Articoli

Phishing a tema bonus bici contro lo SPID di Poste Italiane, la truffa del finto sms per rubare dati

È in atto una truffa di tipo phishing contro lo SPID di Poste Italiane: le esche utilizzate sono un’e-mail o un SMS che invitano le ignare vittime a collegarsi al proprio account per aggiornare l’app PosteID necessaria alla gestione della propria identità elettronica. L’obiettivo dei criminal hacker è, ovviamente, quello di rubare informazioni riservate e denaro.

Phishing contro lo SPID di Poste Italiane: l’esca del bonus bici

Come sempre accade nei casi di intenso traffico Internet degli utenti verso siti di particolare interesse, i malintenzionati digitali tendono a sfruttarli per trarne profitto: è questo il caso del Click Day per il bonus bici che ha polarizzato l’attenzione dei potenziali interessati ad accaparrarsi il bonus di 500 euro per l’acquisto di biciclette e monopattini.

Poiché l’accesso alla procedura di rilascio del bonus avveniva anche mediante identità SPID ottenuta dal sito di Poste Italiane, i criminal hacker hanno registrato a partire dal 6 ottobre scorso un dominio malevolo appositamente denominato aggiornamento-spid[.]com.

Attualmente il dominio fake è stato segnalato come malevolo e inserito fra gli Indicatori di compromissione (IoC) affinché sia prontamente inserito in blacklist nei sistemi che tutelano la sicurezza informatica. Se si cerca di raggiungere questo sito, i browser Chrome, Edge e Firefox lo segnalano già come sito ingannevole mediante un chiaro avviso su sfondo rosso visibile nella figura sottostante. Invece, i browser da mobile non lo riconoscono e dunque gli utenti che lo dovessero accedere da dispositivo mobile, si troverebbero davanti una pagina perfettamente similare a quella lecita. Quest’ultimo elemento ha fornito l’indicazione di come sia probabile l’organizzazione di una vasta campagna phishing via e-mail che utilizzerà il mezzo dell’SMS per invitare gli utenti ad aggiornare le credenziali SPID mediante il link malevolo verso il sito fake tentando di mietere vittime.

In questi giorni, inoltre, circola anche una e-mail inviata dai sistemi automatici di Poste Italiane dall’indirizzo info@posteid.poste.it che invita ad aggiornare l’app di PosteID fornendo i link per Android ed Apple, fornendo come motivazione la dismissione della vecchia versione dell’app al 22 ottobre. La contemporaneità con la campagna fake su SPID deve destare sospetto in chiunque riceva la mail, perché sebbene i link appaiano come leciti rimandando all’app Play Store, si consiglia di effettuare gli aggiornamenti sempre e solo direttamente dagli store ufficiali di Android e Apple direttamente dal cellulare senza seguire link ricevuti, perché per quanto appaiano ben formati, possono nascondere chiamate a malware e contenere codice malevolo. Un’altra verifica da fare è controllare l’ultimo aggiornamento effettuato dal device mobile direttamente dall’app Play Store in corrispondenza dell’app PosteID verificando la data effettiva dell’ultimo aggiornamento. In caso di necessità, si consiglia di procedere solo dallo store per scaricare l’ultima versione.

Questa tattica ormai datata consente agli hacker di eludere i tradizionali strumenti di sicurezza della posta elettronica per far sì che gli utenti clicchino su un link dannoso e inseriscano le proprie credenziali.

I consigli per difendersi dalla truffa

Chiunque riceva un SMS o un’e-mail acceduta da mobile, che inviti a cliccare la pagina SPID al fine di autenticarsi per accedere al bonus bici dovrebbe cestinare immediatamente il messaggio. Il sito di Poste Italiane non menziona la specifica occorrenza di una probabile campagna di phishing: tuttavia, nella sua pagina dedicata al contrasto delle truffe digitali, unitamente ad una serie di indicazioni per la difesa, chiede di segnalare i tentativi di phishing che possono riguardare l’azienda Poste Italiane al sito antiphishing@posteitaliane.it.

In Italia il phishing viene fatto ancora prevalentemente tramite e-mail con link che puntano a siti falsi, simili a quello originale, con un URL simile oppure che differisce per comuni errori di battitura nell’indirizzo, per poter raccogliere anche chi digita l’indirizzo errato direttamente nel browser. Anche nel caso dell’attuale truffa phishing ai danni dello SPID di Poste Italiane, “aggiornamento-spid[.]com” rappresenta una variante rispetto allo standard, un sito creato simile a quello di Poste Italiane ma con un URL che risponde a un preciso bisogno del momento, legato a chi effettua ricerche per il malfunzionamento dello SPID di Poste Italiane durante il click day per il bonus mobilità oppure come dichiarato dal ministero per essere veicolato tramite e-mail ed SMS, un fenomeno che in Italia non è ancora usato frequentemente, ma che sicuramente appare in crescita.

Fortunatamente le banche hanno fatto passi enormi in termini di awareness comunicando con ogni mezzo ai propri clienti che mai un link o una richiesta di cambio dati o password sarà inviata via e-mail o SMS, ma molti si rifiutano di leggere con attenzione tali raccomandazioni con le conseguenze che conosciamo, ovvero di essere tratti in inganno, infettati e spesso derubati.

Si suggerisce di adottare strumenti appositi per il contrasto delle minacce su mobile device e contro il phishing via SMS, il cosiddetto smishing. In generale, tuttavia, alcune buone norme di comportamento per proteggersi dal phishing via e-mail ed SMS consistono in:

1. Conoscere i campanelli d’allarme. Ci sono alcune caratteristiche che possono indicare di essere vittima di un attacco attraverso un’e-mail. Alcuni campanelli d’allarme sono: scarsa formattazione, errori di ortografia e grammatica e saluti generici, come “caro utente” o “caro cliente”. È necessario assicurarsi che i link partano da https:// e non da http://. Non ci si deve fidare mai dei messaggi urgenti o allarmanti. Per gli SMS, di solito le banche e altre organizzazioni non inseriscono link direttamente nel messaggio, ma lo usano solo come notifica.

2. Non rivelare troppe informazioni. Come regola generale, bisogna condividere il minimo indispensabile, indipendentemente dal sito in cui ci si trova. Le aziende non hanno mai bisogno del codice fiscale o della data di nascita dei clienti per fare affari con loro. Quindi non si devono fornire mai le proprie credenziali a terzi.

3. Cancellare le e-mail sospette. È buona norma cancellare le e-mail sospette senza aprirle e senza cliccare su alcun link, oppure inoltrarle al reparto IT per le indagini.

4. Non cliccare sugli allegati. Non è consigliabile aprire gli allegati di queste e-mail sospette o strane ed in particolare gli allegati Word, Excel, PowerPoint o PDF.

5. Verificare il mittente. Per ogni e-mail che si riceve, è buona norma verificare chi la stia inviando. Chi o cosa è la fonte dell’e-mail? Ci sono errori di ortografia nel dominio e-mail? Controllare se ci sono errori di ortografia o alterazioni negli indirizzi e-mail del mittente. Non si deve esitare a bloccare i mittenti sospetti tramite il proprio client di posta elettronica. Per gli SMS si deve prestare più attenzione perché far apparire che un SMS sia stato inviato da una banca o altra organizzazione è veramente molto semplice. Quindi se non ci si aspetta l’SMS e se ne riceve uno con un link, è opportuno non cliccare.

6. Mantenere aggiornati i propri dispositivi. Come regola d’oro ci si deve assicurare che tutte le proprie applicazioni, sul proprio telefono cellulare e sul computer desktop, siano aggiornate alle ultime versioni del software. Queste versioni hanno le ultime patch di vulnerabilità e le ultime difese per mantenere il device al sicuro. L’utilizzo di software obsoleti può lasciare delle porte aperte agli hacker per accedere alle informazioni personali.

 

Fonte: AziendaDigitale

Conservazione dei dati e sicurezza nazionale: nuove regole europee e criteri operativi

Con la sentenza del 6 ottobre 2020, la Corte di Giustizia dell’Unione Europea ha sancito il divieto di conservazione in modo generalizzato e indifferenziato dei dati personali da parte dei fornitori di servizi di comunicazioni elettroniche.

Tuttavia, la Corte di Giustizia ha previsto che in particolari situazioni in cui lo Stato membro si trovi ad affrontare una minaccia grave per la sicurezza nazionale – minaccia che si dimostri essere “autentica, presente o prevedibile” – detto Stato ha la possibilità di derogare l’obbligo di assicurare la riservatezza dei dati afferenti le comunicazioni elettroniche richiedendo per mezzo di misure legislative la conservazione generale e indiscriminata di tali dati a patto che questa archiviazione sia limitata al tempo strettamente necessario.

Inoltre, anche nell’ipotesi di lotta contro le gravi forme di criminalità e di prevenzione da gravi minacce alla sicurezza pubblica, uno Stato membro può prevedere la conservazione mirata dei dati a patto che la predetta sia celere.

È però necessario che detta interferenza con i diritti fondamentali sia accompagnata da garanzie effettive e sia valutata da un Tribunale o da un’Autorità amministrativa indipendente. Allo stesso modo, a uno Stato membro è permesso di svolgere una conservazione generalizzata e indiscriminata degli indirizzi IP attribuiti alla fonte di una comunicazione in cui il periodo di conservazione sia limitato a quanto strettamente necessario, o anche di effettuare una conservazione generale e indifferenziata dei dati relativi all’identità degli utenti di mezzi di comunicazione elettronica, e in quest’ultimo caso la conservazione non è soggetta ad un termine specifico.

Conservazione dei dati e sicurezza nazionale: orientamento giurisprudenziale

Negli ultimi anni la Corte di Giustizia si è pronunciata in numerose sentenze afferenti alla conservazione e all’accesso ai dati personali nel settore delle comunicazioni elettroniche.
Già l’8 aprile del 2014, la Corte ha dichiarato invalida la Direttiva 2006/24/CE del Parlamento europeo e del Consiglio relativa alla conservazione dei dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione.

Detta dichiarazione di invalidità si basava sul fatto che l’interferenza con i diritti al rispetto della vita privata e alla protezione dei dati personali – riconosciuti dalla Carta dei Diritti Fondamentali dell’Unione Europea – che risultava dall’obbligo generale di conservare i dati relativi al traffico e i dati relativi all’ubicazione stabiliti da tale Direttiva, non si limitava a quanto risultava essere strettamente necessario.

Ed ancora, con la sentenza del 21 Dicembre 2016, la Corte ha interpretato l’articolo 15, comma 1, della Direttiva 2002/58/CE del Parlamento Europeo e del Consiglio relativa al trattamento dei dati personali e alla tutela della privacy nel settore delle comunicazioni elettroniche – la cd. Direttiva relativa alla privacy e alle comunicazioni elettroniche – successivamente modificata dalla Direttiva 2009/136/CE del Parlamento Europeo e del Consiglio.

Il predetto articolo autorizza gli Stati membri per motivi di protezione della sicurezza nazionale ad adottare misure legislative volte a limitare la portata di taluni diritti e obblighi previsti dalla Direttiva.

Infine, nella sentenza del 2 ottobre 2018, la Corte ha nuovamente interpretato l’articolo 15, comma 1, della Direttiva sopracitata in un caso riguardante l’accesso delle Autorità pubbliche ai dati concernenti l’identità civile degli utenti dei mezzi di comunicazione elettronica.

Grazie alla giurisprudenza risultante dalle summenzionate pronunce della Corte di Giustizia è, quindi, lecito affermare che la predetta Corte ha statuito che gli Stati membri non possono imporre ai fornitori di servizi di comunicazione elettronica di conservare né in modo generale né indiscriminato i dati afferenti il traffico degli utenti e i dati relativi all’ubicazione.

Questo orientamento giurisprudenziale ha pertanto determinato una notevole preoccupazione in alcuni Stati membri in quanto si sono sentiti privati di uno strumento necessario per salvaguardare la sicurezza nazionale e per combattere le gravi forme di criminalità.

Conclusioni

Dunque, con la sentenza del 6 ottobre 2020 la Corte di Giustizia ha stabilito che la sicurezza nazionale non legittima la conservazione dei dati di traffico degli utenti in modo indiscriminato da parte degli operatori dei servizi di comunicazione. Tuttavia, viene ammessa una deroga al predetto principio ossia nell’ ipotesi in cui il diritto alla sicurezza sia gravemente minacciato, è possibile ricorrere a misure invasive.

Dunque, il Garante per la Protezione dei Dati Personali si è espresso sulla summenzionata sentenza spiegando che detta decisione, che si inserisce in un percorso iniziato già nel 2014 e continuato nel 2016 con le due sentenze conferma la necessità di “evitare che una dilatazione della nozione di sicurezza nazionale finisca per eludere l’effettività della tutela di un fondamentale diritto di libertà, quale appunto quello alla protezione dei dati”.

 

Fonte: CyberSecurity360

Cancellazione e distruzione sicura dei dati

Vademecum per capire come procedere alla cancellazione e distruzione sicura e in modo adeguato dei dati, alla luce del GDPR che contempla questa possibilità sia per le richieste degli interessati sia per la “scadenza” dei termini di conservazione dei dati stessi

Non si può spaccare il computer. La cancellazione e la distruzione sicura dei dati vanno approcciate con le giuste tecniche, per garantire la compliance alle regole e fare in modo che risulti efficace. Importante, quindi, dotarsi degli strumenti giusti, oltre a organizzare un sistema di governance adeguato.

Normativa di riferimento

Innanzitutto, va sottolineato che il problema della cancellazione e distruzione sicura dei dati riguarda diversi ambiti disciplinari in rapporto alla tipologia di informazione. Questo aspetto è soggetto alla disciplina del GDPR, che all’articolo 17 prevede che l’interessato possa chiedere al titolare del trattamento dati la cancellazione. Di conseguenza, il titolare (salvo particolari casi) deve provvedere a soddisfare tale richiesta.

In primis, è bene ricordare che i dati personali sono soggetti “a scadenza”, infatti, sulla base dell’art. 13, comma 2, lettera a) del Regolamento UE 2016/67, ogni titolare deve indicare un periodo di conservazione degli stessi indicandolo nell’informativa che deve rendere nota agli interessati prima di iniziare il trattamento.

Doveroso citare anche il principio di minimizzazione, in base al quale ogni titolare è tenuto a trattare solamente i dati di cui ha bisogno in maniera limitata (oltre che adeguata e pertinente), vale a dire, solamente per soddisfare la finalità del trattamento previsto.

L’ambito sicurezza

Il problema della cancellazione è altresì strettamente connesso, in un più ampio spettro alla sicurezza delle informazioni, si pensi per esempio alle tempistiche di conservazione e di cancellazione, ai tempi di disponibilità di dati in backup.

Intervengono, infine, anche considerazioni che riguardano la cybersecurity. Un dato, non solo personale, è comunque prezioso per i malintenzionati che intendono sfruttarne la potenzialità per carpire informazioni riguardanti l’azienda: credenziali di accesso ma non solo: anche segreti industriali e tutte quelle informazioni che potrebbero facilitarli nell’ingresso indebito ad altre organizzazioni collegate o concatenate al contesto aziendale facendo dei lateral movement allargati estesi oltre i perimetri dell’organizzazione.

La necessità di una governance centralizzata

Generalmente le organizzazioni hanno mediamente, al loro interno, due diversi ambienti per la raccolta e conservazione dei dati: uno pubblico (intranet, e documenti in condivisione su cartelle pubbliche) e uno privato dove il singolo dipendente può allocare, parcheggiare o conservare i dati. Così anche per gli account aziendali tuttavia, mentre su account di gruppo l’azienda ha un certo controllo, nulla può (o quasi) quando i dati sono aggregati e conservati in un account personale o spazio privato di un dipendente.

Il controllo centralizzato dei dati risulta quindi fondamentale. In quest’ottica, il settore IT dovrebbe regolarmente monitorare quei file o cartelle allocate in spazi comuni che non vengono movimentati da anni e invitare i gestori al loro esame e successiva eventuale cancellazione come pure favorire la cultura della minimizzazione del dato attraverso una formazione allargata a tutti i collaboratori.

In assenza di un’orchestrazione di processi e procedure e in assenza di policy adeguate le informazioni che può generare un utente aziendale potrebbero “proliferare” in tempi brevissimi: si pensi al dipendente che potrebbe salvare un dato su una cartella personale, su un supporto esterno, inviarlo a terze parti o conservarlo in forma di allegato nel proprio account di posta personale.

Il risultato è che il dato considerato “cancellato” di fatto viene solo parzialmente eliminato in assenza di un monitoraggio nelle varie diramazioni e percorsi che ha intrapreso nel suo ciclo di vita.
Ad accentuare il problema della governance dei dati vi è l’ambiente cloud considerando anche che spesso l’azienda non detiene un controllo diretto, ma si avvale di spazi di terze parti, è infatti possibile il caso in cui, anche una volta distrutto dall’ambiente cloud, il dato continua a permanere, magari su copie di backup di cui l’azienda non ha chiara visione e consapevolezza.

Il problema della cancellazione/distruzione del dato è stato accentuato ed aggravato nella fase di lockdown e, in alcuni contesti, ancor ora, con il lavoro in modalità smart working in quanto i dati sono sostati sui PC e device dei dipendenti. Molte le aziende che, a causa della Covid-19 hanno permesso ai loro dipendenti di utilizzare i propri dispositivi personali, spesso privi di funzionalità crittografiche o di software aggiuntivi in grado di garantire sia la memorizzazione sicura sia la successiva cancellazione. Il titolare detiene comunque la responsabilità dai dati trattati che non devono essere acquisiti da malintenzionati o comunque da estranei.

Le tecniche per la cancellazione efficace

Nella mentalità comune dell’utente medio e in assenza di una cyber cultura, i dati, una volta svuotato il cestino, vengono considerati cancellati in maniera indelebile: niente di più errato, a volte possono essere ripristinati, in alcuni casi, persino dopo una formattazione. Se le parti dell’hard disk non sono state sovrascritte, rimangono presenti nei device lasciando tracce.

Non è infrequente il caso in cui anche il settore IT non presti la dovuta attenzione quando assegna un device aziendale ad altro utente o quando sostituisce un drive non più funzionante. Per cancellare completamente un dato occorre agire anche sulle memorie, in particolare, sulla memoria ROM implementando ad una sovrascrittura per evitare che i dati cancellati che finiscono in un’area di memoria non più visibile all’utente possano essere ripristinati. Esistono numerose tecniche di cancellazione sicura.

Per i supporti CD e DVD, nella maggior parte dei casi, a livello tecnico basta una distruzione fisica tramite distruggi documenti simili a quelli idonei a distruggere i documenti cartacei.

Per quanto riguarda i device, esistono numerosi software di cifratura automatica che intervengono su volumi o partizioni o file system con successiva possibilità di cancellazione sicura. Sono numerosi i software di data shredding attualmente in commercio.

Alcuni eseguono il disk cleaner: tramite sanificazione dell’hard disk sono in grado di liberare i settori del drive che contengono ancora quei dati invisibile ma ancora presenti. Vi sono poi i software di file shredding in grado di riscrivere sulla posizione di memoria precedentemente utilizzata da file esistenti, dei byte random. Maggiori saranno i passaggi di sovrascrittura, minori le possibilità che i dati possano essere ripristinati.

Conclusione

In conclusione, dopo aver toccato alcune tematiche in merito alla distruzione/cancellazione ed aver fatto cenno all’e-waste dei dispositivi elettrici/elettronici riporto il focus sulla questione a mio parere, più importante: la centralità dell’organizzazione aziendale. Senza una struttura organizzativa adeguata a poco serviranno i software e le procedure di cancellazione/rimozione se non si sa esattamente dove sono allocati i dati.

Ogni organizzazione dovrà dedicare risorse sempre maggiori, all’inevitabile aumentare della mole dei dati di ogni azienda digitale, dedicate alla loro gestione e al loro stoccaggio. Essenziale è avere delle policy, processi e procedure chiaramente definiti che permettano di avere una roadmap dei dati: solo così le aziende potranno gestire l’articolata e complessa filiera della gestione delle informazioni.

La cultura in tema data protection, che non deve tralasciare neppure la gestione dei documenti cartacei la cui distruzione risulta meno critica, ma soprattutto, dev’essere sempre più integrata nei comportamenti individuali e nelle prassi di gestione del dato.

Solamente un mix di sistemi sociali e sistemi tecnici, in accordo con le normative in materia, consentirà la progettazione e l’ottimizzazione congiunta della gestione del ciclo di vita dei dati. In assenza di questa “armonizzazione congiunta” trattare i dati significa immettere un’informazione in un labirinto dove sarà difficile, a volte impossibile, capirne il percorso e effettuare un trattamento logico.

 

Fonte: CyberSecurity360

Il trattamento dei dati e il rispetto della privacy ai tempi del Coronavirus

Il lungo lockdown ha messo in difficoltà tantissime imprese, le quali trovano adesso a ripartire in uno scenario decisamente differente. L’obiettivo è quello di far ripartire l’economia, e allo stesso tempo continuare a contenere il contagio da Covid-19.

Per questo motivo le imprese sono tenute a mantenere per quanto possibile il distanziamento sociale, ad aumentare al massimo le misure per la sanificazione degli ambienti, nonché a controllare i propri dipendenti, fornitori e clienti.

Proprio la necessità di andare a trattare un’ampia mole di dati riservati che in precedenza non venivano gestiti dalle imprese, rimette la privacy al centro dell’attenzione in questa ripartenza: durante la Fase due, infatti, il tema del trattamento dei dati sta tornando decisamente centrale, e le aziende sono chiamate ad adottare i giusti strumenti per la gestione della privacy, nel pieno rispetto delle normative vigenti.

Privacy e Coronavirus: i nuovi aspetti per le aziende

Il rispetto della privacy, per via dell’entrata in vigore del GDPR, ovvero del Regolamento europeo in materia di trattamento dei dati personali e di privacy, è stato uno tra i temi centrali negli ultimi anni, viste soprattutto le sanzioni previste per le aziende che non si adeguano alla normativa (va ricordato infatti che si parla di sanzioni che possono arrivare fino al 4% del fatturato).

Nemmeno il Coronavirus manda in quarantena la privacy, anzi: la corretta gestione dei dati sensibili diventa ancora più importante durante l’emergenza Covid-19, poiché cresce il numero di informazioni personali che l’azienda è chiamata esaminare e conservare. Da una parte ci sono infatti tutti i dati personali relativi al lavoro agile, metodo di lavoro adottato in massa dalle imprese italiane a partire dal lockdown; dall’altra ci sono tutti i dati personali relativi al contenimento diretto del virus, dalla misurazione della temperatura dei dipendenti all’accesso in poi.

Va sottolineato che la raccolta di informazioni sullo stato di salute e sui movimenti dei dipendenti, dei fornitori e degli eventuali visitatori è di fatto classificata come trattamento di dati personali, e come tale deve essere svolta seguendo il Regolamento UE 2016/79 e le altre normative in materia di protezione dei dati personali.

Tutti i dati raccolti durante la gestione della sicurezza, dalle rilevazioni della temperatura alle eventuali comunicazioni di situazioni di pericolo da parte dei dipendenti (che dovrebbero essere effettuate attraverso canali di comunicazione appositamente istituiti dall’azienda), devono essere conservati solo per il tempo necessario, e quindi cancellati nel momento in cui non più utili per la gestione dell’emergenza sanitaria.

Privacy e Covid-19: il trattamento dei dati sanitari dei dipendenti

Vale la pena concentrarsi velocemente sui dati che più degli altri risultano “nuovi” per l’azienda, ovvero quello relativi alle condizioni di salute dei propri dipendenti al momento dell’accesso in sede.

Nell’attuamento dei protocolli sanitari, infatti, le aziende possono non solo chiedere informazioni ai dipendenti circa i loro spostamenti e il loro stato di salute, ma possono fare di più, ovvero rilevare la loro temperature corporea per ridurre al minimo le possibilità di permettere l’accesso a persone contagiate.

Questa possibilità si estende, oltre che ai dipendenti, anche a eventuali fornitori. Per fare tutto questo è necessario porre in essere delle precise attività di protezione dei dati seguendo il GDPR, rispettando quindi i principi di necessità, adeguatezza e pertinenza e minimizzazione dei dati, con la creazione di un’informativa specifica e con l’individuazione del personale autorizzato.

Sia la raccolta che il trattamento dei dati dovranno essere effettuati garantendo in ogni passo dignità e riservatezza ai soggetti coinvolti. E questi, va detto, sono solamente i principali aspetti da prendere in considerazione nell’applicare il GDPR all’emergenza Covid-19.

Il trattamento dei dati relativi allo smart working da una parte e la gestione della privacy in un contesto peculiare come quello del contenimento del Coronavirus dall’altra rendono indispensabile per le aziende poter contare su un supporto efficace per adempiere senza rischi al GDPR.

 

Fonte: AziendaDigitale

Proteggere app e dati senza perdere agilità e produttività del lavoro mobile

Lo smart working è un’opportunità per dipendenti ed aziende, ma senza le dovute misure di sicurezza per i dispositivi mobili può rappresentare un rischio rilevante per la sicurezza dei dati. Un tema che va affrontato e gestito in modo appropriato con le piattaforme di Enterprise Mobility Management.

Il lavoro sta radicalmente cambiando: cambiano le modalità organizzative delle imprese e delle organizzazioni e cambia il modo in cui viene svolto dalle persone.

Le professioni sono sempre meno caratterizzate dalla necessità di disporre di postazioni fisse e diventano sempre più “agili”. I dipendenti, grazie al lavoro in mobilità, sono in grado di migliorare le proprie prestazioni, gestendo con più indipendenza i propri ritmi e i propri tempi nei contesti più appropriati.

È, questa, una delle grandi opportunità della trasformazione e una bella opportunità che viene messa a disposizione dall’innovazione tecnologica. Ma non ci sono solo effetti positivi. Questa “rivoluzione” porta con sé anche una serie di nuovi rischi che devono essere analizzati e compresi a fondo dalle aziende e affrontati nel modo migliore, per tenere al sicuro i dati aziendali anche quando vengono utilizzati e condivisi attraverso queste nuove modalità di lavoro.

La soluzione nel campo dei dispositivi mobili c’è, e si chiama Enterprise Mobility Management (o EMM) e si concretizza in una piattaforma attraverso la quale i manager IT possono gestire da remoto le funzioni degli smartphone e dei tablet dei dipendenti con il duplice obiettivo di garantire sicurezza e di aumentare l’efficienza nelle attività di device management.

Il tutto grazie a un approccio e a una organizzazione dei controlli in grado di separare gli ambiti di utilizzo dei dispositivi attinenti alla sfera professionale e lavorativa, nei quali l’azienda deve poter disporre della massima visibilità, da quelli che attengono invece alla sfera privata, dove è indispensabile garantire il massimo rispetto della privacy.

I vantaggi dell’EMM per lo smart working

Se da una parte lo smart working è una nuova filosofia manageriale che restituisce alle persone flessibilità e autonomia nella scelta degli spazi, degli orari e degli strumenti da utilizzare a fronte di una maggiore responsabilizzazione sui risultati, dall’altra si tratta di uno strumento che apporta un cambiamento sostanziale dal punto di vista dei confini e degli strumenti di produzione dell’azienda.

Il cosiddetto perimetro aziendale si estende dunque all’esterno dei tradizionali spazi di lavoro e gli strumenti di lavoro sono sempre più frequentemente rappresentati dai dispositivi mobili dei dipendenti. Un insieme di fattori che rendono questo “nuovo perimetro” azienda più difficile da difendere da intrusioni o minacce informatiche.

I reparti IT hanno la necessità di garantire alle proprie organizzazioni la possibilità per i dipendenti di accedere ai sistemi informativi anche da mobile, nella cornice di una strategia generale pensata per mantenere al sicuro i dati e le informazioni aziendali.

Ma nello stesso tempo l’IT deve essere nella condizione di accompagnare i lavoratori in tutte le fasi dell’attività professionale, sia nel momento in cui si svolge nell’ambito del perimetro fisico dell’impresa: dall’accesso nella sede aziendale alla prenotazione delle sale riunioni, sia nel momento in cui si configura in attività che vengono svolte all’esterno.

A rendere possibile tutto questo sono proprio le piattaforme EMM, che consentono di semplificare e automatizzare la gestione di una serie di funzionalità che prima necessitavano di autorizzazioni e passaggi burocratici causando rallentamenti e inefficienze.

La questione della sicurezza

Con un perimetro aziendale, che smartphone, tablet, PC portatili e dispositivi IoT, come già sottolineato, diventa sempre più variabile, le piattaforme di Enterprise Mobility Management permettono di gestire da remoto e a livello centralizzato tutti i questi dispositivi, con un’attenzione particolare riservata ai temi della sicurezza e della prevenzione.

Grazie a queste piattaforme è infatti possibile evitare le conseguenze di possibili comportamenti incauti da parte dei dipendenti riducendo i rischi di data breach e di altre minacce per l’azienda.

Tra le soluzioni più avanzate per affrontare e gestire queste esigenze c’è la piattaforma Knox Manage di Samsung, che garantisce anche una protezione a livello hardware.

Tra le varie funzionalità la soluzione permette di semplificare la configurazione dei dispositivi, abilita la gestione di whitelist e blacklist applicative e di procedere volte a velocizzare e semplificare le attività di installazione di aggiornamenti e patch di sicurezza senza che sia necessario l’intervento diretto dell’utente.

Allo stesso tempo Knox Manage permette di separare, con modalità diverse in funzione delle piattaforme Android Enterprise o iOS, i dati personali da quelli aziendali, che potranno contare su un importante livello di protezione grazie al fatto che sono gestiti in aree distinte da quelle dedicate all’organizzazione aziendale.

Privacy e smart working avanti di pari passo

Questa gestione “separata”, che in funzione del tipo di ambiente operativo può essere a livello di gestione di OS o a livello di applicazione, rappresenta una importante componente della risposta alle nuove sfide aperte dallo smart working dove troviamo appunto anche la dimensione della privacy.

Chi utilizza il proprio smartphone per lavorare deve poter distinguere tra l’ambito privato e quello professionale. L’azienda deve effettivamente essere nelle condizioni di accedere liberamente alle informazioni che riguardano lo specifico ambito lavorativo; deve avere la certezza che questi dati sono al sicuro anche se sono trattati su dispositivi che operano lontani dal perimetro aziendale e, non ultimo e non meno importante, deve essere nella condizione di garantire al dipendente il massimo rispetto della privacy nella certezza della completa compliance normativa.

 

Fonte: CyberSecurity360

Privacy policy aziendale: i consigli per una regolamentazione interna sul corretto trattamento dei dati

Tra i documenti da preparare in un corretto processo di adeguamento c’è la privacy policy aziendale: se redatta correttamente consente di fissare regole chiare e renderle note a tutti gli utenti aziendali; ma soprattutto, rende chiaro cosa fare e annulla equivoci e azioni dei singoli

La privacy policy aziendale è uno strumento indispensabile, ma forse non troppo considerato, nel processo di adeguamento della propria organizzazione alla normativa vigente in materia di protezione dei dati.

Generalmente, invece, nel percorso verso la compliance al GDPR, sia in fase iniziale che in una di revisione si è spesso concentrati su alcuni adempimenti:

• informativa ai clienti;
• modulo di consenso;
• videosorveglianza e adempimenti correlati;
• regolamentazione dei cookie.

Come creare una privacy policy aziendale?

Occorre innanzitutto censire tutti i dispositivi che trattano i dati (personali o aziendali) e poi è importante creare la policy aziendale che indichi chiaramente cosa si può e cosa non si può fare con i dati dei clienti.

Come creare questa regolamentazione dipende ovviamente dalla tipologia di azienda e dal numero di dipendenti:

1. per realtà più grandi si pensa alla prevalenza di dispositivi aziendali che sono da gestire in modo diverso da quelli personali e che, magari, sono con controllo centralizzato per cui ho un controllo “facilitato”. Dunque, qui il censimento dovrebbe essere facilitato dall’appartenenza all’azienda dei dispositivi in dotazione al personale;

2. per realtà più piccole si può partire da modelli da adattare al contesto operativo in cui ci si trova.

Elementi comuni dei due casi sono:

1. aggiornamento periodico della policy (come le aziende imparano anche le policy si arricchiscono di tutti quei casi che, in fase di prima stesura, non erano stati considerati)

2. necessità di diffusione e conoscenza da parte di tutti coloro che operano in azienda. Senza tale elemento il rischio di incorrere in comportamenti inadeguati si alza anche sensibilmente.

Una modalità efficace è quella di partire da best practice per creare la regolamentazione e poi, durante le sessioni di formazione obbligatoria sul GDPR, spiegarla nel dettaglio raccogliendo, eventualmente, indicazioni su casi non previsti.

In questo modo si rende ancora più efficace il momento formativo e lo si sfrutta per eventuali aggiornamenti richiesti dal contesto.

 

Fonte: CyberSecurity360

PyXie RAT, il trojan che ruba credenziali ed esfiltra dati riservati dalle unità usb

Si chiama PyXie un nuovo RAT (Remote Access Trojan) scoperto dai ricercatori e in grado di compiere attacchi mirati su target appartenenti soprattutto a settori dell’istruzione, della sanità, tecnologici, governativi e per la vendita al dettaglio.

Subito dopo aver infettato il PC target, PyXie è in grado di compiere le seguenti azioni malevoli:

• rubare credenziali di accesso della vittima;
• effettuare operazioni di keylogging;
• registrare video ambientali;
• monitorare le unità USB collegate al PC ed esfiltrare dati riservati;
• avviare una connessione da remoto alla macchina infetta;
• distribuire altri malware.

Tutti i passaggi di un attacco col trojan PyXie

Le prime tracce del codice malevolo di PyXie risalgono al 2018, anche se solo negli ultimi giorni i ricercatori hanno osservato un picco di attività segno che i criminal hacker hanno iniziato ad usarlo per colpire le vittime designate. La catena infettiva di PyXie può essere suddivisa in tre fasi principali.

Nella prima fase, il trojan PyXie utilizza una tecnica di sideloading (letteralmente “caricamento di lato”, ma traducibile più correttamente con “trasferimento locale”) che gli consente di sfruttare applicazioni legittime già installate sulla macchina della vittima per caricare i componenti malevoli necessari a completare questa prima fase infettiva del malware.

Nella seconda fase della catena infettiva il trojan PyXie si installa automaticamente: il loader e il corrispondente payload vengono copiati in una specifica directory.

Subito dopo viene generato un codice univoco in funzione dell’hardware della macchina: tale codice sarà utile al malware per compiere altre operazioni tra cui la generazione di una nuova chiave di cifratura.

In questa fase, PyXie tenta anche di aumentare i propri privilegi in modo da riuscire a prendere il pieno controllo della macchina infetta. Il trojan, a questo punto, si preoccupa anche di garantirsi la persistenza nel sistema infetto cancellando tutte le sue attività dal Service Control Manager.

Nella terza e ultima fase della catena infettiva di PyXie viene avviato un downloader in grado di:

1. connettersi a un server di comando e controllo (C&C) su protocollo HTTP/HTTPS;
2. scaricare un payload cifrato;
3. decifrare il payload;
4. mappare ed eseguire il payload;
5. generare un nuovo processo per l’iniezione di nuovo codice malevolo.

Come difendersi da un possibile attacco

Le caratteristiche tecniche analizzate finora rendono PyXie difficile da identificare nelle macchine infette. Al momento, comunque, non sono state individuate attività malevoli in Italia anche se potrebbe essere solo questione di tempo.

Certamente, poi, un buon antivirus con antimalware, sandbox e firewall può essere un buon supporto per ridurre le possibilità d’infezione da malware.

Il consiglio per tutte le aziende, infine, è quello di mantenere alto il livello di consapevolezza degli utenti e dei dipendenti mediante una corretta politica di security awareness aziendale, avvisandoli periodicamente delle minacce in corso e utilizzando dove possibile un team di esperti per salvaguardare la sicurezza del perimetro “cyber” dell’organizzazione stessa.

 

Fonte: CyberSecurity360

Vulnerabilità in WhatsApp, basta una GIF per rubare dati dallo smartphone

WhatsApp per Android ha una vulnerabilità critica di tipo Double-free (“a doppia liberazione di memoria”) che, se sfruttata con successo, potrebbe consentire ai criminal hacker di compromettere i dispositivi Android, prenderne il controllo e rubare file e messaggi di chat semplicemente inviando un’immagine GIF contenente un codice di payload malevolo.

I dettagli della vulnerabilità in WhatsApp per Android

La vulnerabilità non risiede nel codice sorgente di WhatsApp ma in una libreria open source utilizzata dalla Galleria di WhatsApp ed in particolare nel modo in cui l’app genera un’anteprima per i file multimediali come immagini, video e GIF (che tra l’altro rappresentano uno dei contenuti più condivisi dagli utenti non solo su WhatsApp).

In particolari condizioni d’uso, il difetto di sicurezza causa una corruzione della memoria dello smartphone mandandolo in crash oppure, come nel caso di WhatsApp, consentendo ai criminal hacker di ottenere l’accesso al dispositivo con privilegi utente elevati.

La caratteristica di questa particolare vulnerabilità Double-free è dunque quella di consentire ai criminal hacker di sfruttare sia un exploit di tipo RCE (Remote Code Execution) per l’esecuzione del payload malevolo sia di tipo PoE (Privilege Escalation) nel contesto del processo di esecuzione di WhatsApp e quindi con i permessi che l’applicazione ha sul dispositivo.

In questo modo, il payload malevolo ha tutti i permessi di accesso in lettura e scrittura alla memoria dello smartphone (sia quella interna sia quella esterna su SD card) e al database dei messaggi. E avrà anche tutte le autorizzazioni già concesse a WhatsApp dall’utente, inclusa la registrazione audio, l’accesso alla telecamera, l’accesso al file system, alla sandbox stessa dell’app e così via.

Per sfruttare questa vulnerabilità, un aggressore non deve fare altro che inviare un’immagine in formato GIF sul dispositivo Android della vittima utilizzando qualsiasi canale di comunicazione (quindi non necessariamente la chat di WhatsApp) e attendere che l’utente semplicemente apra la Galleria dell’app di messaggistica per condividere un qualsiasi contenuto con un amico.

Infatti, poiché il bug risiede nella libreria usata da WhatsApp per mostrare l’anteprima dei file multimediali, l’utente non deve inviare nulla perché la semplice apertura della Galleria di WhatsApp nella quale adesso è memorizzata anche la GIF malevola inviata dai criminal hacker (e usata quindi come grimaldello) innescherà automaticamente la vulnerabilità.

Da questo momento, l’aggressore riesce a stabilire un collegamento diretto con il dispositivo della vittima e a prenderne il controllo.

L’unica accortezza che gli aggressori devono seguire, qualora decidessero di inviare la GIF alle loro vittime sfruttando una piattaforma di messaggistica come WhatsApp o Messenger, è quella di condividerla come documento e non come file multimediale: l’algoritmo di compressione delle immagini utilizzato dalle app di messaggistica per velocizzare la condivisione di questo tipo di file, infatti, potrebbe danneggiare il payload nascosto nell’immagine e quindi impedire di fatto lo sfruttamento della vulnerabilità.

Ecco come correggere la vulnerabilità

La vulnerabilità interessa la versione 2.19.230 di WhatsApp e le precedenti in esecuzione su Android 8.1 e 9.0, mentre non è possibile innescarla su Android 8.0 e su release inferiori del sistema operativo mobile di Google in quanto il dispositivo si bloccherebbe prima che venga eseguito il payload malevolo per una diversa gestione delle chiamate alle librerie di sistema.

La vulnerabilità è stata segnalata a Facebook, proprietaria di WhatsApp, alla fine di luglio di quest’anno ma l’azienda ha incluso una patch di sicurezza soltanto nella versione 2.19.244 dell’app rilasciata a settembre.

Per proteggersi da questa vulnerabilità e mettere in sicurezza lo smartphone è dunque necessario aggiornare WhatsApp il prima possibile all’ultima versione disponibile su Google Play.

Tuttavia, poiché la vulnerabilità risiede in una libreria open source, è possibile che anche altre applicazioni Android siano esposte ad attacchi simili. Per questo motivo, lo sviluppatore della libreria interessata, chiamata Android GIF Drawable, ha rilasciato a sua volta la versione 1.2.18 che corregge la vulnerabilità Double-free.

WhatsApp per iOS non è, ovviamente, interessato da questa vulnerabilità.