Recentemente, NATO e Unione Europea, insieme ad altri partner internazionali, hanno formalmente condannato una lunga campagna di spionaggio cibernetico condotta dall’APT28 collegato alla Russia contro diversi paesi europei, inclusi Germania e Repubblica Ceca.

Dettagli degli Attacchi

Gli attacchi sono stati attribuiti al gruppo di minaccia russo APT28, associato al servizio di intelligence militare russo GRU. Questo gruppo è noto per le sue operazioni prolungate di spionaggio cibernetico. In Germania, APT28 ha compromesso molti account email tramite una vulnerabilità zero-day di Microsoft Outlook. Inoltre, il gruppo ha colpito varie autorità governative e aziende nei settori della logistica, armamenti, industria aerospaziale e servizi IT, così come fondazioni e associazioni.

Reazioni e dichiarazioni

La Repubblica Ceca, basandosi su informazioni dei servizi di intelligence, ha rivelato che alcune delle sue istituzioni sono state bersaglio nella campagna di Outlook nel 2023. Il Ministero degli Affari Esteri ceco ha espresso profonda preoccupazione per questi ripetuti attacchi cibernetici da parte di attori statali e ha sottolineato la determinazione a rispondere con fermezza a questo comportamento inaccettabile insieme ai partner europei e internazionali. Questi attacchi sono considerati una minaccia seria alla sicurezza nazionale e al processo democratico su cui si basa la società libera.

Implicazioni più Ampie

Il Consiglio dell’Unione Europea e la NATO hanno dichiarato che APT28 ha anche attaccato infrastrutture critiche e agenzie governative in altri stati membri dell’UE, inclusi Lituania, Polonia, Slovacchia e Svezia. Le attività ibride recenti della Russia, che includono sabotaggi, atti di violenza, interferenze cibernetiche ed elettroniche, campagne di disinformazione e altre operazioni ibride, sono state descritte dalla NATO come una minaccia alla sicurezza degli Alleati.

La condanna formale di questi attacchi da parte di organismi internazionali come NATO e UE sottolinea l’importanza della cooperazione internazionale nel contrastare le minacce alla sicurezza cibernetica e nel mantenere la sicurezza globale. Questi sviluppi enfatizzano la necessità di rafforzare le difese cibernetiche e di lavorare insieme per prevenire future incursioni.

Microsoft ha annunciato che gli utenti Windows ora possono accedere ai loro account Microsoft personali utilizzando un passkey, un metodo di autenticazione senza password che utilizza Windows Hello, chiavi di sicurezza FIDO2, dati biometrici (scansioni facciali o impronte digitali) o PIN del dispositivo.

Cosa sono le Passkey

Le passkey rappresentano una forma di autenticazione senza password che utilizza una coppia di chiavi crittografiche, dove la chiave pubblica è conservata sul server del fornitore di servizi e la chiave privata è memorizzata in modo sicuro sul dispositivo dell’utente. Durante un tentativo di autenticazione, viene creato un challenge che richiede la chiave privata per risolverlo e confermare l’identità dell’utente. Poiché la chiave privata è protetta da meccanismi di sicurezza a livello di dispositivo come biometria o PIN, l’utente deve semplicemente fornire questi dati per accedere.

Vantaggi dei Passkey rispetto alle Password

I passkey, non condividendo un segreto come una password che può essere intercettato o rubato e generalmente legati a un dispositivo specifico, sono intrinsecamente resistenti al phishing. Eliminano inoltre la necessità per gli utenti di ricordare e inserire password, il che spesso porta a pratiche rischiose come il riciclo di password o l’utilizzo di password deboli. I passkey sono compatibili con diversi dispositivi e sistemi operativi, rendendo il processo di autenticazione privo di attriti.

Implementazione e Considerazioni sulla Sicurezza

Una peculiarità dell’approccio di Microsoft ai passkey è che sincronizza i passkey con gli altri dispositivi dell’utente piuttosto che conservare passkey distinti su ciascun dispositivo. Questo metodo non è il più sicuro, poiché se un attaccante guadagna accesso all’account, i passkey verrebbero sincronizzati anche sul loro dispositivo. Tuttavia, Microsoft afferma di fare ciò per motivi di comodità, consentendo alle persone di mantenere l’accesso ai loro account quando aggiornano o perdono i loro dispositivi.

Come abilitare il supporto Passkey

Per utilizzare i passkey per gli account Microsoft, è necessario prima crearne uno seguendo questo link e scegliendo l’opzione per viso, impronta digitale, PIN o chiave di sicurezza. Segui poi le istruzioni sul tuo dispositivo per finalizzare la creazione di un nuovo passkey. I passkey sono attualmente supportati su piattaforme che includono Windows 10 e versioni successive, macOS Ventura e successivi, e altri sistemi operativi importanti.

Per creare una passkey per il tuo account Microsoft, segui questi passaggi sul dispositivo per il quale desideri creare una passkey:

1. Accedi al tuo account Microsoft Opzioni di sicurezza avanzate .Registrazione
2. Scegli Aggiungi un nuovo modo per accedere o verificare .
3. Seleziona Volto, impronta digitale, PIN o token di sicurezza .
4. Segui le istruzioni sul tuo dispositivo.
5. Fornisci un nome per la tua passkey.

Usando la tua passkey per accedere

Per accedere al tuo account Microsoft con una passkey, segui questi passaggi ogni volta che ricevi una richiesta di accesso. 

1. Scegli Opzioni di accesso o Altri modi per accedere .
2. Seleziona  Viso, Impronta digitale, PIN o token di sicurezza .
3. Seleziona la tua passkey dall’elenco disponibile.
4. Il dispositivo aprirà una finestra di sicurezza in cui potrai utilizzare il tuo volto, l’impronta digitale, il PIN o la chiave di sicurezza.

Rimozione di una passkey

Se desideri rimuovere una passkey, procedi nel seguente modo:

1. Visita Opzioni di sicurezza avanzate .
2. Dall’elenco in Modi per dimostrare chi sei , seleziona la passkey che desideri rimuovere.
3. Scegli Rimuovi .

Dispositivi supportati

Le passkey sono supportate su quanto segue:

• Windows 10 e versioni successive.
• macOS Ventura e successivi.
• ChromeOS 109 e versioni successive.
• iOS 16 e versioni successive.
• Android 9 e versioni successive.
• Chiavi di sicurezza hardware che supportano il protocollo FIDO2.

Browser supportati

Il tuo dispositivo dovrà utilizzare un browser supportato come:

• Microsoft Edge 109 o successivo.
• Safari 16 o successivo.
• Chrome 109 o successivo.

L’introduzione dei passkey da parte di Microsoft per gli account personali segna un passo significativo verso l’eliminazione delle password, mirando a migliorare notevolmente la sicurezza contro gli attacchi di phishing e a semplificare l’esperienza di accesso per gli utenti.

L’Unione Europea è al centro di una controversia per una proposta legislativa che obbligherebbe le piattaforme di messaggistica ad una scansione incessante delle comunicazioni private dei cittadini alla ricerca di materiale di abuso sessuale su minori (CSAM). Questa mossa potrebbe generare milioni di falsi positivi al giorno, come avvertito da centinaia di esperti di sicurezza e privacy in una lettera aperta.

Dettagli della Proposta

La proposta dell’UE non solo richiederebbe alle piattaforme di messaggistica di scansionare alla ricerca di CSAM noto, ma anche di utilizzare tecnologie di scansione non specificate per identificare CSAM sconosciuto e attività di adescamento in corso. Critici sostengono che la proposta richieda l’impossibile tecnologicamente e non raggiungerà l’obiettivo dichiarato di proteggere i bambini dall’abuso. Invece, causerebbe devastazioni sulla sicurezza di Internet e sulla privacy degli utenti del web, costringendo le piattaforme a implementare una sorveglianza indiscriminata di tutti i loro utenti con tecnologie rischiose e non provate, come la scansione lato client.

Critiche e implicazioni

Gli esperti affermano che non esiste una tecnologia capace di realizzare ciò che la legge richiede senza causare più danni che benefici. Nonostante ciò, l’UE sta procedendo indipendentemente. La lettera aperta recentemente indirizzata riguarda gli emendamenti alla proposta di regolamento sulla scansione del CSAM proposti dal Consiglio Europeo, che secondo i firmatari non riescono a risolvere i difetti fondamentali del piano.

La reazione degli Esperti

Tra i firmatari della lettera ci sono 270 accademici, tra cui esperti di sicurezza ben noti come il professor Bruce Schneier della Harvard Kennedy School e il Dr. Matthew D. Green della Johns Hopkins University, oltre a ricercatori di aziende tecnologiche come IBM, Intel e Microsoft. Una lettera aperta precedente, firmata da 465 accademici, aveva già avvertito che le tecnologie di rilevamento su cui si basa la proposta legislativa sono “profondamente difettose e vulnerabili agli attacchi“, e potrebbero portare a un significativo indebolimento delle protezioni vitali fornite dalle comunicazioni crittografate end-to-end (E2EE).

Conclusioni e futuro

Le modifiche proposte dal Consiglio sono viste come insufficienti dagli esperti, che avvertono che, dal punto di vista tecnico, la nuova proposta minerà completamente la sicurezza delle comunicazioni e dei sistemi. Mentre la scelta finale del Consiglio influenzerà la forma finale della legge, la direzione attuale potrebbe avere conseguenze catastrofiche, stabilendo un precedente per il filtraggio di Internet e modificando il modo in cui i servizi digitali vengono utilizzati in tutto il mondo, con potenziali effetti negativi sulle democrazie globali.