Archivio tag: Sicurezza Informatica

  • WhatsApp e Telegram: app sicure

    La recente vulnerabilità sulle Web app di WhatsApp e Telegram è stata rapidamente “patchata”, ma in molti non hanno capito che il rischio di sicurezza non ha riguardato le rispettive Mobile App. Cerchiamo quindi di chiarire, così da capire soprattutto come comportarsi. Ci aiuta David Gubiani, Security Engineering Manager di Check Point Italia.

    Le modalità dell’attacco

    Le modalità dell’attacco sono simili per i due programmi, a parte differenze minime delle singole implementazioni software, spiega David. Nella Web app di web di WhatsApp l’attaccante invia una foto al target. Le immagini che arrivano da sconosciuti (ovvero persone non presenti nell’agenda del telefonino a cui l’applicazione web è sincronizzata) appaiono solitamente offuscate (tecnicamente si chiama blob object n.d.r.) ma possono essere scaricate dal server se si effettua un “click” su di esse. Insieme all’immagine si scarica dal server anche il malware, che si attiva ed inizia la sua azione malevola, ovvero invia tutti i contenuti delle componenti locali all’attaccante. Questo mirroring permette di avere una copia precisa di tutti i dati dell’utente, delle sue chat, dei suoi contatti e periodicamente il malware risincronizza i dati locali in modo che l’attaccante possa operare proprio come se fosse la vittima target. In questo modo l’attaccante ha il pieno controllo dell’account target e può inviare altri file malevoli all’agenda contatti spargendo l’infezione e creando potenzialmente un attacco diffuso. Sulla Web app di Telegram il contagio può avvenire sia con immagini sia mediante video e poi il funzionamento è lo stesso.

    WhatsApp e Telegram utilizzano la crittografia end-to- end come misura di sicurezza dei dati, per garantire che solo le persone che stanno comunicando possano leggere i messaggi e nessun altro nel mezzo. Proprio la crittografia end-to- end è all’origine di questa vulnerabilità, perché i messaggi sono crittografati dal lato del mittente e WhatsApp e Telegram non potendo vederne il contenuto, sono state incapaci di impedire l’invio di messaggi malevoli. Dopo aver risolto questa vulnerabilità, il contenuto è attualmente convalidato prima della crittografia, consentendo quindi il blocco dei file dannosi.

    Sistemi non più in pericolo

    Le due aziende, avvisate della vulnerabilità dal team Check Point, hanno rapidamente rilasciato una mitigazione contro lo sfruttamento di questa falla in tutti i client web, che quindi oggi non sono più in pericolo a patto di seguire queste semplici regole:

    1. Svuotare la cache del browser in uso (selezionando tutti i tipi di dati possibili, cronologia, cookis etc)
    2. Chiudere il browser
    3. Riaprire il browser e richiamare le applicazioni whatapp o telegram direttamente dalle pagine web. (infatti non esistono client da scaricare sul pc)
    4. Contemporaneamente dalle rispettive applicazioni del telefonino si devono scollegare i dispositivi pc connessi.  Per whatapp questa funzionalità si trova in impostaz di whatsapp web alla voce “termina i dispositivi collegati”. Per Telegram si devono accedere le impostazioni  della voce “privacy e sicurezza” e scegliere di “terminare le sessioni attive”.

    Chi dovesse accedere oggi alle app web dnon sarebbe più a rischio grazie al patching effettuato dalle rispettive aziende.

    Sistemi ancora a rischio e sotto quali condizioni

    Chi utilizza il proprio dispositivo senza spegnerlo mai, lo tiene perennemente in stand by e con le applicazioni sempre aperte, potrebbe invece essere ancora a rischio perché si “trascina” su versioni web che potrebbero essere ancora vulnerabili. Poiché non c’è modo di capire se le applicazioni in uso siano della versione a rischio e bene preventivamente seguire i passi da 1 a 4 del paragrafo precedente e mettersi al riparo.

    Sistemi mai stati in pericolo

    La vulnerabilità riguardava solo le versioni Web, quindi le app mobili non sono mai state a rischio, anche se naturalmente lo era l’account per intero.

    Chiunque però voglia evitare qualsiasi rischio deve scollegare il dispositivo telefonico dai dispositivi pc, cancellare la cache dei browser, chiuderlo e riaprirlo e si potrà essere sicuri di essere al riparo da questa vulnerabilità.

    Prevenzione e attenzione sempre

    Naturalmente conclude David è sempre buona norma evitare di cliccare su allegati che non arrivano da amici anche se purtroppo in questo attacco anche gli amici infetti spargevano il contagio. In generale è importante non rispondere a sconosciuti. Fare attenzione sempre soprattutto al mittente che invia materiali. Alcuni casi di attacchi targetizzati (cioè costruiti appositamente per la vittima potenziale n.d.r.) sfruttano proprio un evento o una situazione nota alla vittima inviando messaggi da parte di persone della sua cerchia di conoscenze e la vittima non si insospettisce proprio in funzione dell’evento o del fatto a cui la mail si riferisce e apre un allegato o seleziona un link, attivando il malware.

    Per verificare se il proprio account è stato violato, si deve far attenzione alla timeline dei messaggi e se ci si accorge di messaggi che non sono stati inviati da voi e contenuti che non vi appartengono significa che qualcuno ha “doppiato” il vostro account in qualche modo e lo sta usando al posto vostro. Si può inoltre controllare dal telefono quanti siano i device e i pc collegati e regolarmente scollegarli.

    Oltre a tutti questi accorgimenti dovreste anche valutare di tenere sempre aggiornate le app in uso e dotarvi di strumenti appositi, non solo antivirus, ma anche applicazioni che controllano cosa scaricate ed eventualmente avvisano del pericolo. Check point propone la Threat prevention app che per ogni nuova istanza applicativa che si sta scaricando sul mobile, effettua una verifica se sia malevola o potenzialmente malevola mediante un rating. In questo modo l’utente sa che deve eliminarla manualmente. In caso di utenti aziendali che possono contare su una piattaforma di Mobile Device Management (MDM) per il controllo dei mobile aziendali, si possono creare policy finalizzate ad impedire preventivamente il download delle app con rating negativo.

    In futuro con la connessione progressivamente crescente di oggetti verso il web (grazie all’IoT n.d.r.) i rischi aumenteranno perché il Ritorno di investimento (ROI) delle azioni criminose potrebbe elevarsi potendo contare su una maggiore superficie d’attacco. Ecco perché è necessario fin da oggi iniziare azioni preventive di difesa.

    Tags:

    • Cyber Security italiana .. eppur si muove!

      Nonostante le critiche periodiche al sistema del Bel Paese, la cyber security italiana avanza ed evolve su più livelli: dal nuovo decreto sulle strutture decisionali e operative al neonato comitato nazionale per la ricerca in cybersecurity voluto per coordinare le forze a livello nazionale e cooperare in ambito internazionale per la formazione.

      L’Accademia, in particolare La Sapienza di Roma, è da qualche anno parte attiva e propulsiva della sicurezza informatica italiana. Fra le iniziative formative, quest’anno si aggiunge anche l’apertura del nuovo master of science in cybersecurity e l’inaugurazione del Cyberchallenge.it per intercettare l’interesse dei giovani.

      Rispetto alla roadmap, il Cybersecurity Framework 2016 rappresenta una pietra miliare. Quest’anno il focus del convegno annuale del CIS e del CINI è stato centrato sui 15 controlli essenziali per le PMI (estratti dai 99 del framework nazionale) per stimolare la riflessione sul tema dello sviluppo competitivo sui mercati internazionali e verso industria 4.0, mediante un processo di digitalizzazione sicura fin dal design e con capacità di resilienza ad eventuali attacchi e minacce di security.

      Per raccontare le iniziative accademiche e quelle rivolte alle PMI, abbiamo intervistato il professor Roberto Baldoni, Direttore del centro Cyber Intelligence e Information Security dell’Università di Roma “La Sapienza” e del Laboratorio Nazionale di Cybersecurity del CINI.

      In tema di aziende, spiega il Prof. Baldoni, è importante il ruolo di Confindustria per sollecitare le filiere verso una corretta e seria impostazione a questa problematica. Infatti, l’attenzione conferita da Confindustria al problema della sicurezza cyber, enfatizzata anche dalla recente designazione di un delegato nazionale per la cybersecurity (l’ing. Alberto Tripi, Presidente di AlmavivA S.p.A e presente nel sistema Confindustria con incarichi rappresentativi dal 1977 n.d.r.) è un grande passo in avanti, perché abilita la sinergia con il settore della ricerca  che opera a livello nazionale nel campo cyber grazie al comitato nazionale per la ricerca in cybersecurity recentemente costituito.

      Quindi la ricerca non solo teorica ma applicata e coniugata alla filiera industriale è finalmente organizzata per cooperare insieme avendo come driver di sviluppo il programma nazionale di  industria 4.0.

      L’obiettivo finale è quello di rendere sempre più efficaci le implementazioni di programmi nazionali in tema cyber rendendo progressivamente “piccola a piacere” la distanza fra l’ecosisistema industriale e quello della ricerca.

      In questa sinergia si colloca anche il comparto istituzionale con un organo di comando per la cybersecurity con poteri più forti e più operativi. Infatti, il nuovo decreto Cyber annunciato il 17 febbraio scorso apporta cambiamenti in favore della maggiore operatività e dello snellimento della catena di comando per facilitare l’interazione con gli altri stakeholder nazionali.

      L’interlacciamento più stretto fra industria e ricerca e il nuovo assetto di governo sulla cybersecurity rappresentano una terna operativa per creare un progetto a impatto reale sulla economia del paese. Infatti, la terna sinergica di attori istituzionali pubblici, accademici e privati permette di mettere a fattor comune a livello nazionale qualsiasi progetto o esperienza perché basati sullo stesso modello di analisi preventiva del rischio grazie ai 15 controlli essenziali per le PMI, e grazie al Cybersecurity National Framework per le aziende corporate, dimenticando la vecchia impostazione basata su singoli progetti faticosi e costosi da replicare.

      Le risorse sono poche e si deve evitare la loro dispersione. Lo “sharing” non è più legato solo alle informazioni di sicurezza, ma alla modalità di approccio di un qualunque progetto di digitalizzazione in chiave sicura per design e impostazione.

      Inoltre finalmente si realizza il cosiddetto PPP Partenariato Pubblico Privato nella sua accezione più completa. In sintesi è stato impostato un modello nazionale su cui basare la digitalizzazione delle aziende italiane utilizzando industria 4.0 come il primo dei driver di sviluppo.

      Lo stesso Prefetto Pansa, che ha chiuso l’evento del CIS, ha prefigurato sviluppi importanti nell’ottica della sinergia confermando l’impegno verso lo sviluppo di un Sistema nazionale per abilitare il paese alla crescita sinergica di capacità di difesa e di attacco informatico per rendere sicuro il cyberspazio e il nostro paese, restando competitivi con gli altri paesi.

      Cosa manca ancora alla roadmap nazionale? Il professor Baldoni auspica una più stretta collaborazione fra ricercatori e aziende con finanziamenti specifici per poter uscire dall’empasse di sicurezza del Paese, perché nessuna azienda può farlo da sola.  A livello nazionale si dovrebbe puntare ad avere organizzazioni (pubbliche, private e pubblico/private) dotate di una significativa massa critica di ricercatori e ingegneri capaci di realizzare delle operazioni importanti contro il cybercrime, per la cyberdefence e la cyberintelligence.

      Tutto ciò abiliterebbe anche capacità confrontabili con il livello internazionale che è la condizione propedeutica per stabilire relazioni con altri paesi su questi temi. Esempi potrebbero essere il CERT nazionale o CERT PA  ma con una operatività h24/7×7 e capaci di collaborare efficacemente con le omonime strutture internazionali.  In tema di cybercrime si potrebbe rafforzare la Polizia Postale e il CNAIPIC per supportarli nell’interazione con le strutture di livello internazionale.

      Per il prossimo futuro il CIS e CINI continueranno a lavorare attivamente sulla formazione, proseguendo con il progetto del Cyberchallenge e con i master in cybersecurity e con le attività del comitato nazionale all’interno del quale il professor Baldoni auspica l’inclusione progressiva di tutti gli altri istituti. Ad esempio con l’istituto superiore di sanità si potrebbero sviluppare le capacità di sicurezza nell’ambito medico ospedaliero e per la protezione dei dati personali.

      Tags:

      • ENISA Threat Report, riflessioni a margine

        enisa

        Per commentarne le principali evidenze del nuovo rapporto ENISA (European Union Agency for Network and Information Security) sulle minacce informatiche, abbiamo chiesto aiuto a Pierluigi Paganini, tra i main contributor del documento e membro del Threat Landscape Stakeholder Group di ENISA.

        Highlights dal rapporto

        Rispetto al periodo osservato sono diversi gli aspetti su cui il rapporto invita a riflettere. In primis l’estensione a tutti del rischio di attacchi: l’ottimizzazione del fatturato del Cyber-crime è il vero trend del 2016.

        Fortunatamente anche la capacità di difendersi è migliorata, così da portare a termine operazioni di law enforcement volte al contrasto di attività malevole e  alla risoluzione attacchi tramite vulnerabilità nell’anonimizzazione di infrastrutture, strumenti e valute virtuali. Anche la comprensione degli attacchi DDOS è migliorata tanto da poter intervenire efficacemente nella mitigazione di quelli più pericolosi. Anche dal punto di vista delle competenze, infine, università e centri di formazione stanno chiudendo il gap fra domanda e offerta di professionisti.

        Le raccomandazioni conclusive del report – di policy, business e ricerca –  saranno alla base delle attività future di ENISA e dei suoi stakeholder dal momento che:

        “anche se i difensori hanno fatto progressi significativi nella disgregazione delle minacce informatiche e nell’attribuzione degli attacchi, gli avversari continuano ad avanzare in fatto di tattiche e di tecniche”.

        Partiamo da qui per comprendere come mai dopo tanti sforzi, gli attaccanti sembrano sempre un passo avanti.

        Analizzando l’economia di un attacco, è semplice rendersi conto che l’attaccante sia sempre avvantaggiato. Gli attacchi sono istantanei per natura, possono essere mossi da ogni dove con implicazioni tecnologiche e legali che rendono complesse le attività di investigazione e contrasto. A questo si aggiungono fenomeni come aumento indiscriminato della nostra superficie di attacco dovuta a tecnologie come IoT, mobile e cloud computing, e la rapida diffusione di modelli crime-as-a-service. Da non trascurare infine l’efficace modello d’impresa adottato dalle principali organizzazioni criminali, strutture estremamente flessibili capaci di riadattare la propria azione in maniera rapida in risposta ad eventi avversi (e.g. operazioni delle forze dell’ordine).

        Come mai si è puntato al Threat Assessment dell’hardware ?

        L’hardware qualification è un problema cruciale nell’attuale contesto tecnologico. In tempi post-Snowden ci si è resi conto della necessità di dover verificare e qualificare il nostro hardware per fugare l’eventuale presenza di “impianti” (dotazioni strumentali finalizzate a intercettare o a funzioni spia n.d.r.). Il problema è quindi molto sentito in diversi ambiti: pensiamo alla difesa ed alle infrastrutture critiche. Conoscere le minacce, imparare ad identificarle e definire una metodologia di analisi condivisa rientra negli obiettivi del gruppo di lavoro.

        Data la frequenza delle minacce ogni quanto si dovrebbe aggiornare una Threat Taxonomy? Come mai ENISA lo fa annualmente?

        ENISA se ne occupa annualmente in quanto tale frequenza rappresenta un giusto compromesso nell’evoluzione dello scenario delle minacce e la possibilità di dedicare risorse all’attività. Inoltre lo scenario che analizziamo evolve rapidamente, ma per comprendere alcuni fenomeni occorre osservarli per 6 mesi/1 anno almeno, ecco quindi che si procede a delle review annuali.

        Quali saranno le prossime attività di ENISA?

        Nel gruppo di analisi delle minacce, stiamo lavorando a molti punti, alcuni non ancora condivisibili. In ottica NIS vi è un focus sugli aspetti di condivisione sia all’interno della comunità scientifica, sia all’esterno. Un obiettivo costante è l’aumento della consapevolezza della minaccia anche tra i non addetti ai lavori. Altri focus sono sui vari aspetti relativi alle attività di Cyber Threat Intelligence che conduciamo e sul concetto di Active Defence.

        Qualcuno sostiene che l’IT security sia diversa profondamente dalla Cybersecurity ? Cosa ne pensi ?

        In troppi si soffermano su queste sottili differenze e i principali threat actor ne traggono vantaggio. La sicurezza informatica è un campo estremamente ampio ed in rapida e continua espansione grazie all’evoluzione tecnologica. E’ naturale che ci siano molteplici definizioni, soprattutto in ottica commerciale. La sicurezza è un business, e troppi non addetti al settore ci si stanno tuffando.

        Ringraziando Pierluigi per il suo contributo, non ci resta che auspicare il ricorso a veri professionisti di security, esperti certificati o figure di esperienza, che possano supportare e guidare aziende e PMI in quel percorso di protezione e difesa dei propri asset che con l’avvio del processo di digitalizzazione e l’adozione di nuove tecnologie, non può più essere rimandato.

        Tags:

        • Sicurezza Informatica: i trend nelle PMI

          sicurezza PC

          Il mercato Information Security in Italia ha segnato nell’ultimo anno una crescita del 5%, ma con una spesa concentrata soprattutto tra le grandi imprese (74% del totale). Anche il 93% delle PMI ha dedicato un budget al settore – adeguamento normativo (48%), attacchi subiti in passato (35%), nuove esigenze tecnologiche (22%) o di business (31%) – ma con un approccio orientato all’identificazione delle minacce (66%) e  alla protezione (66%), molto meno alla rilevazione (12%) e alla risposta (15%).

          (more…)

          Tags:

          • Ransomware: FIGHTing BACK

            Sicurezza

            Non sembra volersi arrestare l’ondata di attacchi basati sul malware Ransowmare, che ha avuto il suo picco nel 2016 e non sembra rallentare in questo 2017. Dati alla mano, si evidenzia una crescita impressionante da 3,8 milioni del 2015 a 638 milioni nel 2016 (Fonte Sonicwall). (more…)

            Tags: