurla in migliaia o a volte milioni di avvisi al giorno che da soli non forniscono informazioni sufficienti?

La frase “falso positivo” suggerisce che ci sia un positivo che si è dimostrato falso. Tuttavia, come detto sopra, queste singole prove, senza contesto o correlazioni, non sono mai utilizzabili da sole. Per dimostare infatti che un allarme positivo, bisogna raccogliere, analizzare e contestualizzare le prove di supporto necessarie. Rispondere ai falsi allarmi – secondo una ricerca fornita dal Ponemon Institute – le organizzazioni sprecano in media 1,27 milioni di dollari ogni anno.

Dei 17.000 avvisi malware che un’organizzazione riceve ogni settimana, solo 3.230 sono considerati affidabili e solo 680 degli avvisi vengono effettivamente esaminati.

FireEye – Security Alerts: Stop the Noise

La società di cyber security Fire Eye nel rapporto “The Voice of the Analysts: Improving Security Operations Center Processes Through Adapted Technologies”, rileva che gli analisti stanno diventando “meno produttivi” a cauasa della diffusa “stanchezza degli avvisi” con conseguente allarme ignorato, aumento dello stress e paura di non rilevare minacce e di non poter prevenire gli incidenti. Ma nel rapporto vengono evidenziate anche le attività principali che gli stessi analisti ritengono sia meglio automatizzare per proteggere meglio i loro Centri operativi di sicurezza (SOC).

“Gli analisti della sicurezza sono sopraffatti da una marea di falsi avvisi positivi da soluzioni disparate, mentre crescono sempre più preoccupati di poter perdere una vera minaccia. Per risolvere queste sfide, gli analisti chiedono strumenti di automazione avanzati, come extended detection e response, che possano contribuire a ridurre la paura di incidenti mancanti rafforzando al contempo la sicurezza informatica del loro SOC.”

Chris Triolo, Vice President of Customer Success di FireEye.

Cyber Security: ridurre i falsi positivi

Gli intervistati hanno condiviso per il report gli strumenti principali che utilizzano per le loro analisi. Meno della metà utilizza tecnologie di intelligenza artificiale e machine learning (43%) ), strumenti soar (Security Orchestration Automation and Response), software SIEM (Security Information and Event Management) (45%) e altre funzioni di sicurezza.
Per ridurre l’affaticamento da “falsi positivi” e gestire i propri SOC, i team di sicurezza hanno bisogno di soluzioni automatizzate avanzate. Le soluzioni avanzate e meglio automatizzate permettono un rilevamento delle minacce più alto (18%), seguito dall’intelligence sulle minacce (13%) e dal triage degli incidenti (9%).

Il report di FireEye evidenzia che la maggior parte delle soluzioni di sicurezza informatica non distingue tra malware quotidiano e attacchi mirati avanzati. in questo modo gli avvisi importanti vengono confusi o persi con gli avvisi non importanti, consentendo agli attacchi di violare la sicurezza della rete.

Le procedure consigliate da FireEye sono:

  • Ridurre i falsi positivi e consolidare gli eventi correlati
  • Verificare, analizzare e fornire il contesto per gli avvisi
  • Allineare la sicurezza ai rischi aziendali
  • Assegnare priorità ed evidenziare gli avvisi importanti

Ci sono tuttavia delle soluzioni di sicurezza come software che raccolgono le singole prove, pesandole e analizzandole e contestualizzandole. Software che diminuisicono i falsi positivi collegando collega i punti di tutti i vari eventi di sicurezza, creando un quadro chiaro di una violazione.

Leonardo Spa: dalla divisione cyber security di Genova ai sottomarini. Le ultime notizie

Leonardo Spa, le ultime notizie e rassegna stampa in materia di sicurezza e difesa, dalla divisione cyber security di Genova, ai sistemi di sorveglianza e protezione dei nuovi sottomarini della Marina Militare Italiana, che lega la compagnia a Fincantieri, altro campione della sicurezza italiana.

Leonardo: cyber security e digitalizzazione

Genova rappresenta il secondo polo ingegneristico sul territorio nazionale di Leonardo, e la Liguria rimane centrale per le sfide industriali del Paese. La nuova organizzazione aziendale della divisione Cyber Security viene descritta dal vertice aziendale come perfettamente pronta. Sempre a Genova si trova il nuovo supercomputer di Leonardo, davinci-1: tra i primi 100 al mondo per potenza di calcolo e prestazioni – in grado di compiere 5 milioni di miliardi di operazioni al secondo – e tra i primi tre per il settore aerospazio e difesa.

“È fondamentale capire come una realtà come la Divisione Cyber può affermarsi sul mercato mondiale contro competitor di ben altre dimensioni”

Leggi la news su Genova24.it – Leonardo, Fim Cisl: “Genova sia centrale nella divisione Cyber Security

L’innovazione tecnologica di Leonardo e Fincantieri per la protezione degli spazi subaquei

E’ stato firmato il contratto tra Leonardo e Fincantieri: ha un valore di circa 150 milioni di euro e servirà per la fornitura di equipaggiamenti per i primi due sottomarini U212 Near Future Submarines.

I nuovi sottomarini entreranno a far parte della flotta della Marina Militare Italiana a partire dal 2027. Parte così la fase 2 Leonardo e Fincantieri.

Per Leonardo questo contratto riveste un’importanza strategica nel navale: dal punto di vista commerciale, l’azienda amplia la sua offerta al settore dei sottomarini. Dal lato industriale, la sinergia con i sistemi già forniti sulle navi di superficie, incluse le future configurazioni, sarà una spinta ulteriore a investimenti per lo sviluppo e l’innovazione delle linee di prodotto, in particolare del combat management system.

MilanoFinanza – Leonardo entra nel business dei sottomarini

Leonardo: ok all’operazione Drs

Per finire la rassegna stampa, la società Leonardo, guidata da Alessandro Profumo, ha depositato alla Sec il prospetto S-1 per la quotazione a Wall Street – entro marzo 2021 – di una quota di minoranza della controllata americana Leonardo Drs.

Sole 24 Ore: “L’intera Drs potrebbe essere valutata più di tre miliardi di euro. Leonardo potrebbe incassare oltre un miliardo. Potrà ridurre l’indebitamento, stimato nella «guidance» in almeno 3,3 miliardi a fine 2020, ma potrebbe essere più alto. Leonardo valuta anche possibili acquisizioni. Dal collocamento Leonardo trarrà anche una bella plusvalenza. Il valore di carico di Drs non è indicato nel bilancio del gruppo. Leonardo Us Holding ha un valore di libro di 1.944 milioni di euro a fine 2019″.

Leggi anche: Il Cyber Range Leonardo scelto dal Qatar computing research Institute (QCRI)

malware-2021-attacchi-informatici

Le minacce informatiche evolute: il report Malware 2021 di MalwareBytes

Il report Malware 2021 di MalwareBytes riporta l’evoluzione delle minacce informatiche durante il 2020 fino ad arrivare ad oggi. Gli attori delle minacce hanno approfittato soprattutto della crisi e della paura dovute alla pandemia di Covid-19, riorganizzando i propri sistemi di attacco e pefezionando i loro ransomware.

Nonostante le misure prese per assicurare di essere protetti in ogni momento i nuovi attacchi hanno riguardato una serie di exploit informatici su larga scala.

Tra gli obiettivi dei cyber criminali quello di utilizzare la paura e la confusione dovute alla pandemia per fare nuove vittime, utilizzando campagne dannose e fraudolente di phishing. Tra le campagne: AveMaria, il Remote Access Trojan e AZORult, un malware pericoloso che ruba informazioni. I rilevamenti di malware nei computer aziendali Windows sono diminuiti complessivamente del 24%, ma i rilevamenti di HackTools e Spyware sono aumentati notevolmente, rispettivamente del 147% e del 24%.

Si sono osservati inoltre numerosi gruppi APT (Advanced Persistent Threat) sponsorizzati dallo stato con l’obiettivo di rubare informazioni. Sono aumentati invece gli attacchi brute force.

Le 10 maggiori categorie malware per il 2020 – Fonte MWB: State Of Malware Report 2021

Malware 2021: i punti principali del report di MalwareBytes

Quali sono i punti principali del report “State of Malware 2021”?

Il punto principale è che le tattiche dei criminali informatici sono cambiate ma questo non si può dire per le loro intenzioni.
Sebbene la quantità di malware di Windows rivolto alle imprese sia diminuita è un segno purtroppo che i cyber criminali hanno invece imparato a fare più danni con meno. Sono diminuiti gli attacchi Emotet e Trickbot.

Mentre gli attacchi diminuiscono in settori come quell sanitari, automotive e istruzioni, sono inevece aumentati del 1.055% i rilevamenti di app spyware e in aumento del 607% dei rilevamenti di malware nell’industria agricola.

Il cambiamento più inquietante è stato rilevato nell’uso degli Spyware, diventato strumnto oramai comune. Un campo sempre in pericolo è quello del lavoro da remoto, e MalwareBytes avvisa: è tempo di abbandonare le vecchie ed oboslete idee sulla sicurezza, pensando che i perimetri aziendali siano inviolabili.

Il 2021 potrebbe essere anche l’anno chiave per quanto riguarda i nuovi attacchi informatici di quinta generazione.

cyber-attacchi-quinta-generazione-andrea-biraghi

I Cyber attacchi di quinta generazione: il 2021 anno chiave

I cyber attacchi di quinta generazione diventano sempre più sosfisticati: si va dallo spionaggio internazionale alle massicce violazioni delle informazioni personali alle interruzioni su larga scala di Internet.

Con la rapida digitalizzazione a causa della pandemia, il passaggio al server cloud, l’alto numero di smartphone connessi in rete e il passaggio al lavoro da remoto tutti noi diveniamo più vulnerabili. Nonostante le misure prese per assicurare di essere protetti in oggni momento i nuovi attacchi hanno riguardato una serie di exploit informatici su larga scala. Perhè molte aziende sono protette contro attacchi de seconda e terza generazione e la sicurezza informatica deve evolvere invece verso la quinta generazione per proteggere le aziende contro gli attacchi all’intera infrastruttura IT.

I cyber criminali si muovono sempre più rapidamente per infettare un gran numero di aziende e organizzazioni in vaste aree geografiche con mega-attacchi su larga scala. Le reti e i data center, i cloud e i dispositivi sono ancora esposti. Inoltre nonbiosgna dimenticare che la nuova implementazione delle reti mobile per il 5G offriranno velocità più elevate ma anche la possibilità ai criminali informatici di innescare attacchi informatici sempre più grandi. 

Lo sviluppo della tecnologia 5G e dell’Internet of Things aumenteranno le vulnerabilità degli utenti: si parla di attacchi informatici di quinta generazione su larga scala. Molte aziende però non sono ancora preparate contro attacchi di questo tipo: multi-dimensionali, multi-stadio, multi-vettore, polimorfici, in poche parole estremamente articolati.

Andrea Biraghi – Gli attacchi di quinta generazione

Come difendersi dai Cyber attacchi di quinta generazione

Ma cosa è un attacco di Quinta Generazione? Un attacco cibernetico estremanente pericoloso e a grande scala, progettato per infettare più componenti di un’infrastruttura informatica, comprese le reti, le macchine virtuali istanze cloud e i dispositivi endpoint. Un attacco di questo tipo è in grado di superare le barriere di difesa dei FireWall: primi esempi di questo tipo di tacchi sono stati NotPetya e WannaCry.

Andrea Biraghi

La cyber resilienza rimane un’alta priorità. Ci sono soluzioni attuali per difendersi dagli attacchi informatici del 2021? Le soluzioni di “quinta generazione” si basano sulla prevenzione in tempo reale, sulla gestione unificata dei rischi, sui continui aggiornamenti per evitare attacchi zeroday e l’utilizzo di Firewall con funzioni avanzate di nuova generazione (NGFW).

E’ necessaria l’attivazione di un’intelligence che copra tutte le superfici di attacco, inclusi cloud, dispositivi mobili, rete, endpoint e IoT.

cyber-range-andrea-biraghi-Leonardo

Il Cyber Range Leonardo scelto dal Qatar computing research Institute (QCRI)

Il Cyber Range Leonardo – poligono virtuale per la cyber difesa – è stato scelto dal Qatar computing research Institute (QCRI) per addestrare gli operatori e valutare la resilienza delle infrastrutture agli attacchi informatici. Il Cyber Range è un poligono virtuale, un sofisticato sistema di elaborazione che, grazie alla tecnologia, consente di simulare
complessi sistemi ICT. Il suo compito è quello di formare sulle criticità più complesse delle minacce informatiche contro sistemi informativi (IT) e operativi (OT)

L’iniziativa conferma la presenza di Leonardo in Qatar, parte della strategia del piano “Be Tomorrow – Leonardo 2030”. Il contratto rientra inoltre nel quadro degli accordi di cooperazione tra Italia e Qatar.

La scelta del Qatar, secondo le parole di Tommaso Profeta, managing director della Divisione Cyber security di Leonardo, rapprsenta comunque un riconoscimento molto importante “anche in ottica di open innovation, sia perché conferma la fiducia dei clienti e l’efficacia della strategia di Leonardo sui mercati internazionali in ambito Cyber security”.

cyber-range-andrea-biraghi-Leonardo

Cyber Range Leonardo: gli scenari di allenamento e formazione

Compito della piattaforma è simulare scenari di attacco e consente la generazione di molteplici scenari di allenamento con diversi livelli di complessità. Questi secnari consentono di rappresentare gli ambienti operativi reali con lo scopo di verificare le capacità dei dispositivi fisici e virtuali impiegati. Le sue componenti principali sono:

  • Piattaforma di esecuzione dell’attacco
  • Piattaforma di gestione, per la configurazione degli esercizi e del loro punteggio
  • Piattaforma educativa

La piattaforma è un poligono virtuale, composto da una infrastruttura Hardware e software che permette di simulare complessi sistemi ICT. In materia di Difesa e Sicurezza la Cyber Security diventa sempre di più un’arma strategica e Leonardo stava lavorando ad un vero e proprio “poligono virtuale” in campo informatico (IT), il primo cyber range italiano per la Difesa e per gestire le infrastrutture critiche: i possibili scenari vengono virtualizzati per sviluppare strategie e componenti di difesa con l’intelligenza artificiale (AI).

Andrea Biraghi Leonardo Cyber Range : il poligono virtuale per la cyber difesa

protezione-dati-social-media

Protezione dei dati e social media: i più giovani vanno tutelati

Protezione dei dati, social media e minori: intanto Tik Tok – il social network che permette creare e pubblicare video creativi che diventano virali – si deve di fatto fermare in Italia fino al 15 febbraio. La decisione è del Garante Privacy per la riservatezza dei dati personali.

La ragione del blocco sta nella mancanza di strumenti di accertamento sicuri dell’identità e soprattutto dell’età di chi la utilizza. Il blocco così è stato stabilito – per tutti gli account del social – “per i quali non sia stata accertata con sicurezza l’età anagrafica”, che dovrebbe rispettare il divieto dell’iscrizione agli under 13.

Ma è vero? Il blocco è stato disposto fino al 15 febbraio, tuttavia la piattaforma è ancora in funzione…

Il provvedimento applicato ora vieta a TikTok di trattare i dati personali di utenti dei quali non è in grado di verificare l’età. La tesi è che in assenza di una verifica, la piattaforma non può escludere a priori il fatto che anche utenti minori di 13 anni possano utilizzare il suo servizio.

Wired
Umberto Rapetto: il generale della Guardia di Finanza parla dell’allarme TikTok

Ma non solo, anche la Repubblica di San Marino bussa virtualmente alla porta dei colossi di Internet ergendosi ad avamposto dei diritti. Si prospetta quindi una nuova manovra per salvaguardare la sicurezza dei più giovani e la loro privacy online. Un accertamento che – viene assicurato – sarà rigoroso sotto il profilo giuridico e tecnico: da Facebook a Instagram e WhatsApp, a Google con Youtube, e Amazon con Twich e infine Twitter.

Si può pure “chiudere” TikTok, ma poi nascerà un nuovo social o un’altra app di intrattenimento che veicolerà analoghe sfide e competizioni suicide e ci si ritroverà al punto di partenza. Il commento di Umberto Rapetto, direttore di Infosec.news

E’ possibile proteggere la propria privacy e i dati sul web? Si, è possibile, diventando consapevoli delle informazioni che si condividono in rete. la verità, infatti, è che spesso non ci preoccupiamo più di tanto, quando utilizziamo i nostri dati anche quelli più sensibili, credendo giustamente che non avendo nulla da nascondere di male, non sia poi così necessario tutelarci.

Andrea Biraghi – I dati sul web: proteggere privacy e dati è importante soprattutto per i più giovani

La protezione dei dati sui social media: quale soluzione per i più giovani?

Il problema alla base però non riguarda solo la chiusura di una APP ma l’educazione dei più giovani, a cui si dovrebbe insegnare che la loro presenza sul Web non è affatto anonima e che questo ha a che fare con delle responsabilità a partire dalle propri e scelte. Perchè chiusa una app ce ne sarà un’altra e un’altra ancora, non arrivando ad eliminare mai il vero problema. Umberto Rapetto infatti suggerisce di intervenire anche sulle porposte di “esistenza felice off-line”.

Genitori, insegnanti, educatori di qualsivoglia sorta si chiedano cosa hanno fatto per affrontare il tanto inevitabile, quanto prevedibile cambiamento che lo tsunami hi-tech avrebbe determinato ad ogni latitudine. La risposta può variare dal “pochissimo” al “davvero nulla”.

Umberto Rapetto – Si può davvero chiudere TikTok?

In tutto questo i genitori svolgono una importante funzione, quando la propria casa resta il principale luogo di accesso a internet. L’88% dei ragazzi italiani – secondo il report EU Kids Online Italyusa internet a casa ogni giorno.

Leggi anche :

Cyber-security-settore-marittimo

L’importanza della Cyber Security nel settore marittimo

La cyber security nel settore marittimo – a causa del crescente numero di attacchi informatci contro organizzazioni marittime – è una delle priorità assolute in termini di sicurezza e difesa.

Gli attacchi informatici ai sistemi e alle tecnologie operative del settore infatti hanno avuto un aumento globale del 900% negli ultimi tre anni (dati International Maritime Organization’s – IMO).

Riguardo a ciò è utile ricordare che il settore marittimo svolge un ruolo vitale nell’economia globale: il 90% del commercio globale è trasportato dalla navigazione. Gli attcchi informatici verso questo settore e contro infrastrutture nazionali critiche – come l’industria marittima – possono avere effetti paralizzanti sull’intera economia nazionale e internazionale.

Dall’altro lato le organizzazioni marittime dipendono sempre più dall’IT (Information Technology) e OT (Operation Technology) per massimizzare l’affidabilità e l’efficienza del commercio marittimo. Questi sistemi abilitati per il cyber aiutano la navigazione delle navi, le comunicazioni, la gestione ingegneristica a bordo, la gestione del carico, la sicurezza, la sicurezza fisica e il controllo ambientale. Tuttavia, la proliferazione di sistemi rivolti a Internet in tutto il settore marittimo sta introducendo rischi sconosciuti ed espandendo la superficie di minaccia.

L’attacco informatico NotPetya del 2017 è stato un campanello d’allarme degli effetti disastrosi, che hanno paralizzato l’industria marittima globale per più di qualche giorno.

Tar le molte imprese marittime che ne sono rimaste colpite, il colosso Maersk che ha stimato un danno di circa $ 300 milioni: Maersk ha subito la chiusura di alcuni terminal portuali gestiti dalla sua controllata APM.

Cyber Security nel settore marittimo: i diversi incidenti

“Il non riuscire a proteggere la nave da un evento cyber potrebbe essere considerato un mancato esercizio della dovuta diligenza nel rendere la nave idonea alla navigazione, e anche una violazione degli Articoli 3(1) e 4(1) delle Regole dell’Aja/Aja-Visby.”

Il rischio di attacchi cyber nel settore marittimo – 2017

La consapevolezza – oggi più che mai – che le operazioni di trasporto marittimo siano esposte a questo tipo di rischi è cresciuta. Tra le aziende che si occupano di sorveglianza marittima e costiera c’è Leonardo, che garantisce i sistemi informativi delle forze navali, capacità di comando e controllo, gestione dei sistemi d’arma e comunicazioni integrate.

Tuttavia “i pericoli derivanti dagli attacchi cyber non riguardano solo i sistemi informatici delle compagnie di navigazione ed i dati sensibili ivi contenuti, ma coinvolge anche le stesse navi, le quali sono sempre più computerizzate e quindi anch’esse esposte alla pirateria informatica”.

Quali sono i diversi incidenti che si possono verificare?

  • Problemi con il trasferimento dei dati
  • Problemi con l’attrezzatura e l’hardware di bordo
  • Perdita o manipolazione di dati esterni del sensore, fondamentali per il funzionamento di una nave.

Diventa sempre più importante proteggere sistemi e dati critici con più livelli di protezione, per aumentare la probabilità di rilevare un incidente informatico e lo sforzo, insieme alle risorse, per proteggere informazioni, dati o disponibilità di hardware IT.

intelligenza-artificiale-e-sicurezza

Intelligenza artificiale e sicurezza: saremo in grado di controllarla?

Intelligenza artificiale (IA) e sicurezza: una nuova ricerca afferma che l’uomo rischia di non essere in grado di controllare le future “macchine intelligenti” che non smettono mai di imparare.

Proprio per questo alcuni scienziati hanno evidenziato i potenziali pericolo dello sviluppo di software autonomi.

In uno studio pubblicato sul Journal of Artificial Intelligence Research Portal, l’autore Manuel Cebrain ha dichiarato:

“Una macchina super intelligente che controlla il mondo suona come fantascienza”

Journal of Artificial Intelligence – Manuel Cebrain

Questo perchè è appurato che ci sono già macchine che svolgono determinati compiti importanti in modo indipendente senza che i programmatori capiscano appieno come l’hanno imparato […], una situazione, questa, che a un certo punto potrebbe diventare incontrollabile e pericolosa per l’umanità.

E’ giusto quindi analizzarne con cura rischi e opportunità dell’IA, prendendosi forse più tempo di quel che si è prospettato.

Intelligenza artificiale e sicurezza: l’uomo prima di tutto

E’ pure vero che i grandi progressi fatti e applicati in un serie di campi sono utili a verificarne anche i benefici oltre che i rischi: non dobbiamo dmenticare che la tecnologia IA rappresenta un enorme opportunità per il nostro futuro e quello del pianeta.

Pensiamo solo al problema dell’identità digitale, contro le frodi e il crimine infrmatico o agli ultimi progressi compiuti contro la disinformazione grazie ad una nuova capacità dell’IA di distinguere le notizie reali dai complottismi.

Attraverso dei calcoli teorici, un team di scienziati tra cui quelli del Center for Humans and Machines del Max Planck Institute for Human Development, mostra però che non sarebbe possibile controllare un’IA superintelligente. Il problema starebbe nella prevenzione del danno: lo studio è stato impostato su 2 diversi metodi per controllare il software: uno per isolare il software da internet e il secondo attraverso la programmazione di un algortimo che gli impedisca di danneggiare in qualsiasi circostanza. Questo per arrestarla se considerata pericolosa.

Il primo metodo ha impedito alla tecnologia di svolgere le sue funzioni di base, ma, cosa preoccupante, sembra che non ci sia un algoritmo in grado di garantire una prevenzione dal danno. Ovvero, il problema del contenimento è incomputabile, cioè nessun singolo algoritmo può trovare una soluzione per determinare se un’IA produrrebbe danni al mondo.

Se nel primo caso si è impedito alla tecnologia di svolgere le sue funzioni di base, nel secondo sembra che non ci sia un algoritmo in grado di garantire una prevenzione dal danno. Tale algoritmo non può essere costruito.

“Se si suddivide il problema in regole di base dall’informatica teorica, si scopre che un algoritmo che comanda un’IA di non distruggere il mondo potrebbe inavvertitamente fermare le proprie operazioni. Se ciò accadesse, non saprei se l’algoritmo di contenimento sta ancora analizzando la minaccia o se si è fermato a contenere l’IA dannosa. In effetti, questo rende inutilizzabile l’algoritmo di contenimento”

Iyad Rahwan, direttore del Center for Humans and Machines – We wouldn’t be able to control superintelligent machines

identità-digitala-andrea-biraghi

Intelligenza artificiale e identità digitale: la capacità di dimostrare davvero chi siamo

Identità digitale: se da un lato cresce la necessità di provare la propria identità per accedere ai servizi digitali, intelligenza artificiale, machine learning e reti neurali ci vengono incontro.

Tuttavia, nel cyberspazio, l’identità è tutt’ora più difficile da verificare a causa della mancanza di standard – che si rivelino affidabili – per non parlare della proliferazione di frodi di identità e falsificazione dei dati biometrici. Il crimine informatico ha quindi fatto emergere nuove problematiche circa il problema del furto dell’identità e ma anche nuovi implusi alla sicurezza informatica per nuove soluzioni per ripensare alla sicurezza dell’identità.

“L’identità può essere scambiata digitalmente tra utenti e fornitori di servizi in modo sicuro ed efficiente. L’autenticazione dell’identità è il primo passo verso la creazione di fiducia tra due parti nello spazio online e, in ultima analisi, “è alla base dell’intera economia digitale”.

Husayn Kassai, CEO of Onfido

Le nostre vite si stanno spostando nello spazio digitale. Acquisti online, servizi sanitari, online banking, senza dimenticare le interazioni sociali, ci fanno comprendere come l’indetità digitale diventi quindi un problema importante. La capacità di dimostrare davvero chi siamo è diventato un fattore cruciale per accedere ai vari servizi digitali, per abilitare le transazioni. Non c’è limite al suo utilizzo – si può parlare anche dei check-in aeroportuali o al voto online, o la dimostrazione di un test COVID-19.

Contemporaneamente devono essere tutelati gli aspetti informativi sulla privacy.

L’utilizzo dell’Identità digitale cresce anche in Italia come le soluzioni e le startup

In Italia la crescita delle identità SPID attive quest’anno rispetto allo scorso anno è del 140%.

“Nel 2020 il numero di identità SPID attive è più che raddoppiato, con circa 7,7 milioni di nuovi utenti in più rispetto ai 5,5 milioni censiti a fine 2019, e gli accessi mensili sono passati dai 6,3 milioni di gennaio ai 16,7 milioni di ottobre. Nonostante l’aumento, SPID copre appena il 22% della popolazione (e il 26% degli italiani maggiorenni), lontano dai livelli dei paesi europei più avanzati, come Olanda (79%), Svezia (78%), Norvegia (74%) e Finlandia (55%)”.

Giorgia Dragoni, Direttore dell’Osservatorio Digital Identity

Su EconomyUp si parla di 9 startup italiane che oggi stanno affrontando il problema dell’identità digitale con varie soluzioni. La lista è composta da: Biowetrics, Elysium, Floux, iProov, Keyless, Monokee e Vibre.

Le loro tecnologie variano dall’identificazione biometrica sicura senza password, riconoscimento facciale per i pagamenti contactless o algoritmi – come MindPrint – che consente l’autenticazione dell’utente tramite il segnale cerebrale, sfruttando tecnologie di AI.

disinformazione-mediatica-cyber-security-andrea-biraghi

La minaccia della Disinformazione mediatica: a tutti gli effetti un ulteriore sfida della Cyber Security

La disinformazione mediatica è oggi delle sfide della Cyber Security: la manipolazione dei fatti e delle informazioni è anche al centro della nuova agenda translatantica Europa USA per il cambiamento globale.

L’obiettivo è quello di contrastare i poteri autoritari (Cina, Russia in primis) che cercano di sovvertire l’ordine democratico destabilizzando il ruolo delle istituzioni. Anche tramite attacchi cyber e disinformazione di Stato, che ad esempio stanno colpendo in questa fase i vaccini covid-19 e le strutture sanitarie.

AgendaDigitale.eu – Nuova alleanza UE-USA: il ruolo inedito della cybersecurity

Fake News, notizie false, informazioni inganevvoli, prontamente confezionate per influenzare l’opionone pubblica. Un fenomeno che in questi anni ha subito una crescita esponenziale e che mette a rischio la stessa informazione. Non manca chi da queste “bufale” trae profitto, per fare soldi in minor tempo possibile e sfruttandone tutti i meccanismi che stanno dietro.

Andrea Biraghi – L’informazione online è sotto minaccia.

La Commissione europea ha definito la disinformazione come “l’aggregato di informazioni false o ingannevoli che sono create, annunciate e divulgate, per trarre vantaggi economici o per plagiare intenzionalmente le persone, e che potrebbero causare un pericolo pubblico”.

La sfida va dunque accolta: per quanto Internet sia un importante mezzo di informazione e uno strumento in grado di cambiare le nostre vite permettendoci di comunicare più velocemente, biosgna ora pensare a strumenti che guidino gli utenti nella giungla delle informazioni. Allo stesso tempo sarebbe utile una maggiore consapevolezza del lato oscuro del web: per questo ancora più importnate è elaborare degli strumenti che aiutino le persone e che le metta in sicurezza.

Disinformazione mediatica e social

Nel 2019 Facebook si è dovuto tutelare per contrastare le interferenze da parte di Paesi stranieri nelle elezioni presidenziali USA 2020: eliminando account registrati in Russia e Iran. Gli account in questione erano accusati di creare meme e video deepfake anti-Trump. Il numero della loro diffusione è notevole: hanno raggiunto circa 265.000 accounts sui social network. Il numero dei profili chiusi: 78 account Facebook, 11 pagine, 29 gruppi e quattro account Instagram.

Andrea Biraghi – Fake News: l’informazione sotto minaccia

ComputerWeekly evidenzia come la regolamentazione dell’informazione su Internet e quindi anche sui social possa essere usata come pretesto per reprimere la libertà di parola. “Dovremmo essere molto cauti nell’usarlo eccessivamente come strumento”.

Crescono intanto nuove startup il cui obiettivo è fermare il flusso della disinformazione tra cui: Right of Reply, Astroscreen e Logically, che anche se non si definiscono società di sicurezza informatica in pratica è come se lo fossero. La sicurezza informatica non riguarda infatti solo le violazioni dei dati ma la loro integrità. Inoltre la manipolazione dell’informazione può minacciare la sicurezza nazionale per cui ecco perchè la questione dovrebbe essere al centro delle nostre difese informatiche.

Nelle previsioni di Avast Security si parla anche di DeepFake: già a Gennaio abbiamo visto che con le elezioni presidenziali degli Stati Uniti 2020 i deepfakes sarebbero stati sfruttati per tentare di screditare i candidati e inviare messaggi politici falsi agli elettori attraverso i social media