Articoli

PyXie RAT, il trojan che ruba credenziali ed esfiltra dati riservati dalle unità usb

Si chiama PyXie un nuovo RAT (Remote Access Trojan) scoperto dai ricercatori e in grado di compiere attacchi mirati su target appartenenti soprattutto a settori dell’istruzione, della sanità, tecnologici, governativi e per la vendita al dettaglio.

Subito dopo aver infettato il PC target, PyXie è in grado di compiere le seguenti azioni malevoli:

• rubare credenziali di accesso della vittima;
• effettuare operazioni di keylogging;
• registrare video ambientali;
• monitorare le unità USB collegate al PC ed esfiltrare dati riservati;
• avviare una connessione da remoto alla macchina infetta;
• distribuire altri malware.

Tutti i passaggi di un attacco col trojan PyXie

Le prime tracce del codice malevolo di PyXie risalgono al 2018, anche se solo negli ultimi giorni i ricercatori hanno osservato un picco di attività segno che i criminal hacker hanno iniziato ad usarlo per colpire le vittime designate. La catena infettiva di PyXie può essere suddivisa in tre fasi principali.

Nella prima fase, il trojan PyXie utilizza una tecnica di sideloading (letteralmente “caricamento di lato”, ma traducibile più correttamente con “trasferimento locale”) che gli consente di sfruttare applicazioni legittime già installate sulla macchina della vittima per caricare i componenti malevoli necessari a completare questa prima fase infettiva del malware.

Nella seconda fase della catena infettiva il trojan PyXie si installa automaticamente: il loader e il corrispondente payload vengono copiati in una specifica directory.

Subito dopo viene generato un codice univoco in funzione dell’hardware della macchina: tale codice sarà utile al malware per compiere altre operazioni tra cui la generazione di una nuova chiave di cifratura.

In questa fase, PyXie tenta anche di aumentare i propri privilegi in modo da riuscire a prendere il pieno controllo della macchina infetta. Il trojan, a questo punto, si preoccupa anche di garantirsi la persistenza nel sistema infetto cancellando tutte le sue attività dal Service Control Manager.

Nella terza e ultima fase della catena infettiva di PyXie viene avviato un downloader in grado di:

1. connettersi a un server di comando e controllo (C&C) su protocollo HTTP/HTTPS;
2. scaricare un payload cifrato;
3. decifrare il payload;
4. mappare ed eseguire il payload;
5. generare un nuovo processo per l’iniezione di nuovo codice malevolo.

Come difendersi da un possibile attacco

Le caratteristiche tecniche analizzate finora rendono PyXie difficile da identificare nelle macchine infette. Al momento, comunque, non sono state individuate attività malevoli in Italia anche se potrebbe essere solo questione di tempo.

Certamente, poi, un buon antivirus con antimalware, sandbox e firewall può essere un buon supporto per ridurre le possibilità d’infezione da malware.

Il consiglio per tutte le aziende, infine, è quello di mantenere alto il livello di consapevolezza degli utenti e dei dipendenti mediante una corretta politica di security awareness aziendale, avvisandoli periodicamente delle minacce in corso e utilizzando dove possibile un team di esperti per salvaguardare la sicurezza del perimetro “cyber” dell’organizzazione stessa.

 

Fonte: CyberSecurity360

Furto di informazioni e segreti commerciali: impatti per le aziende e soluzioni di cyber security

Il furto di informazioni e segreti commerciali ha un impatto sicuramente negativo sulle aziende, in termini di investimento nell’innovazione e a livello di reputazione. Ecco le possibili soluzioni di cyber security in grado di garantire la piena attuazione del principio della cosiddetta security by design

Il furto di informazioni è uno dei fattori più rilevanti nel calcolo del costo della criminalità informatica. Le stime per il 2018 prevedono una possibile perdita di 60 miliardi di euro nella crescita economica e quasi 289.000 posti di lavoro nella sola Europa a causa del cyber-furto di segreti commerciali.

Una cosa è certa: il cyber crime e le tipologie di minacce sono in continuo sviluppo, al fine di aggirare le soluzioni realizzate da chi si deve difendere.

Il problema, dunque, riguarda da vicino il business, con un impatto sulle aziende sicuramente negativo: in termini di investimento nell’innovazione; a livello di reputazione, le aziende possono subire un deprezzamento sostanziale se la notizia della violazione viene resa pubblica e a questo si aggiunge il valore perso delle relazioni con i clienti, la perdita di contratti e la svalutazione del nome commerciale.

Ma vi possono essere costi anche in termini di opportunità di affari persi o minore produttività, perdita del vantaggio competitivo, perdita di redditività o persino perdita di intere linee di business a vantaggio dei concorrenti.

Il Cybersecurity Act e la security by design

In questo scenario, il Cybersecurity Act è un nuovo strumento normativo europeo che ha lo scopo di garantire una sicurezza informatica più coesa e collettiva, un Regolamento che mira a creare un quadro europeo ben definito sulla certificazione della sicurezza informatica di prodotti ICT e servizi digitali.

La domanda che allora sorge spontanea è: “questo strumento sarà in grado di supportare il mercato digitale?”.

Secondo Veronica Leonardi, CMO & Investor Relations Manager presso Cyberoo: “l’adozione del Cybersecurity Act rappresenta un importante passo avanti verso la piena attuazione del principio della cosiddetta security by design, ovvero la presa in considerazione della sicurezza informatica dei processi aziendali, a partire dagli stadi iniziali della progettazione dei prodotti ICT”. Infatti, obiettivo principale di Cyberoo, come azienda che si occupa di cyber security, è quello di analizzare le imprese dal punto di vista dei processi e di offrire una serie di tecnologie che possano prevenire e rispondere a determinate problematiche.

“Un aspetto da tenere saldamente in considerazione” – continua Veronica Leonardi – “è il panorama dell’industria in Italia, che è costituito sostanzialmente da PMI, una realtà numericamente molto significativa, che non è in grado di strutturarsi internamente per stare al passo con le esigenze di digital trasformation e di cyber security”.

Tutto questo accade perché il tessuto imprenditoriale italiano si concentra sul proprio core-business, tralasciando questi fondamentali aspetti. Dunque, non solo le aziende di alto profilo, ma anche le PMI sono un obiettivo primario per i cyber attacchi: piccoli fornitori o partner possono essere infatti utilizzati come punto di accesso a tutta la Supply Chain.

Dal rapporto 2019 emerge che l’impreparazione è dovuta al fatto che fino ad oggi in Italia sono mancati una visione, una strategia e un commitment commisurati al contesto e rispetto al 2018 il numero degli attacchi gravi dichiarati sono notevolmente aumentati.

Attacchi complessi e soprattutto vulnerabilità zero-day, sono sempre più diffusi per due ragioni fondamentali: da un lato le vittime non sono assolutamente strutturate per difendersi da questa tipologia di attacchi, dall’altro forze dell’ordine e servizi di sicurezza non hanno le risorse sufficienti per presidiare efficacemente questo fronte, considerando che la superficie di attacco potenziale è sostanzialmente infinita.

Soluzioni a salvaguardia delle imprese

Il cyber crime, infatti, colpisce le imprese sfruttando molteplici vettori d’azione, valutando il costo-beneficio in termini di monetizzazione.

Veronica Leonardi afferma che l’introduzione di certificazioni applicabili a prodotti e servizi ICT è una soluzione che potrà garantire una maggiore efficienza ed efficacia sotto ogni punto di vista, salvaguardando non solo gli interessi dei cittadini, ma anche delle imprese italiane ed europee. Ciò che ci si domanda è come il Cybersecurity Act verrà applicato una volta che comincerà a funzionare a pieno regime.

Nel momento in cui si riuscissero a trovare le corrette modalità per invitare le aziende a certificarsi sotto i diversi livelli di certificazione, queste si attiverebbero per l’analisi dei propri prodotti e dei propri processi, e dunque dal punto di vista della security by design la possibilità di innovazione aumenterebbe.

La continua ricerca e la messa in discussione dei processi sottostanti allo sviluppo di software con cui vengono attuate le analisi sulla bontà della sicurezza, andrebbero a colmare una serie di gap tecnologici e supporterebbero le imprese a portare migliorie, oltre che portare su tutto il territorio italiano ed estero PMI innovative.

Per le aziende le implicazioni di mercato sono importanti perché possono presentare una dichiarazione di conformità di autocertificazione per il riconoscimento dei loro prodotti in tutti gli Stati membri dell’UE sulla base delle certificazioni nazionali possedute e vedersi riconoscere uno dei tre livelli di affidabilità che corrisponde alla loro capacità di resistere agli attacchi di sicurezza informatica acquisendo un criterio di garanzia, in ambito security, maggiore rispetto ad altri competitor.

“Ci deve essere una linea di congiunzione tra normativa e operatività”, continua Veronica Leonardi. “Noi abbiamo visto da vicino come è stato applicato il GDPR e fino all’ultimo minuto le imprese si sono attivate per paura di essere sanzionate. Education e consapevolezza sono le chiavi essenziali per aiutare le aziende a comprendere al meglio il valore delle certificazioni, il valore dell’essere security, il valore di essere efficienti e innovativi”.

Ultimo, ma non in termini di importanza è il tema legato all’investimento. La cyber security non è a costo zero, ma al contrario è gravosa e rispetto alla tangibilità degli investimenti è poco compresa.

La certificazione e il Regolamento dovrebbero essere accompagnati da un supporto all’investimento per certificare i propri software.

 

Fonte: CyberSecurity360

Password e metodi di autenticazione: caratteristiche tecniche e nuove soluzioni

Nonostante i continui annunci di nuove soluzioni destinate ad eliminare la password, sembra che per ora continuerà ad essere lo strumento per garantire in modo semplice e intuitivo la sicurezza delle nostre informazioni. Ecco lo stato dell’arte sugli attuali metodi di autenticazione

Caratteristiche dei metodi di autenticazione

Un metodo di autenticazione è una funzionalità critica per accedere a risorse tecniche o informative protette. La scelta del metodo più adatto deve essere fatta tenendo conto dei seguenti elementi:
1. livello di sicurezza: un metodo di autenticazione deve garantire l’affidabilità di un’identità dichiarata ed essere sicuro, efficace e a prova di attacchi e di negligenze;
2. costo di implementazione: i costi per gestire un metodo di autenticazione possono essere limitati, come nel caso di una password, o diventare importanti a dipendenza del tipo dell’infrastruttura, come nel caso di autenticazione con token di sicurezza;
3. usabilità: l’autenticazione non è solo un problema tecnologico ma deve essere semplice e intuitiva per gli utenti che non percepiscono la complessità del problema ma pretendono che le loro informazioni siano al sicuro.

Metodi di autenticazione tramite password

La password è uno dei metodi più semplici di autenticazione e può essere usata senza alcun componente tecnico particolare. Facile da creare da parte di chiunque, è normalmente usata per accedere a servizi informatici aziendali o su internet. Permette, inoltre, di proteggere apparecchiature tecniche sia a livello personale che aziendale.

Nel caso di applicazioni personali, la sottrazione della password può comportare furti di dati e danni finanziari ma a livello aziendale i danni possono essere molto più gravi fino ad arrivare a veri e propri attacchi informatici nel caso del furto di credenziali amministrative dei sistemi.

Ne deriva che la password deve essere scelta con cura e usata con attenzione perché la sua sicurezza può essere messa a rischio sia dalla negligenza degli utenti che da attacchi informatici che possono essere impensabili per un non specialista.

Tra i principali rischi dovuti alla negligenza degli utenti possiamo citare:
• password costituite da testi banali (1234, password, abcd ecc.) o con indicazioni personali (anno di nascita, targa auto ecc.) che possono essere facilmente indovinate;
• password non protette perché scritte su foglietti, memorizzate su un file o su fogli Excel o inviata in chiaro tramite posta elettronica, perché possono essere facilmente scoperte;
• riutilizzo della password per servizi informatici o siti internet diversi. L’utilizzo della medesima password per accedere a Facebook, Amazon, al conto bancario e alle applicazioni aziendali, può mettere a rischio tutti i dati nel caso venga catturata;
• condivisione della propria password personale o aziendale con amici e colleghi con grossi rischi di attività improprie e potenzialmente pericolose da parte di terzi, sia a livello dei dati personali ma soprattutto dei dati aziendali;
• consegna volontaria delle password da parte degli utenti tratti in inganno da tecniche di ingegneria sociale quali attacchi di phishing, falsi tecnici, falsi reset delle password, ecc.

Il cattivo uso delle password da parte degli utenti è una delle principali cause di attacchi informatici e una formazione adeguata potrebbe aiutare a limitare i rischi. Purtroppo le campagne di sensibilizzazione destinate ad ottenere un uso corretto delle password hanno un impatto limitato presso gli utenti e spesso non vengono neanche prese in considerazione dalle aziende.

Tipi di attacchi alle password

Nel caso di un attacco a un sistema locale, se il malfattore ha un accesso fisico all’apparecchio da aggredire, può scoprire le password utilizzando metodi di attacco iterativi come l’attacco a dizionario, che ha lo scopo di trovare la password cercando all’interno di enormi elenchi di parole memorizzate, oppure l’attacco di forza bruta, provando con software opportuni tutte le combinazioni di caratteri. L’efficacia di questi tipi di attacchi iterativi è direttamente legata alla potenza di calcolo e di conseguenza ai costi dei computer.

Il solo modo di contrastare le tecniche fin qui elencate è quella di definire password sempre più lunghe (tra i 12 e 16 caratteri) in modo da rendere difficile la loro scoperta con le attuali potenze di calcolo.

Gli attacchi ai sistemi remoti si concentrano su tecniche differenti, quali l’istallazione di malware sull’apparecchio dell’utente per monitorare tutti i testi digitati sulla tastiera, oppure l’implementazione di varie tecniche in cui un attaccante è in grado di intromettersi tra l’utente e il server, ingannando e catturando, a sua insaputa, non solo la password ma tutti i messaggi trasmessi.

Il furto delle credenziali con tecniche di phishing è sicuramente un grosso problema per i potenziali danni che ne possono derivare dall’accesso non autorizzato ai dati protetti.

Una maggior attenzione e diffidenza su tutto quanto ci viene proposto in modo ambiguo da parte di sconosciuti che sfruttano la nostra ingenuità è una buona premessa per evitare il furto delle password o l’istallazione di malware per la cattura di informazioni.

Un ultimo problema relativo all’autenticazione è quello dei sempre più frequenti furti di massa delle credenziali di autenticazione presso i fornitori di servizi che li dovrebbero custodire più accuratamente. Questi nomi utenti e password possono essere usati per tentativi di accesso ad altri siti ma anche utilizzati per truffe o estorsioni come nelle recenti campagne di sextortion.

Metodi di autenticazione tramite token di sicurezza

Un token di sicurezza è un dispositivo fisico che viene utilizzato per ottenere un codice segreto (One Time Password, OTP) da inviare a un servizio informatico per l’autenticazione.

Esistono diversi tipi di dispositivi fisici, come i generatori di numeri o le calcolatrici, che permettono di ottenere i codici segreti sincronizzati con i server del servizio informatico.

L’utilizzo di un codice segreto per l’autenticazione ha lo svantaggio che deve essere inviato al server del servizio informatico digitandolo sulla tastiera. Se un attaccante installa un keylogger o un malware sul sistema dell’utente, è in grado di intercettare il codice digitato e usarlo per accedere al servizio in modo fraudolento.

Un caso particolare di questo metodo è la ricezione di codici segreti tramite SMS che, oltre al rischio appena indicato, possono essere intercettati anche a livello di traffico telefonico a causa dei problemi di sicurezza.

Per evitare questo problema sono stati sviluppati dei sistemi che, dopo l’autenticazione a livello locale con l’introduzione di un PIN o di un dato biometrico, trasmettono le credenziali di autenticazione in modo protetto al servizio informatico.

La diffusione sempre più vasta degli smartphone sta riducendo l’inconveniente principale dei sistemi basati su token, cioè la necessità di distribuirli fisicamente e di averli sempre con sé. Con l’utilizzo di app proprietarie su smartphone è possibile autenticarsi in locale e trasmettere i dati di autenticazione in modo protetto analogamente a quanto fatto con i dispositivi fisici.

Metodi di autenticazione biometrica

L’autenticazione biometrica è una tecnica di riconoscimento comoda ed immediata che utilizza delle caratteristiche biologiche delle persona per la sua autenticazione, quali ad esempio l’impronta digitale, la scansione del volto o dell’iride.

Per contro l’autenticazione biometrica è un sistema ottimo e ampiamente sperimentato per le credenziali memorizzate a livello locale come nel caso degli smartphone. In questo caso, oltre ad essere estremamente pratico da usare è anche molto sicuro per le soluzioni tecniche adottate, che rendono estremamente difficile il furto dei dati biometrici locali anche nel caso in cui un’attaccante entri in possesso dell’apparecchio.

Un limite del sistema è che nel caso di furto delle credenziali biometriche, questo tipo di autenticazione diventa inutilizzabile per l’impossibilità di cambiare i dati biometrici.

Autenticazione a più fattori

Presi singolarmente, i metodi di autenticazione visti finora hanno delle vulnerabilità che possono pregiudicare la corretta gestione della sicurezza. Combinando diversi metodi di autenticazione in modo complementare si riduce il livello di rischio e si aumenta la sicurezza dell’autenticazione.

I fattori caratteristici di ogni metodo di autenticazione possono essere raggruppare nelle seguenti categorie:
1. qualcosa conosciuto dall’utente – ad esempio, una password, una frase d’accesso, una numero personale di identificazione (PIN);
2. qualcosa posseduto dall’utente – ad esempio una smart card, un token di sicurezza, uno smartphone;
3. qualcosa inerente all’utente – una caratteristica biometrica, come la forma del viso, l’impronta digitale o ritmo di battitura dei tasti.

Nell’autenticazione a più fattori l’importante è che uno dei fattori sia la password che l’utente conosce e che permette di esprimere l’intenzionalità di un’azione e di prendere una decisione in base alla sua volontà senza che possa essere forzato da terzi.

Questo fattore per praticità viene normalmente trasmesso sul canale principale dove si sta svolgendo la comunicazione.

Un secondo fattore può essere qualcosa posseduto dall’utente o una sua caratteristica biometrica come un codice ottenuto tramite un token di sicurezza o un’impronta digitale ripresa tramite smartphone.

Il secondo fattore dovrebbe essere sempre trasmesso su un canale alternativo per evitare che possa essere catturato e utilizzato insieme al primo fattore. Spesso il secondo fattore viene ricevuto su un canale alternativo (ad esempio un codice inviato tramite SMS) ma poi viene rinviato sul canale principale con tutti i rischi di furto descritti in precedenza.

Conclusioni

Non esistono soluzioni tecnologiche di autenticazione che possono sostituire completamente la password; esse piuttosto possono servire come mezzo complementare per renderla più affidabile nel processo di autenticazione. Se esaminiamo ad esempio l’autenticazione biometrica possiamo constatare che oggi è utilizzata correntemente sugli smartphone ma abbiamo sempre una password che ci protegge rispetto ad un uso improprio del metodo di autenticazione. Se non esistesse la password sarebbe impossibile fare il reset dei dati biometrici per bloccare l’apparecchio.

La password può essere accettata immediatamente da chiunque perché, rispetto a soluzioni tecnologicamente più sicure, è più semplice da capire nel suo funzionamento ed estremamente intuitiva nel suo utilizzo. Questo conferma che la problematica dell’autenticazione non può essere affrontata esclusivamente con un approccio tecnologico ma deve tener conto anche degli aspetti cognitivi e di usabilità. L’autenticazione è un argomento in cui è fondamentalmente la facilità di utilizzo e la conferma viene dal cattivo uso delle password: si usano password semplici, ovvie e banali perché sono le più facili da usare.

Con nuove regole sulla sua gestione e con l’uso dei password manager, per gestire il sempre maggior numero di password, il problema della difficoltà di utilizzo della password potrebbe ridimensionarsi.

 

Fonte: CyberSecurity360