Sicurezza Informatica
Sicurezza full-optional: garanzia di un Cloud di qualità
Tempo di lettura: 5 minuti. Gli ambienti IT, soprattutto se basati su Cloud, hanno un’estrema necessità di essere controllati, resi efficienti e garantiti per sicurezza
Gli ambienti IT, soprattutto se basati su Cloud, hanno un’estrema necessità di essere controllati, resi efficienti e garantiti per la sicurezza, dal momento che gestiscono flussi di dati e processi vitali per il business delle aziende che li implementano
Affidarsi al Cloud Computing offre notevoli vantaggi, sia in termini di efficienza (riduzione dei costi, gestione delle infrastrutture semplificata e controllabile tra gli altri) che di efficacia (possibilità di implementare server applicativi specializzati in tempi ridotti, rapidità di soluzione di eventuali problemi, ecc.). Tuttavia, occorre ricordarsi che il Cloud può sì essere un cloud interno (private cloud), con i server posizionati all’interno delle sedi aziendali e sotto il controllo dell’IT locale, ma può anche essere un Public Cloud, a cui si aggiunge la soluzione ibrida Private+Public Cloud. In questi ultimi due casi, il controllo dei server dedicati è demandato a un fornitore esterno, di cui è necessario fidarsi molto. Oltre ad affidarsi ai KPI (Key Performance Indicator, gli indicatori di prestazioni chiave), inseriti nei contratti che si sottoscrivono con i Service Provider esterni, occorre poter disporre di infrastrutture aggiornate ed efficienti, in grado di competere sul mercato e rendere competitivi i clienti che vi si affidano. In altri termini, se si vuole poter contare su sistemi rapidi, efficienti ed efficaci ci si deve basare su un’infrastruttura allo stato dell’arte e su Provider che la possano garantire.
Non solo efficienza…
Offrire un’infrastruttura efficiente e aggiornata, tuttavia, non è sufficiente. Infatti, come si legge ormai praticamente ogni giorno, i sistemi informativi in rete sono soggetti a molti problemi e minacce, magari provenienti dall’esterno. Una delle prime fonti di pericolo per le infrastrutture IT è costituita dagli eventi climatici, come alluvioni, terremoti e così via, contro cui le uniche protezioni consistono in buone polizze assicurative e nel garantire un sufficiente livello di ridondanza delle infrastrutture stesse. Di cosa stiamo parlando? Semplice, del fatto che, se le trasmissioni dati possono percorrere almeno due strade alternative per andare, per esempio, dall’utente aziendale al server di storage ed essere archiviate su memorie di massa (su dischi o su nastri), quando una delle due strade diventa impraticabile per qualsiasi problema, si ricorre immediatamente alla seconda (quella “di backup”). Questa strategia viene utilizzata spesso per grandi sistemi informativi, quali quelli delle grandi banche e viene chiamata solitamente Disaster Recovery (DR), perché consente il recupero di dati e transazioni nel caso in cui si verifichi, appunto, un disastro di qualsiasi tipo, che danneggia e interrompe uno dei due (o più) percorsi di connessione. Solitamente il DR si utilizza soprattutto per garantire lo storage, sia a breve termine (transazioni), sia a lungo termine (dati da archiviare per motivi operativi o fiscali/legali, per esempio).
Parlando invece di sicurezza informatica (cybersecurity) la questione è più ampia, perché oggi la tipologia delle minacce (threat) alla sicurezza di aziende e organizzazioni è varia e complessa. Il problema dei “semplici” virus di un tempo è stato ridimensionato dalla vasta disponibilità e diffusione di strumenti (come gli antivirus) in grado di neutralizzare e rimuovere i virus stessi. Oggi però a farla da padrone nelle reti aziendali sono soprattutto i malware (categoria molto più ampia dei soli virus), cui appartengono strumenti come i ransomware, cioè i malware che attaccano sistemi e reti, criptano i dati con algoritmi segreti e chiedono un riscatto, molto oneroso, per renderli nuovamente accessibili.
Esistono numerose sorgenti di malware: gruppi di Hacker che a volte agiscono in modo indipendente e isolato, ma, più spesso, fanno parte di organizzazioni più o meno complesse e strutturate. Addirittura, in molti casi, gli hacker sono alle dirette dipendenze di agenzie governative, che li utilizzano per violare le difese informatiche di altri Paesi e carpirne informazioni strategiche per scopi spionistici o militari. Per contrastare e sconfiggere questo tipo di minacce, sono state organizzate, anche in Italia, strutture specializzate nella cybersicurezza e composte da specialisti dotati di strumenti avanzati per controllare e contrastare le attività illecite di spionaggio e gli attacchi informatici portati dai “malintenzionati digitali”. In Italia, per esempio, il Decreto Legge n.82 del 14 giugno 2021 ha istituito ACN, l’Agenzia per la Cybersicurezza Nazionale. ACN ha il compito di “tutelare la sicurezza e la resilienza nello spazio cibernetico” e garantire “l’attuazione della Strategia Nazionale di Cybersicurezza, adottata dal Presidente del Consiglio”.
L’area della cybersecurity è uno dei punti di maggiore attenzione in questi ultimi anni, soprattutto a seguito dei numerosi episodi di attacchi portati in diversi Paesi Europei, con l’Italia che continua a classificarsi ai primi posti dei Paesi più colpiti da episodi di violazioni di siti governativi e privati (si veda il recente Rapporto Clusit 2024 della Associazione Italiana per la sicurezza informatica).
Per questo, scegliere e implementare le migliori soluzioni e politiche di security rappresenta un atto indispensabile per qualsiasi azienda e organizzazione che operi nel nostro Paese. Soprattutto se si può contare su partner esperti che sanno consigliare e coadiuvare nella scelta degli strumenti migliori e nel loro utilizzo, come CoreTech, che può vantare una profonda e pluriennale esperienza nel settore della cybersecurity e delle soluzioni per essere sempre al passo con l’evoluzione tecnologica.
Le mille sfaccettature della sicurezza
Occorre sottolineare che occuparsi di sicurezza non implica, come si è accennato sopra, la semplice implementazione di antivirus e firewall per bloccare malware e tentativi di insinuarsi nelle reti aziendali. Occorre implementare e gestire sistemi IDS (Intrusion Detection System, cioè sistemi di allerta anti-intrusioni) e IPS (Intrusion Prevention, prevenzione delle intrusioni), che si affiancano ai firewall per garantire una protezione completa dai tentativi di attacco e di accesso alle reti interne.
Alla sicurezza cosiddetta “logica”, rappresentata da strumenti software come quelli sopra descritti, si affianca la sicurezza hardware, che offre un ulteriore margine di protezione. Le opzioni sono diverse: si parte dai dongle, dispositivi solitamente rappresentati da chiavette USB contenenti le chiavi di crittografia se, per esempio, si sceglie di adottare le chiavi pubblica/privata di una protezione come RSA (sigla che deriva dai cognomi degli ideatori, Rivest, Shamir e Adleman), oppure veri e propri processori. In altre parole, strumenti in grado di elaborare informazioni che offrano libero accesso a certe applicazioni personali o aziendali solo a chi possiede i requisiti richiesti (per esempio, controllo dell’identità e/o del livello di accesso consentito dall’incarico ricoperto nell’organizzazione). Un esempio sono i dispositivi di accesso a conti bancari che contengono un generatore di numeri casuali per l’utilizzo nelle cosiddette OTP, One-Time Password, cioè password che possono essere impiegate una sola volta.
Si può arrivare a dispositivi più sofisticati che garantiscono identità e credenziali di chi intende accedere a certe aree aziendali, come per esempio sistemi di lettura biometrica (impronte digitali o lettura dell’iride).
Come scegliere?
La scelta del sistema di security migliore dipende principalmente da due variabili: la complessità e l’estensione delle aree informative che si intende proteggere e il costo che occorre sostenere per dotarsene e aggiornare i sistemi. Di base, bisogna obbligatoriamente dotarsi di strumenti che proteggano la privacy e la sicurezza delle transazioni, quindi un buon firewall e una VPN (Virtual Private Network, ossia una rete privata virtuale) per nascondere a occhi indiscreti le proprie transazioni private (come per esempio quelle bancarie). Se si opera all’interno di un contesto multinazionale in un’azienda di dimensioni medie è consigliabile inoltre implementare una DMZ (De-Militarized Zone, zona demilitarizzata), cioè una piccola rete con alcuni servizi visibili all’esterno dell’organizzazione che consente di separare e proteggere, medante opportuni firewall, la rete interna su cui operano i servizi essenziali all’operatività quotidiana.
Anche in questo caso, la consulenza attiva di esperti con comprovata esperienza, come CoreTech, consente di dormire sonni tranquilli, essendo certi del fatto che la sicurezza aziendale è in buone mani.
Sicurezza Informatica
GitCaught: minacce utilizzano repository GitHub per attacchi malevoli
Tempo di lettura: 2 minuti. GitCaught utilizza GitHub per distribuire malware, evidenziando l’abuso di servizi fidati per cyberattacchi
Recenti ricerche del gruppo Insikt di Recorded Future hanno scoperto una sofisticata campagna cybercriminale, GitCaught, condotta da attori di minacce di lingua russa provenienti dalla Comunità degli Stati Indipendenti (CSI). Questi attori hanno sfruttato un profilo GitHub per impersonare applicazioni software legittime come 1Password, Bartender 5 e Pixelmator Pro, distribuendo vari tipi di malware, tra cui Atomic macOS Stealer (AMOS) e Vidar. Questa attività malevola evidenzia l’abuso di servizi internet fidati per orchestrare cyberattacchi mirati al furto di informazioni personali.
Abuso di GitHub nelle cyberattività
Gli attori di minacce hanno abilmente creato profili falsi e repository su GitHub, presentando versioni contraffatte di software noti. Questi malware sono stati progettati per infiltrarsi nei sistemi degli utenti e rubare dati sensibili, dimostrando la profonda comprensione che gli attori hanno dello sviluppo software e della fiducia che gli utenti ripongono in tali piattaforme. L’analisi ha rivelato che queste varianti di malware, inclusi Atomic macOS Stealer (AMOS), Vidar, Lumma e Octo, non erano operazioni isolate. Condividevano una comune infrastruttura di comando e controllo (C2), suggerendo uno sforzo coordinato per massimizzare l’impatto degli attacchi. Questa configurazione C2 condivisa indica un gruppo altamente organizzato con risorse sostanziali e la capacità di lanciare attacchi cyber su diversi sistemi operativi e dispositivi.
Sfide per la cybersicurezza
L’evoluzione delle varianti di malware rappresenta una sfida significativa per le difese della cybersicurezza. Le misure di sicurezza tradizionali spesso non sono sufficienti contro minacce così sofisticate ed in continua evoluzione. La complessità della campagna e lo sviluppo continuo di nuove tattiche di malware richiedono un approccio proattivo e dinamico alla cybersicurezza.
Nel breve termine, le organizzazioni sono esortate ad adottare rigorosi protocolli di sicurezza, soprattutto quando integrano codice esterno nei loro ambienti. Implementare un processo di revisione del codice a livello organizzativo e utilizzare strumenti di scansione automatizzati come GitGuardian, Checkmarx o GitHub Advanced Security può aiutare a rilevare potenziali malware o modelli sospetti nel codice.
Migliorare la postura di sicurezza
A medio termine, le aziende dovrebbero migliorare la loro postura complessiva di cybersicurezza sviluppando strategie per monitorare e bloccare applicazioni non autorizzate e script di terze parti, che potrebbero fungere da gateway per il malware. Condividere informazioni e collaborare con la comunità della cybersicurezza è essenziale per affrontare campagne multifaccia come quella scoperta in questa indagine.
Per leggere l’intera analisi su GitCaught con le note finali, clicca qui per scaricare il report in formato PDF.
Sicurezza Informatica
Due studenti scoprono un bug lavatrici per lavaggi gratuiti
Tempo di lettura: 2 minuti. Due studenti scoprono una vulnerabilità nelle lavatrici connesse a Internet che permette lavaggi gratuiti: problemi di sicurezza nell’IoT.
Un bug di sicurezza potrebbe permettere a milioni di studenti universitari di fare lavaggi gratuitamente, grazie a una vulnerabilità scoperta in alcune lavatrici connesse a Internet. Due studenti dell’Università della California, Santa Cruz, Alexander Sherbrooke e Iakov Taranenko, hanno trovato una falla nell’API dell’app utilizzata per comandare queste macchine, che permette di utilizzarle senza pagamento e di aggiornare un account di lavanderia con milioni di dollari.
La scoperta e le implicazioni
Le lavatrici in questione appartengono a CSC ServiceWorks, una società che possiede più di un milione di macchine per il bucato e distributori automatici in servizio presso università, comunità multi-abitative, lavanderie a gettoni e altri luoghi negli Stati Uniti, in Canada e in Europa. La vulnerabilità scoperta dagli studenti consente di collegarsi a tutte le lavatrici connesse alla rete di CSC e di controllarle senza effettuare pagamenti.
Sherbrooke e Taranenko hanno tentato di informare CSC ServiceWorks della vulnerabilità tramite email e una telefonata a gennaio, ma non hanno ricevuto risposta. Nonostante ciò, la società ha “silenziosamente cancellato” i milioni di dollari falsi dai loro account dopo essere stata contattata dai due studenti.
Problemi di sicurezza nell’Internet delle Cose (IoT)
Questa scoperta mette in luce i problemi di sicurezza ancora irrisolti nell’Internet delle Cose (IoT). La vulnerabilità di CSC ServiceWorks è solo uno dei tanti esempi di pratiche di cybersecurity insufficienti che possono essere sfruttate da hacker o altre entità. Altri casi simili includono la possibilità per hacker o dipendenti delle aziende di visualizzare filmati delle videocamere di sicurezza di estranei o di accedere a prese intelligenti.
Spesso, i ricercatori di sicurezza individuano e segnalano queste falle prima che possano essere sfruttate nel mondo reale. Tuttavia, questo sforzo è vano se le aziende responsabili non rispondono adeguatamente alle segnalazioni. La mancanza di reazione da parte di CSC ServiceWorks è un chiaro esempio di questa problematica.
Sicurezza Informatica
LATRODECTUS: potenziale sostituto per ICEDID
Tempo di lettura: 2 minuti. LATRODECTUS, un nuovo malware loader simile a ICEDID, guadagna popolarità tra i cybercriminali per la sua efficienza. Scopri le sue caratteristiche e come proteggerti.
LATRODECTUS, un nuovo malware loader, è stato scoperto dai ricercatori di Walmart nell’ottobre 2023. Questo malware ha guadagnato popolarità tra i cybercriminali grazie alla sua somiglianza con ICEDID. LATRODECTUS utilizza un comando che scarica ed esegue payload criptati, proprio come ICEDID, e ha una forte connessione con l’infrastruttura di rete utilizzata dagli operatori di ICEDID.
Introduzione al malware
LATRODECTUS è un malware loader che offre una gamma di capacità standard che i cybercriminali possono utilizzare per distribuire ulteriori payload e condurre varie attività dopo la compromissione iniziale. Il codice non è offuscato e contiene solo 11 handler di comando focalizzati su enumerazione ed esecuzione. Questo tipo di loader rappresenta una recente ondata osservata dal team di Elastic Security, dove il codice è più leggero e diretto con un numero limitato di handler.
Campagna LATRODECTUS
Dall’inizio di marzo 2024, Elastic Security Labs ha osservato un aumento delle campagne email che distribuiscono LATRODECTUS. Queste campagne tipicamente coinvolgono file JavaScript sovradimensionati che utilizzano la capacità di WMI di invocare msiexec.exe per installare un file MSI ospitato remotamente su una condivisione WEBDAV.
Analisi di LATRODECTUS
Il sample di LATRODECTUS viene inizialmente confezionato con informazioni che lo mascherano come componente del driver in modalità kernel di Bitdefender (TRUFOS.SYS). Per analizzare il malware, il sample deve essere scompattato manualmente o tramite un servizio di scompattamento automatico come UnpacMe.
Il malware utilizza una tecnica di auto-eliminazione per eliminarsi mentre il processo è ancora in esecuzione, utilizzando un flusso di dati alternativo. Questo ostacola i processi di risposta agli incidenti interferendo con la raccolta e l’analisi.
Comunicazione e funzionalità
LATRODECTUS cripta le sue richieste utilizzando base64 e RC4 con una password hardcoded di “12345”. La prima richiesta POST invia informazioni sulla vittima insieme ai dettagli di configurazione, registrando il sistema infetto. LATRODECTUS rappresenta una minaccia significativa, con nuove capacità che lo rendono un potenziale sostituto di ICEDID. Le organizzazioni devono essere vigili e adottare misure di sicurezza proattive per rilevare e rispondere a queste minacce.
- Robotica1 settimana fa
Come controllare dei Robot morbidi ? MIT ha un’idea geniale
- Inchieste6 giorni fa
Melinda lascia la Bill Gates Foundation e ritira 12,5 Miliardi di Dollari
- L'Altra Bolla7 giorni fa
Discord celebra il nono compleanno con aggiornamenti e Giveaway
- Inchieste6 giorni fa
Terrore in Campania: dati sanitari di SynLab nel dark web
- Economia1 settimana fa
Ban in Germania per alcuni prodotti Motorola e Lenovo
- Smartphone4 giorni fa
Samsung Galaxy S25 Ultra: Quattro fotocamere in Arrivo
- Smartphone1 settimana fa
Samsung Galaxy S25 Ultra avrà una Fotocamera rispetto all’S24
- Economia1 settimana fa
Cy4Gate: accordo da un milione con Innovery