Inchieste
Spionaggio Digitale: l’iInarrestabile ascesa di OilRig
Tempo di lettura: 9 minuti. Shamoon ritorna, OilRig intensifica con QUADAGENT. Proteggi dal nuovo pericolo RGDoor e OopsIE nel Medio Oriente
Nel panorama della sicurezza informatica, il gruppo OilRig (noto anche come APT34 o Helix Kitten) continua a dimostrare una capacità di adattamento e un’evoluzione costante nel loro arsenale di strumenti di attacco. Identificato per la prima volta a metà del 2016, OilRig è un avversario motivato da operazioni di spionaggio e attivo principalmente nella regione del Medio Oriente. La loro persistenza e l’intensificazione delle operazioni lasciano presagire un’accelerazione delle attività nel prossimo futuro.
OilRig Trojan “OopsIE” per cyberattacchi nel Medio Oriente
Nel panorama delle minacce informatiche, il gruppo OilRig sè distinto per la sua persistenza e l’evoluzione continua delle sue strategie di attacco. Unit 42 di Palo Alto Networks ha rivelato l’uso di un nuovo trojan, soprannominato “OopsIE”, utilizzato per colpire obiettivi strategici nel Medio Oriente.
Sviluppo e Analisi del Trojan
OilRig ha dimostrato una capacità notevole di adattamento, sviluppando il trojan “OopsIE” per infiltrarsi in enti assicurativi e istituzioni finanziarie. L’attacco del 8 gennaio ha visto l’uso di un documento Word dannoso, mentre quello del 16 gennaio ha coinvolto la consegna diretta del trojan tramite link di phishing mirato. L’analisi tecnica del documento “ThreeDollars” e del trojan rivela un uso astuto di macro malevoli e tecniche di mascheramento del traffico di rete.
Metodologie di attacco e prevenzione
Unit 42 ha fornito dettagli tecnici sulle metodologie di attacco di OilRig, inclusi l’uso di task pianificati, la creazione di VBScript e le tecniche di codifica dei dati. Vengono inoltre condivisi gli Indicatori di Compromissione (IoC), come gli hash SHA256 e i dettagli dell’infrastruttura di comando e controllo (C2). Per la protezione, vengono suggeriti strumenti come WildFire, AutoFocus, Traps e PanAV di Palo Alto Networks.
OilRig ha continuato a rappresentare una minaccia significativa per le aziende nel Medio Oriente. L’articolo sottolinea l’importanza di rimanere aggiornati sulle tattiche di attacco e di implementare misure di sicurezza adeguate per contrastare queste minacce persistenti.
RGDoor, il retroscena della backdoor IIS
Unit 42 ha rivelato l’uso di un backdoor IIS denominato RGDoor, utilizzato per prendere di mira organizzazioni governative e istituzioni finanziarie ed educative nel Medio Oriente. Questo backdoor si presenta come una minaccia secondaria, attivata per mantenere l’accesso a server compromessi qualora le difese nemiche individuassero e rimuovessero le shell TwoFace precedentemente installate.
RGDoor: minaccia nascosta nei Server
RGDoor si distingue per la sua capacità di operare discretamente. A differenza di TwoFace, non è sviluppato in C# e non richiede interazioni con URL specifici. Creato in C++, RGDoor si integra come modulo HTTP nativo in IIS, estendendo le funzionalità del server per eseguire azioni personalizzate su richieste in arrivo. La sua installazione può avvenire tramite l’interfaccia grafica di IIS Manager o con comandi appcmd, dimostrando la sofisticatezza e l’adattabilità di questo strumento agli ambienti server.
Risposta ai comandi: analisi tecnica
L’analisi di RGDoor mostra che risponde immediatamente alle richieste POST HTTP, esaminando i campi “Cookie” per comandi specifici. Questa funzionalità consente agli attori di caricare e scaricare file e di eseguire comandi, offrendo un controllo quasi totale sul server compromesso. La struttura dei comandi, la loro esecuzione e la risposta a tali richieste rivelano un livello di controllo preoccupante per la sicurezza delle reti informatiche.
Protezione e prevenzione: misure di sicurezza
Per contrastare la minaccia RGDoor, Palo Alto Networks ha messo a disposizione dei suoi clienti diversi strumenti di protezione, come WildFire e AutoFocus, e ha sviluppato una firma IPS specifica per rilevare il traffico di rete RGDoor. Queste misure sono essenziali per la prevenzione e la mitigazione degli attacchi, sottolineando l’importanza di una vigilanza costante e di una risposta rapida agli incidenti di sicurezza.
Comprensione e difesa: log e configurazione IIS
Per una difesa efficace, è cruciale comprendere come RGDoor appaia nei log di IIS. La configurazione standard di IIS non registra i valori dei campi “Cookie”, rendendo difficile l’identificazione delle richieste in arrivo. Pertanto, è necessario configurare IIS per loggare tali campi, permettendo agli amministratori di rilevare e analizzare le attività sospette legate a RGDoor.
Persistenza di RGDoor
RGDoor rappresenta un esempio chiaro di come gli attori di minacce informatiche sviluppino piani di contingenza per mantenere l’accesso ai network compromessi. La sua limitata ma efficace gamma di comandi fornisce una funzionalità sufficiente per un backdoor competente, dimostrando la necessità di una sicurezza informatica sempre più avanzata e proattiva.
Attacchi Mirati: La Strategia di OilRig
Tra maggio e giugno del 2018, Unit 42 ha osservato attacchi multipli attribuiti a OilRig, apparentemente originati da un’agenzia governativa del Medio Oriente. Utilizzando tecniche di raccolta credenziali e account compromessi, il gruppo ha utilizzato questa agenzia come piattaforma di lancio per i loro veri attacchi, colpendo fornitori di servizi tecnologici e altre entità governative dello stesso stato-nazione.
QUADAGENT: Backdoor di PowerShell
I bersagli di questi attacchi sono stati colpiti da un backdoor di PowerShell chiamato QUADAGENT, uno strumento attribuito a OilRig da ClearSky Cyber Security e FireEye. L’analisi di Unit 42 ha confermato questa attribuzione esaminando specifici artefatti e tattiche precedentemente impiegati da OilRig. Sebbene l’uso di backdoor basati su script sia una pratica comune per OilRig, l’insolita tattica di impacchettare questi script in file eseguibili portatili (PE) segnala un’evoluzione nelle loro metodologie di attacco.
Dettagli tecnici dell’attacco di OilRig
L’attacco più recente si è articolato in tre ondate, tutte caratterizzate da un’email di phishing che sembrava provenire da un’agenzia governativa del Medio Oriente. L’analisi ha rivelato che gli indirizzi email delle vittime non erano facilmente rintracciabili tramite motori di ricerca comuni, suggerendo che fossero parte di una lista di obiettivi predefinita o associati all’account compromesso utilizzato per inviare le email di attacco.
Tecniche di evasione e anti-analisi
OilRig ha abilmente sfruttato Invoke-Obfuscation, uno strumento open source, per offuscare gli script di PowerShell utilizzati per QUADAGENT. Questo strumento, originariamente progettato per aiutare i difensori a simulare comandi PowerShell offuscati, si è rivelato efficace nell’aumentare le possibilità di evasione e come tattica anti-analisi.
OilRig si è confermato un gruppo avversario estremamente persistente nella regione del Medio Oriente. Sebbene le loro tecniche di consegna siano relativamente semplici, le varie modifiche apportate agli strumenti utilizzati rivelano una sofisticatezza nascosta. È fondamentale ricordare che gruppi come OilRig seguiranno il percorso di minore resistenza per raggiungere i loro obiettivi. I clienti di Palo Alto Networks sono protetti attraverso servizi come WildFire, che classifica i campioni di QUADAGENT come malevoli.
Shamoon: minaccia distruttiva ritorna con nuove tattiche
Il malware distruttivo Shamoon, noto per aver colpito il settore energetico saudita nel 2012 e poi nuovamente nel 2016, è riemerso il 10 dicembre dopo due anni di assenza, lanciando una nuova ondata di attacchi nel Medio Oriente. Questi ultimi attacchi di Shamoon sono particolarmente distruttivi, poiché coinvolgono un nuovo malware cancellatore di file, Trojan.Filerase, che elimina i file dai computer infetti prima che Shamoon cancelli il master boot record, rendendo i computer inutilizzabili.
Nuove tattiche di Wiping
A differenza degli attacchi precedenti, questi ultimi coinvolgono un secondo pezzo di malware cancellatore, Trojan.Filerase, che aumenta la portata distruttiva degli attacchi. Mentre un computer infetto da Shamoon potrebbe essere reso inutilizzabile, i file sul disco rigido potrebbero essere recuperati forensicamente. Tuttavia, se i file vengono prima cancellati da Trojan.Filerase, il recupero diventa impossibile.
Diffusione e impatto degli attacchi firmati OilRig
La diffusione di Filerase avviene attraverso la rete della vittima a partire da un computer iniziale, utilizzando una lista di computer remoti unica per ogni vittima, il che suggerisce che gli aggressori abbiano raccolto queste informazioni durante una precedente fase di ricognizione. In almeno un caso, Shamoon è stato eseguito utilizzando PsExec, indicando che gli aggressori avevano accesso alle credenziali della rete.
Possibile collegamento con Elfin
Symantec ha osservato che una delle nuove vittime di Shamoon in Arabia Saudita era stata recentemente attaccata anche da un altro gruppo chiamato Elfin (noto anche come APT33) e infettato con il malware Stonedrill. La vicinanza temporale degli attacchi di Elfin e Shamoon contro questa organizzazione suggerisce un possibile collegamento tra i due incidenti.
Una storia di attacchi distruttivi
Shamoon ha una storia di attacchi distruttivi e il suo ritorno improvviso solleva interrogativi su perché sia stato nuovamente impiegato. Tuttavia, la ricorrenza di Shamoon ogni pochi anni significa che le organizzazioni devono rimanere vigili e assicurarsi che tutti i dati siano correttamente salvati e che sia in atto una strategia di sicurezza robusta.
OilRig Intensifica le Tattiche di Cyber Spionaggio: Analisi delle Recenti Campagne di Phishing e Scoperte di Malware
Il panorama del cyber spionaggio è in continua evoluzione, con attori di minaccia come APT34, noto anche come OilRig e Helix Kitten, che rafforzano le loro strategie per violare le organizzazioni bersaglio. La recente scoperta di nuovi malware e la creazione di ulteriori infrastrutture da parte di APT34 sottolineano l’accelerazione delle operazioni, in particolare in Medio Oriente, dove le tensioni geopolitiche sono in aumento. Questo articolo esplora le ultime campagne di phishing orchestrate da APT34 e l’introduzione di nuove famiglie di malware nel loro arsenale.
Difesa proattiva di FireEye contro le intrusioni di APT34
In una dimostrazione proattiva di difesa informatica, FireEye ha identificato e sventato una campagna di phishing di APT34 alla fine di giugno 2019. La campagna si è distinta per l’impersonificazione di un membro dell’Università di Cambridge, l’uso di LinkedIn per la consegna di documenti dannosi e l’aggiunta di tre nuove famiglie di malware al toolkit di APT34. I team Managed Defense e Advanced Practices di FireEye hanno svolto un ruolo cruciale nell’arrestare la nuova variante di malware, TONEDEAF, e nell’identificare la ricomparsa di PICKPOCKET, un malware osservato esclusivamente nelle attività precedenti di APT34.
Settori bersaglio di OilRig
Le recenti attività di APT34 hanno mirato principalmente a settori critici per gli interessi degli stati-nazione, inclusi energia e servizi pubblici, governo e settore petrolifero e del gas. Il loro interesse maggiore è accedere a entità finanziarie, energetiche e governative per raccogliere informazioni strategiche che beneficiano dell’agenda geopolitica ed economica dell’Iran.
L’Inganno della Fiducia dell’Università di Cambridge
Il recente tentativo di phishing di APT34 coinvolgeva un file Excel dannoso, che è stato identificato come un exploit dal motore ExploitGuard di FireEye. Il file, denominato “System.doc”, era un eseguibile Windows mascherato con un’estensione “.doc”, progettato per installare il backdoor TONEDEAF. Il malware comunicava con un server di comando e controllo utilizzando richieste HTTP e supportava varie attività malevole, inclusa la raccolta di informazioni di sistema e l’esecuzione di comandi shell arbitrari.
L’arsenale di malware: TONEDEAF, VALUEVAULT e LONGWATCH
Il backdoor TONEDEAF, insieme a VALUEVAULT e LONGWATCH, rappresenta la natura sofisticata delle capacità di sviluppo di malware di APT34. VALUEVAULT, uno strumento di furto di credenziali del browser compilato in Golang, e LONGWATCH, un keylogger, sono indicativi dell’attenzione di APT34 sulla raccolta di informazioni sensibili attraverso vari mezzi.
La persistenza di APT34 nell’impiegare tattiche sofisticate di cyber spionaggio è un chiaro promemoria delle minacce informatiche in corso poste dagli attori statali. Si consiglia alle organizzazioni di rimanere vigili e adottare un approccio olistico alla sicurezza delle informazioni per contrastare tali minacce avanzate. Le capacità di rilevamento e analisi di FireEye si sono dimostrate strumentali nella protezione contro queste campagne, ma ci si aspetta che APT34 continui a evolvere le sue tattiche per raggiungere i suoi obiettivi.
Nuovo Wiper distruttivo “ZeroCleare” mira al settore energetico in Medio Oriente
Il team di IBM X-Force ha recentemente scoperto un nuovo malware distruttivo, soprannominato “ZeroCleare”, che prende di mira il settore energetico e industriale in Medio Oriente. Questo wiper, progettato per sovrascrivere il Master Boot Record (MBR) e le partizioni dei dischi su macchine Windows, segue le orme del noto malware Shamoon, utilizzando tecniche simili per causare interruzioni e danni significativi.
L’Ascesa delle minacce distruttive
Negli ultimi anni, gli attacchi distruttivi sono aumentati esponenzialmente, con un incremento del 200% registrato da IBM nei soli ultimi sei mesi del 2019. Questi attacchi, che spesso utilizzano malware come componente di pressione o rappresaglia, sono particolarmente preoccupanti per il settore energetico, un pilastro fondamentale per l’economia di molte nazioni del Medio Oriente e dell’Europa.
ZeroCleare: attacco complesso e mirato
ZeroCleare non è un attacco opportunistico, ma una campagna mirata contro organizzazioni specifiche. L’analisi di X-Force IRIS suggerisce che il gruppo di minaccia ITG13, noto anche come APT34/OilRig, e almeno un altro gruppo, probabilmente con base in Iran, abbiano collaborato per la fase distruttiva dell’attacco. L’uso di un driver vulnerabile e firmato e script PowerShell/Batch malevoli permette a ZeroCleare di aggirare i controlli di Windows e di diffondersi su numerosi dispositivi nella rete colpita.
Flusso dell’infezione di ZeroCleare
Il wiper ZeroCleare è parte dell’ultima fase dell’operazione complessiva e si adatta sia ai sistemi a 32 bit che a 64 bit. Per i sistemi a 64 bit, viene utilizzato un driver firmato vulnerabile, che viene poi sfruttato per caricare il driver non firmato di EldoS RawDisk, evitando il rifiuto da parte del Driver Signature Enforcement (DSE) di Windows.
Attribuzione a OilRig e obiettivi di ZeroCleare
Sebbene non sia possibile attribuire con certezza l’attività osservata durante la fase distruttiva della campagna ZeroCleare, le somiglianze con altre attività di attori iraniani fanno supporre che l’attacco sia stato eseguito da uno o più gruppi di minaccia iraniani. Questi attacchi mirano a settori chiave come l’energia e il petrolio, con l’obiettivo di danneggiare l’infrastruttura critica e influenzare la sicurezza energetica globale.
Mitigare il rischio del wiper
IBM X-Force sottolinea l’importanza della rilevazione precoce e della risposta coordinata per contenere e fermare la diffusione di minacce distruttive. Alcuni consigli includono l’utilizzo di intelligence sulle minacce per comprendere i rischi, la costruzione di difese efficaci, l’implementazione di una gestione dell’identità e dell’accesso (IAM), l’uso dell’autenticazione multifattore (MFA), la creazione di backup efficaci e testati e l’esecuzione di esercitazioni per testare i piani di risposta.
Gli attacchi come quello di ZeroCleare rappresentano una minaccia significativa per il settore energetico e per la sicurezza globale. La comprensione e la preparazione contro questi attacchi sono essenziali per proteggere le infrastrutture critiche e mantenere la stabilità economica e politica nelle regioni colpite.
Inchieste
Perchè il motore di ricerca OpenAI fa paura ai giornalisti?
Tempo di lettura: 4 minuti. OpenAI sfida Google con un nuovo motore di ricerca basato su ChatGPT, promettendo un’evoluzione nella ricerca online.
OpenAI sembra pronta a rivoluzionare il mondo della ricerca online lanciando un proprio motore di ricerca basato su ChatGPT, secondo quanto riportato da diverse fonti autorevoli. Il lancio di questo nuovo servizio è previsto per il 9 maggio e potrebbe segnare una svolta significativa nel modo in cui le informazioni vengono cercate e trovate su Internet secondo molti addetti ai lavori dell’informazione tecnologica, ignari che questo cambiamento sia già in corso.
Dettagli del lancio
Il nuovo motore di ricerca, indicato con il dominio https://search.chatgpt.com, è al centro di numerose discussioni e speculazioni. Il CEO di OpenAI, Sam Altman, ha espresso in più occasioni l’intenzione di integrare i modelli linguistici avanzati (Large Language Models) nella ricerca web, proponendo un’alternativa all’approccio tradizionale di Google che presenta pagine di risultati piene di annunci e link.
Implicazioni di Mercato
Google, che domina il mercato dei motori di ricerca con una quota vicina al 90%, potrebbe trovarsi di fronte a una nuova concorrenza significativa. Non solo, Microsoft, uno dei principali finanziatori di OpenAI, potrebbe vedersi in una posizione complicata se OpenAI decidesse di competere direttamente con Bing, il suo motore di ricerca. Oppure il motore di ricerca firmato ChatGPT è il fumo negli occhi per evitare maggiori attenzioni delle indagini concorrenziali dei vari garanti del mercato in giro per il mondo?
Collaborazioni e competizioni
Anche Apple è menzionata come un possibile collaboratore di OpenAI, intensificando le trattative per integrare ChatGPT nei dispositivi iOS. Tuttavia, ciò potrebbe complicare le relazioni tra Apple e Google, che paga miliardi ogni anno per rimanere il motore di ricerca predefinito su dispositivi iOS.
Aspetti tecnologici e innovativi
Il motore di ricerca di OpenAI promette di utilizzare l’intelligenza artificiale per migliorare l’esperienza di ricerca degli utenti, fornendo risposte più contestualizzate e precise, sfruttando le capacità uniche dei modelli generativi di linguaggio. Il lancio del motore di ricerca di OpenAI rappresenta non solo un’evoluzione tecnologica significativa ma anche un potenziale cambio di paradigma nel settore dei motori di ricerca. Le implicazioni di questa mossa sono vastissime, influenzando non solo le aziende tecnologiche ma anche gli utenti e il modo in cui accedono alle informazioni online.
Google deve preoccuparsi?
Al netto delle notizie che annunciano il nuovo motore di ricerca realizzato da OpenAI, gli acchiappa clic dell’informazione italica hanno intitolato che ad aver paura di questa iniziativa imprenditoriale di nuova generazione debba essere Google, da anni motore di ricerca, incontrastato con un monopolio di fatto nonostante ci siano diversi alternative e l’Europa stia andando verso una direzione rappresentativa dell’intero mercato. Seppur un nuovo competitor, con una tecnologia proprietaria all’avanguardia rispetto a tutto il resto del mercato, rappresenti una preoccupazione per il grande burattinaio della rete, a doversi preoccupare in realtà sono tutti gli attori impegnati oggi per pochi spiccioli a fornire contenuti alla materia oscura di Google. Questa preoccupazione, ad oggi, è comunque parte di un colosso che sta già agendo in questa direzione ed è possibile notarlo attraverso gli aggiornamenti oramai a cadenza semestrale che BIG sta facendo sottoforma di reindicizzazione della rete Internet.
Non è data sapere la metodica ed i criteri dell’algoritmo con cui Google sta provvedendo Nel riscrivere le regole della ricerca su Internet, ma tutti i siti Internet, a parte quelli inviso alla cupola della sezione News, stanno subendo dei cali vertiginosi proprio dagli indici di ricerca. Se Google nel suo ultimo aggiornamento si è concentrato nell’arginare i contenuti di intelligenza artificiale generati solo ed esclusivamente per imbrogliare l’algoritmo con il fine di indicizzare siti di cucina insieme a quelli di tecnologia per esempio, oggi sta iniziando a fornire direttamente le risposte e tutto questo va in danno ai link dei siti Internet che pubblicano le informazioni.
Davvero chi oggi descrive l’avvento del motori di ricerca di OpenAI in realtà non ha ancora compreso che tutto questo andrà a penalizzare un intero settore che non è più ristretto ai Media, ma all’intera generazione di contenuti su Internet?
Il fatto che le risposte generate da Google, seppur citino la fonte, fanno perdere tanto traffico ai siti dal punto di vista della ricerca organica, soprattutto in un’epoca dove l’utente è abituato a non approfondire, bensì a leggere velocemente soffermandosi sulle prime risposte senza avvertire la necessità di approfondire nel link d’origine.
Con ChatGPT ed il suo motore di ricerca questo procedimento si amplificherà di più a maggior ragione del fatto che la sua tecnologia è criticata proprio per essere irriconoscente nei confronti di coloro che generano contenuti e che li utilizza impropriamente per addestrare la il suo modello linguistico avanzato. Se Google ha dato, e sta dando, una mazzata notevole alla rete, OpenAI rischia di dare un colpo di grazia definitivo a tutti coloro che quotidianamente forniscono risposte ed informazioni ai quesiti degli utenti della rete mantenendoli aggiornati con il corso del tempo.
Il paradosso del Click
Quindi assistiamo al fatto che per catturare un singolo clic, le testate editoriali fanno riferimento alla paura di Google ignorando quei rischi che in realtà potrebbero definitivamente gli potrebbe far perdere clic e visualizzazioni in futuro difficili più di quanto stia avvenendo ora, sacrificando visualizzazioni ed in introiti pubblicitari. Non è un caso che la Commissione Editoria voluta dal governo abbia promosso un equo compenso per gli editori che verranno surclassati dalla tecnologia dell’intelligenza artificiale applicata nella generazione di informazioni e di risposte fornite dai motori di ricerca già alimentata da colossi del settore che intendono effettuare un passaggio strutturale definitivo concentrato all’impiego di contenuti generati attraverso applicativi di intelligenza artificiale.
E mentre la cupola dei grandi gruppi editoriali è stata garantita dall’immagine divina di padre Paolo Benanti e del curatore degli interessi della famiglia Berlusconi padre Alberto Barachini, sottosegretario all’editoria, se Google debba iniziare a preoccuparsi, lo sa bene anche la stessa Microsoft che si nasconde dietro ai progetti di OpenAI che stanno decretando una crescita improvvisa e smisurata della sua offerta tecnologica, ma ad essere a rischio non solo è la proprietà intellettuale, ma tutto un sistema di informazione che ovviamente assottiglia sempre di più la sua visibilità in un mercato che è tutt’altro che libero e che non offre le stesse possibilità di crescita: sempre che non si riesca a far parte della cupola di Governo in combutta con Google News ed altre realtà come le piattaforme social.
Inchieste
Ransomware in Italia: come cambia la percezione del fenomeno nell’IT
Tempo di lettura: 5 minuti. I ransowmare sembrano essere passati di moda per il poco clamore suscitato in un paese come l’Italia dove interessano solo a una nicchia
Cosa sta accadendo al mondo della sicurezza informatica ed al suo rapporto con i ransomware in Italia?
I temuti attacchi informatici che criptano server e computer, bloccandone i servizi, e chiedono un riscatto per sbloccarli altrimenti vengono diffusi in rete, pericolosissimi aziende privati, professionisti, Enti ed istituzioni di Governo, sembrano essere diventati un fenomeno da barraccone per i feticisti della cybersecurity.
Ransomware e l’Italia: un feticcio per pochi
L’Italia rappresenta una nicchia di mercato soprattutto perché ha una sua identità linguistica. L’argomento della cybersecurity nel nostro paese è collegato per motivi di opportunità allo scenario internazionale ed ai tecnicismi anglosassoni che ne hanno forgiato termini ed applicazioni tecniche sul campo. Sono molti i progetti editoriali che parlano del fenomeno della sicurezza informatica, ma sono pochi quelli indipendenti e che coinvolgono una nicchia composta da esperti del settore informatico e dai grossi media che per sopravvivere alle regole di un mercato sempre più chiuso dagli algoritmi, sfruttano il proprio blasone per affrontare marginalmente il problema. Matrice Digitale parla di questa tematica dal 2017 con oltre 3.500 articoli di settore pubblicati in lingua italiana a cui si dovrebbero aggiungere i mille video sul canale YouTube, prima chiuso dalla piattaforma e poi riaperto dopo 3 anni di lotta: una scelta suicida nel panorama d’interesse italico per chi è indipendente da associazioni o cooperative non ufficiali di aziende ed Enti che fanno affari, o lobbying, sul tema. Il caso della piattaforma open source Ransomfeed, un valido progetto ingegneristico di raccolta statistica degli attacchi ransomware sviluppato in italiano e trasformato in lingua inglese, dimostra che per avere autorevolezza e considerazione nel contesto cyber, bisogna guardare oltre i confini del Bel Paese.
L’attacco informatico è “normale”
Oltre al clamore dei vari attacchi, identificati con diversi nomi e sigle di malware e gruppi criminali, qui gli articoli di Matrice Digitale sul tema, che hanno causato dei blocchi alle catene produttive delle più grandi aziende del paese e la fuga dei dati delle aziende sanitarie locali, il fenomeno sembrerebbe essere diventato un ricorrente e superficiale. Perché alla base di tutto c’è la regola universale secondo la quale è impossibile avere la matematica certezza di non essere colpiti da un attacco informatico ed è su questo principio, leit motiv degli addetti del mondo della sicurezza informatica, che il ransomware è stato normalizzato nell’immaginario collettivo di quella vulgata che ogni giorno è a rischio attacco informatico sia sul lavoro sia tra le mura domestiche. Un altro aspetto da non sottovalutare è proprio il fatto che la grande diffusione del fenomeno ha portato le agenzie internazionali di sicurezza informatica, che rispondono ai Governi, ad intimare alle aziende di non effettuare il pagamento del riscatto previsto dal metodo criminale di attacco. Seppur il cedere economicamente rappresenti un grande male nel rapporto tra guardie e ladri, sono in calo a livello globale i pagamenti dei riscatti ed il non pagare ha portato le gangs ad agire in modo ancor più infame, perché ha aumentato l’asticella etica dei propri attacchi sferrandoli su settori solitamente tutelati dal codice deontologico criminale come ad esempio i dati dei minori e quelli sanitari, a maggior ragione di pazienti oncologici.
Considerazione maligna di chi scrive: normalizzare il fenomeno è anche un’opportunità per i tecnici e le Istituzioni preposte nel mettere le mani avanti ad eventuali falle nella gestione dei dati dei clienti ed alle aziende di sottrarsi alla scomoda domanda se hanno pagato o meno il riscatto.
Il ransomware è un fenomeno che necessita soluzione o risposta?
L’attacco ransomware non solo è visto come una probabilità sempre più certa , ma il valore del dato diventa sempre meno considerato perché la maggior parte dei dati personali di tutti i cittadini connessi ad Internet, e non solo come nel caso dei nascituri canadesi, sono già esposti in rete . Questa esposizione ha portato delle tattiche criminali parallele dove si allestiti dei call center che contattano gli utenti esposti e si chiedono delle informazioni per aggiornare quelli che sono i dati in proprio possesso appartenenti evidentemente a dei database trafugati negli anni passati e che ad oggi contengono delle informazioni che non sono più attuali. Così come dopo il devastante data leak e data breach di WhatsApp, Facebook, che ha esposto quasi un miliardo di persone, ci siamo trovati delle campagne mirate sulle app di messaggistica dove venivano implementate tattiche di ingegneria sociale finalizzate ad ottenere ulteriori dati o pagamenti che hanno aumentato le statistiche delle truffe informatiche in rete. Andrea Lisi a Matrice Digitale ha parlato di circolazione del dato e non più del suo valore anche per questo motivo.
Il caso SynLab e la differenza tra prevenzione e risposta
Il recente attacco informatico che ha colpito la società Synlab Italia, rivendicato in queste ore dalla gang BlackBasta, e che ha messo giù per diverse settimane i laboratori di analisi e di diagnostica della multinazionale, esponendo dati personali sanitari e sensibili di una buona fetta del territorio italiano, ha certificato il disinteresse verso il ransomware in sè, ma ne ha amplificato un altro che sembrerebbe essere lo snodo cruciale dell’evoluzione mediatica degli attacchi informatici e che coinvolge la necessità di una maggiore capacità di risposta a questi ultimi. Il problema oggi sembrerebbe non essere più perdere il dato, che comunque comporta delle multe e delle sanzioni da parte del Garante, ma è per forza di cose il ripristinare quanto prima i servizi che incidono da subito sulle attività ricorrenti di aziende ed Enti vittime dei criminali. E’ proprio questo il problema che attanaglia attualmente la comunità informatica in Italia, forte anche dei primi contratti assicurativi che si stanno stipulando dinanzi all’insorgenza di attacchi informatici in copertura ai diversi disservizi che ne possono sorgere, e cioè la capacità di reazione quanto più tempestiva agli attacchi ransomware, malware o di negazione del servizio, che possa rendere minimi i disagi nei confronti degli utenti che non sono solo i consumatori della manifattura italiana o industriale, ma pazienti o correntisti che necessitano dei servizi di vitale importanza. Dalle righe di Matrice Digitale, Roberto Beneduci di CoreTech ha chiesto ad ACN ed a CSIRT di condividere metodi di reazione e soluzioni sulla base di casi già successi.
Che fine fanno i dati non venduti?
Quello che dovrebbe far discutere su questa vicenda è anche un aspetto che nasconde un teoria non confermata, ma che potrebbe rappresentare un’evenienza visto il periodo storico che la transizione digitale sta vivendo.
I dati che vengono trafugati dai criminali informatici e non pagati con i riscatti, da chi vengono acquistati?
Sapere da chi non è certo, ma si può immaginare che possano essere appetibili non solo ai call center criminali come abbiamo visto, ma anche ad agenzie governative che però hanno interesse più negli attacchi persistenti e non negli attacchi ransomware di cui l’Italia è piena. A maggior ragione che, pur essendoci un nesso tra criminalità informatica ed attività di Governo , il riscatto non è sicuramente l’attacco preferito da chi ha bisogno o di distruggere un sistema informatico, ed è qui che nasce ovviamente il malware di tipo wiper, oppure c’è chi, come la Corea del Nord, si è specializzato nell’hacking delle blockchain di criptovalute ottenendo con minor sforzo una maggiore resa che negli ultimi due anni si è quantificata in più di un miliardo di dollari. Resta ancora da scoprire invece se i dati trafugati siano venduti su altri mercati e possano essere utilizzati dagli acquirenti per addestrare dei motori di intelligenza artificiale non tracciati dal mercato oppure addirittura quelli ben più noti.
Quest’ultima considerazione potrebbe essere una congettura o forse no.
Chi ha coraggio e certezze per escluderla del tutto?
Inchieste
Papa Francesco sarà al G7 e l’Italia festeggia il DDL AI
Tempo di lettura: 6 minuti. Papa Francesco partecipa al G7, focalizzato su etica e IA e il Parlamento discute il DDL AI con Meloni che promuove l’IA umanistica.
Giorgia Meloni, presidente del Consiglio, ha recentemente annunciato l’eccezionale partecipazione di Papa Francesco alla sessione del G7 dedicata all’intelligenza artificiale con in tasta il DDL sul tema. Questo evento sottolinea l’importanza crescente delle questioni etiche e umanistiche connesse allo sviluppo tecnologico.
Un impegno umanistico nell’era digitale
Durante la presidenza italiana del G7, si discuterà ampiamente su come l’intelligenza artificiale possa essere guidata da principi etici che pongono l’umanità al centro. Meloni ha enfatizzato che l’intelligenza artificiale rappresenta la più grande sfida antropologica dei nostri tempi, portando con sé notevoli opportunità ma anche rischi significativi.
La premier ha citato l’esempio della “Rome Call for AI Ethics” del 2022, una iniziativa avviata dalla Santa Sede per promuovere un approccio etico allo sviluppo degli algoritmi, un concetto noto come algoretica. L’obiettivo è sviluppare una governance dell’IA che rimanga sempre centrata sull’essere umano.
L’intervento di Papa Francesco al G7 sarà cruciale per rafforzare questa visione, offrendo una prospettiva che combina tradizione e innovazione nell’affrontare le sfide poste dall’IA alla società contemporanea.
Intelligenza Artificiale: innovazioni legislative in Italia con il DDL
L’Italia si posiziona all’avanguardia nel panorama europeo con l’approvazione di un nuovo disegno di legge sull’intelligenza artificiale. Questa legislazione pionieristica mira a promuovere un utilizzo etico e responsabile dell’IA, con un forte accento sulla protezione dei diritti fondamentali e sull’inclusione sociale.
Differenza tra Disegno di Legge e Decreto Legge
Prima di procedere, è doveroso spiegare la differenza tra un “DDL” (Disegno di Legge) e un “DL” (Decreto Legge) e che riguarda principalmente il processo legislativo e la loro natura giuridica all’interno del sistema legale italiano. Ecco i dettagli chiave:
Disegno di Legge (DDL)
- Definizione: Un DDL è una proposta legislativa elaborata e presentata al Parlamento per la discussione e l’approvazione. Può essere presentata da membri del Parlamento o dal Governo.
- Processo: Dopo essere presentato, il DDL segue un processo di esame approfondito che include discussioni, emendamenti e votazioni sia in commissione che in aula nelle due Camere del Parlamento (Camera dei Deputati e Senato della Repubblica). Questo processo può essere lungo e richiede l’approvazione finale di entrambe le Camere.
- Natura: Il DDL è di natura ordinaria, significando che non ha effetto immediato e deve seguire il normale iter parlamentare prima di diventare legge.
Decreto Legge (DL)
- Definizione: Un DL è uno strumento legislativo che il Governo può adottare in casi straordinari di necessità e urgenza. Questo decreto ha forza di legge dal momento della sua pubblicazione, ma è temporaneo.
- Processo: Un DL deve essere convertito in legge dal Parlamento entro 60 giorni dalla sua pubblicazione, attraverso un processo che può includere modifiche e approvazioni. Se non convertito, perde efficacia retroattivamente.
- Natura: Il DL ha un’immediata efficacia legale ma è temporaneo e condizionato alla sua conversione in legge ordinaria, che stabilizza le disposizioni contenute nel decreto.
Confronto e uso
- Velocità ed Efficienza: Il DL è molto più rapido nel rispondere a situazioni di emergenza, dato che entra in vigore immediatamente. Tuttavia, questa rapidità viene bilanciata dalla necessità di una successiva conferma parlamentare.
- Stabilità e Riflessione: Il DDL segue un processo più riflessivo e può essere soggetto a più ampie discussioni e revisioni, il che può contribuire a una legislazione più ponderata e dettagliata.
Il DL è utilizzato per situazioni urgenti che richiedono una risposta legislativa immediata, mentre il DDL è il mezzo standard per la creazione di nuove leggi, offrendo più opportunità per l’esame e la discussione parlamentare.
Focus sui Principi Generali e innovazioni
Il disegno di legge definisce norme precise per la ricerca, lo sviluppo, e l’implementazione dell’IA, assicurando che ogni applicazione tecnologica rispetti la dignità umana e le libertà fondamentali, come stabilito dalla Costituzione italiana e dal diritto dell’Unione Europea. Tra i principi chiave, spicca l’impegno verso la trasparenza, la sicurezza dei dati, e l’equità, evitando discriminazioni e promuovendo la parità di genere.
Uno degli aspetti più rilevanti è l’introduzione di un quadro normativo per garantire che l’IA non sostituisca ma supporti il processo decisionale umano, mantenendo l’uomo al centro dell’innovazione tecnologica. In particolare, il disegno di legge enfatizza l’importanza della cybersicurezza e impone rigidi controlli di sicurezza per proteggere l’integrità dei sistemi di IA.
La legge stabilisce principi chiave per l’adozione e l’applicazione dell’IA in Italia, focalizzandosi su trasparenza, proporzionalità, sicurezza e non discriminazione. Viene data particolare attenzione al rispetto dei diritti umani e alla promozione di una IA “antropocentrica”, ossia che metta al centro le esigenze e il benessere dell’individuo.
Settori di impatto e disposizioni specifiche
La legislazione tocca vari settori, dalla sanità al lavoro, dalla difesa alla sicurezza nazionale, delineando norme specifiche per ciascuno:
Sanità
L’IA dovrebbe migliorare il sistema sanitario senza discriminare l’accesso alle cure. Si promuove l’uso dell’IA per assistere la decisione medica, ma la responsabilità finale rimane sempre nelle mani dei professionisti. L’impiego dell’intelligenza artificiale nel settore sanitario, come delineato nella nuova legislazione italiana, è concepito per migliorare l’efficacia e l’efficienza dei servizi sanitari, pur salvaguardando i diritti e la dignità dei pazienti. La legge impone che l’introduzione di sistemi di IA nel sistema sanitario avvenga senza discriminare l’accesso alle cure e che le decisioni mediche rimangano prerogativa del personale medico, sebbene assistito dalla tecnologia. È previsto inoltre che i pazienti siano adeguatamente informati sull’uso delle tecnologie di intelligenza artificiale, ricevendo dettagli sui benefici diagnostici e terapeutici previsti e sulla logica decisionale impiegata.
Implicazioni della Legge sulla Sicurezza e Difesa Nazionale:
Le applicazioni di IA per scopi di sicurezza nazionale devono avvenire nel rispetto dei diritti costituzionali, con una regolamentazione specifica che esclude queste attività dall’ambito di applicazione della legge generale. La legge tratta specificamente l’applicazione dell’intelligenza artificiale per scopi di sicurezza e difesa nazionale, stabilendo che queste attività siano escluse dall’ambito di applicazione delle norme generali sulla regolamentazione dell’IA. Tuttavia, è chiaro che tali attività devono comunque svolgersi nel rispetto dei diritti fondamentali e delle libertà costituzionali. Si prevede che l’uso dell’IA per la sicurezza nazionale sia regolato da normative specifiche, garantendo la conformità ai principi di correttezza, sicurezza e trasparenza, e imponendo controlli rigorosi per prevenire abusi.
Lavoro
Viene regolato l’utilizzo dell’IA per migliorare le condizioni lavorative e la produttività, garantendo trasparenza e sicurezza nell’uso dei dati dei lavoratori. L’adozione dell’intelligenza artificiale nel settore lavorativo, secondo la nuova normativa italiana, mira a migliorare le condizioni di lavoro e accrescere la produttività mantenendo al centro la sicurezza e la trasparenza. Gli impieghi di sistemi di IA devono avvenire nel rispetto della dignità umana e della riservatezza dei dati personali. I datori di lavoro sono obbligati a informare i lavoratori sull’utilizzo dell’IA, delineando chiaramente gli scopi e le modalità di impiego. La legge pone un’enfasi particolare sulla non discriminazione, assicurando che l’IA non crei disparità tra i lavoratori basate su sesso, età, origine etnica, orientamento sessuale, o qualsiasi altra condizione personale.
Iniziative per l’inclusione e la formazione
Significative sono le disposizioni per garantire l’accesso all’IA da parte delle persone con disabilità, assicurando pari opportunità e piena partecipazione. Viene inoltre data importanza alla formazione e all’alfabetizzazione digitale in tutti i livelli educativi per preparare i cittadini a interagire con le nuove tecnologie.
Il disegno di legge promuove attivamente la formazione e l’alfabetizzazione digitale come componenti fondamentali per l’integrazione dell’intelligenza artificiale nella società. Questo include l’implementazione di programmi di formazione sia nei curricoli scolastici che nei contesti professionali, al fine di preparare studenti e lavoratori a interagire efficacemente e eticamente con le tecnologie avanzate. Si prevede inoltre che gli ordini professionali introducano percorsi specifici per i propri iscritti, affinché possano acquisire le competenze necessarie per utilizzare l’IA in modo sicuro e responsabile nel rispetto delle normative vigenti.
Tutela della Privacy e della Proprietà Intellettuale
La legge enfatizza la protezione dei dati personali e introduce regole per garantire che i contenuti generati o manipolati tramite IA siano chiaramente identificati, proteggendo così l’integrità informativa e i diritti d’autore. La nuova legislazione italiana stabilisce criteri rigorosi per la protezione della privacy degli individui nell’ambito dell’utilizzo dell’intelligenza artificiale. Si impone che ogni applicazione di IA che tratti dati personali debba avvenire in modo lecito, corretto e trasparente, conformemente alle normative dell’Unione Europea. La legge richiede inoltre che le informazioni relative al trattamento dei dati personali siano comunicate agli utenti in un linguaggio chiaro e accessibile, garantendo loro la possibilità di comprendere e, se necessario, opporsi al trattamento dei propri dati. Viene enfatizzata la necessità di una cybersicurezza efficace in tutte le fasi del ciclo di vita dei sistemi di IA, per prevenire abusi o manipolazioni.
Per quanto riguarda la proprietà intellettuale, il disegno di legge introduce misure specifiche per assicurare che le opere generate attraverso l’intelligenza artificiale siano correttamente attribuite e tutelate sotto il diritto d’autore. Viene riconosciuto il diritto d’autore per le opere create con l’ausilio dell’IA, purché vi sia un significativo contributo umano che sia creativo, rilevante e dimostrabile. Inoltre, la legge prevede che ogni contenuto generato o modificato significativamente da sistemi di IA debba essere chiaramente identificato come tale, per mantenere la trasparenza e prevenire la diffusione di informazioni ingannevoli o falsificate.
Libertà di Informazione e dati personali
L’articolo 4 del DDL stabilisce che l’uso dell’IA nel settore dell’informazione deve avvenire senza compromettere la libertà e il pluralismo dei media, mantenendo l’obiettività e l’imparzialità delle informazioni. È essenziale che l’intelligenza artificiale non distorca la veridicità e la completezza dell’informazione a causa di pregiudizi intrinseci nei modelli di apprendimento automatico.
Trasparenza e correttezza nel Trattamento dei Dati
Viene enfatizzato il trattamento lecito, corretto e trasparente dei dati personali, in linea con il GDPR. Il DDL richiede che le informazioni sul trattamento dei dati siano fornite in modo chiaro e comprensibile, consentendo agli utenti di avere pieno controllo sulla gestione dei propri dati.
Consapevolezza e controllo per i minori
Una specifica attenzione è rivolta alla protezione dei minori nell’accesso alle tecnologie AI. I minori di quattordici anni necessitano del consenso dei genitori per l’utilizzo di tali tecnologie, mentre quelli tra i quattordici e i diciotto anni possono dare il consenso autonomamente, purché le informazioni siano chiare e accessibili.
Governance e collaborazione tra Agenzie
Il DDL promuove un approccio di governance “duale”, coinvolgendo l’Agenzia per la Cybersicurezza Nazionale (ACN) e l’Agenzia per l’Italia Digitale (AgID) per assicurare che l’applicazione delle tecnologie AI sia conforme sia alle normative nazionali che a quelle dell’Unione Europea. Queste agenzie lavoreranno insieme per stabilire un quadro regolatorio solido che promuova la sicurezza senza soffocare l’innovazione.
Leggi il DDL sull’Intelligenza Artificiale
- Economia2 settimane fa
Apple, Regno Unito vuole più sicurezza informatica e l’Europa indica iPadOS Gatekeeper
- Editoriali2 settimane fa
Chip e smartphone cinesi ci avvisano del declino Occidentale
- Inchieste1 settimana fa
Ransomware in Italia: come cambia la percezione del fenomeno nell’IT
- Economia1 settimana fa
Internet via satellite: progetto europeo IRIS² in grande difficoltà
- Editoriali7 giorni fa
Anche su Giovanna Pedretti avevamo ragione
- Economia7 giorni fa
Culture di lavoro a confronto: Meta vs Google
- L'Altra Bolla6 giorni fa
Jack Dorsey getta la spugna e lascia Bluesky
- Smartphone7 giorni fa
Richiesta di Class Action contro Samsung per il Galaxy S24 Ultra