Articoli

Cancellazione e distruzione sicura dei dati

Vademecum per capire come procedere alla cancellazione e distruzione sicura e in modo adeguato dei dati, alla luce del GDPR che contempla questa possibilità sia per le richieste degli interessati sia per la “scadenza” dei termini di conservazione dei dati stessi

Non si può spaccare il computer. La cancellazione e la distruzione sicura dei dati vanno approcciate con le giuste tecniche, per garantire la compliance alle regole e fare in modo che risulti efficace. Importante, quindi, dotarsi degli strumenti giusti, oltre a organizzare un sistema di governance adeguato.

Normativa di riferimento

Innanzitutto, va sottolineato che il problema della cancellazione e distruzione sicura dei dati riguarda diversi ambiti disciplinari in rapporto alla tipologia di informazione. Questo aspetto è soggetto alla disciplina del GDPR, che all’articolo 17 prevede che l’interessato possa chiedere al titolare del trattamento dati la cancellazione. Di conseguenza, il titolare (salvo particolari casi) deve provvedere a soddisfare tale richiesta.

In primis, è bene ricordare che i dati personali sono soggetti “a scadenza”, infatti, sulla base dell’art. 13, comma 2, lettera a) del Regolamento UE 2016/67, ogni titolare deve indicare un periodo di conservazione degli stessi indicandolo nell’informativa che deve rendere nota agli interessati prima di iniziare il trattamento.

Doveroso citare anche il principio di minimizzazione, in base al quale ogni titolare è tenuto a trattare solamente i dati di cui ha bisogno in maniera limitata (oltre che adeguata e pertinente), vale a dire, solamente per soddisfare la finalità del trattamento previsto.

L’ambito sicurezza

Il problema della cancellazione è altresì strettamente connesso, in un più ampio spettro alla sicurezza delle informazioni, si pensi per esempio alle tempistiche di conservazione e di cancellazione, ai tempi di disponibilità di dati in backup.

Intervengono, infine, anche considerazioni che riguardano la cybersecurity. Un dato, non solo personale, è comunque prezioso per i malintenzionati che intendono sfruttarne la potenzialità per carpire informazioni riguardanti l’azienda: credenziali di accesso ma non solo: anche segreti industriali e tutte quelle informazioni che potrebbero facilitarli nell’ingresso indebito ad altre organizzazioni collegate o concatenate al contesto aziendale facendo dei lateral movement allargati estesi oltre i perimetri dell’organizzazione.

La necessità di una governance centralizzata

Generalmente le organizzazioni hanno mediamente, al loro interno, due diversi ambienti per la raccolta e conservazione dei dati: uno pubblico (intranet, e documenti in condivisione su cartelle pubbliche) e uno privato dove il singolo dipendente può allocare, parcheggiare o conservare i dati. Così anche per gli account aziendali tuttavia, mentre su account di gruppo l’azienda ha un certo controllo, nulla può (o quasi) quando i dati sono aggregati e conservati in un account personale o spazio privato di un dipendente.

Il controllo centralizzato dei dati risulta quindi fondamentale. In quest’ottica, il settore IT dovrebbe regolarmente monitorare quei file o cartelle allocate in spazi comuni che non vengono movimentati da anni e invitare i gestori al loro esame e successiva eventuale cancellazione come pure favorire la cultura della minimizzazione del dato attraverso una formazione allargata a tutti i collaboratori.

In assenza di un’orchestrazione di processi e procedure e in assenza di policy adeguate le informazioni che può generare un utente aziendale potrebbero “proliferare” in tempi brevissimi: si pensi al dipendente che potrebbe salvare un dato su una cartella personale, su un supporto esterno, inviarlo a terze parti o conservarlo in forma di allegato nel proprio account di posta personale.

Il risultato è che il dato considerato “cancellato” di fatto viene solo parzialmente eliminato in assenza di un monitoraggio nelle varie diramazioni e percorsi che ha intrapreso nel suo ciclo di vita.
Ad accentuare il problema della governance dei dati vi è l’ambiente cloud considerando anche che spesso l’azienda non detiene un controllo diretto, ma si avvale di spazi di terze parti, è infatti possibile il caso in cui, anche una volta distrutto dall’ambiente cloud, il dato continua a permanere, magari su copie di backup di cui l’azienda non ha chiara visione e consapevolezza.

Il problema della cancellazione/distruzione del dato è stato accentuato ed aggravato nella fase di lockdown e, in alcuni contesti, ancor ora, con il lavoro in modalità smart working in quanto i dati sono sostati sui PC e device dei dipendenti. Molte le aziende che, a causa della Covid-19 hanno permesso ai loro dipendenti di utilizzare i propri dispositivi personali, spesso privi di funzionalità crittografiche o di software aggiuntivi in grado di garantire sia la memorizzazione sicura sia la successiva cancellazione. Il titolare detiene comunque la responsabilità dai dati trattati che non devono essere acquisiti da malintenzionati o comunque da estranei.

Le tecniche per la cancellazione efficace

Nella mentalità comune dell’utente medio e in assenza di una cyber cultura, i dati, una volta svuotato il cestino, vengono considerati cancellati in maniera indelebile: niente di più errato, a volte possono essere ripristinati, in alcuni casi, persino dopo una formattazione. Se le parti dell’hard disk non sono state sovrascritte, rimangono presenti nei device lasciando tracce.

Non è infrequente il caso in cui anche il settore IT non presti la dovuta attenzione quando assegna un device aziendale ad altro utente o quando sostituisce un drive non più funzionante. Per cancellare completamente un dato occorre agire anche sulle memorie, in particolare, sulla memoria ROM implementando ad una sovrascrittura per evitare che i dati cancellati che finiscono in un’area di memoria non più visibile all’utente possano essere ripristinati. Esistono numerose tecniche di cancellazione sicura.

Per i supporti CD e DVD, nella maggior parte dei casi, a livello tecnico basta una distruzione fisica tramite distruggi documenti simili a quelli idonei a distruggere i documenti cartacei.

Per quanto riguarda i device, esistono numerosi software di cifratura automatica che intervengono su volumi o partizioni o file system con successiva possibilità di cancellazione sicura. Sono numerosi i software di data shredding attualmente in commercio.

Alcuni eseguono il disk cleaner: tramite sanificazione dell’hard disk sono in grado di liberare i settori del drive che contengono ancora quei dati invisibile ma ancora presenti. Vi sono poi i software di file shredding in grado di riscrivere sulla posizione di memoria precedentemente utilizzata da file esistenti, dei byte random. Maggiori saranno i passaggi di sovrascrittura, minori le possibilità che i dati possano essere ripristinati.

Conclusione

In conclusione, dopo aver toccato alcune tematiche in merito alla distruzione/cancellazione ed aver fatto cenno all’e-waste dei dispositivi elettrici/elettronici riporto il focus sulla questione a mio parere, più importante: la centralità dell’organizzazione aziendale. Senza una struttura organizzativa adeguata a poco serviranno i software e le procedure di cancellazione/rimozione se non si sa esattamente dove sono allocati i dati.

Ogni organizzazione dovrà dedicare risorse sempre maggiori, all’inevitabile aumentare della mole dei dati di ogni azienda digitale, dedicate alla loro gestione e al loro stoccaggio. Essenziale è avere delle policy, processi e procedure chiaramente definiti che permettano di avere una roadmap dei dati: solo così le aziende potranno gestire l’articolata e complessa filiera della gestione delle informazioni.

La cultura in tema data protection, che non deve tralasciare neppure la gestione dei documenti cartacei la cui distruzione risulta meno critica, ma soprattutto, dev’essere sempre più integrata nei comportamenti individuali e nelle prassi di gestione del dato.

Solamente un mix di sistemi sociali e sistemi tecnici, in accordo con le normative in materia, consentirà la progettazione e l’ottimizzazione congiunta della gestione del ciclo di vita dei dati. In assenza di questa “armonizzazione congiunta” trattare i dati significa immettere un’informazione in un labirinto dove sarà difficile, a volte impossibile, capirne il percorso e effettuare un trattamento logico.

 

Fonte: CyberSecurity360

Il trattamento dei dati e il rispetto della privacy ai tempi del Coronavirus

Il lungo lockdown ha messo in difficoltà tantissime imprese, le quali trovano adesso a ripartire in uno scenario decisamente differente. L’obiettivo è quello di far ripartire l’economia, e allo stesso tempo continuare a contenere il contagio da Covid-19.

Per questo motivo le imprese sono tenute a mantenere per quanto possibile il distanziamento sociale, ad aumentare al massimo le misure per la sanificazione degli ambienti, nonché a controllare i propri dipendenti, fornitori e clienti.

Proprio la necessità di andare a trattare un’ampia mole di dati riservati che in precedenza non venivano gestiti dalle imprese, rimette la privacy al centro dell’attenzione in questa ripartenza: durante la Fase due, infatti, il tema del trattamento dei dati sta tornando decisamente centrale, e le aziende sono chiamate ad adottare i giusti strumenti per la gestione della privacy, nel pieno rispetto delle normative vigenti.

Privacy e Coronavirus: i nuovi aspetti per le aziende

Il rispetto della privacy, per via dell’entrata in vigore del GDPR, ovvero del Regolamento europeo in materia di trattamento dei dati personali e di privacy, è stato uno tra i temi centrali negli ultimi anni, viste soprattutto le sanzioni previste per le aziende che non si adeguano alla normativa (va ricordato infatti che si parla di sanzioni che possono arrivare fino al 4% del fatturato).

Nemmeno il Coronavirus manda in quarantena la privacy, anzi: la corretta gestione dei dati sensibili diventa ancora più importante durante l’emergenza Covid-19, poiché cresce il numero di informazioni personali che l’azienda è chiamata esaminare e conservare. Da una parte ci sono infatti tutti i dati personali relativi al lavoro agile, metodo di lavoro adottato in massa dalle imprese italiane a partire dal lockdown; dall’altra ci sono tutti i dati personali relativi al contenimento diretto del virus, dalla misurazione della temperatura dei dipendenti all’accesso in poi.

Va sottolineato che la raccolta di informazioni sullo stato di salute e sui movimenti dei dipendenti, dei fornitori e degli eventuali visitatori è di fatto classificata come trattamento di dati personali, e come tale deve essere svolta seguendo il Regolamento UE 2016/79 e le altre normative in materia di protezione dei dati personali.

Tutti i dati raccolti durante la gestione della sicurezza, dalle rilevazioni della temperatura alle eventuali comunicazioni di situazioni di pericolo da parte dei dipendenti (che dovrebbero essere effettuate attraverso canali di comunicazione appositamente istituiti dall’azienda), devono essere conservati solo per il tempo necessario, e quindi cancellati nel momento in cui non più utili per la gestione dell’emergenza sanitaria.

Privacy e Covid-19: il trattamento dei dati sanitari dei dipendenti

Vale la pena concentrarsi velocemente sui dati che più degli altri risultano “nuovi” per l’azienda, ovvero quello relativi alle condizioni di salute dei propri dipendenti al momento dell’accesso in sede.

Nell’attuamento dei protocolli sanitari, infatti, le aziende possono non solo chiedere informazioni ai dipendenti circa i loro spostamenti e il loro stato di salute, ma possono fare di più, ovvero rilevare la loro temperature corporea per ridurre al minimo le possibilità di permettere l’accesso a persone contagiate.

Questa possibilità si estende, oltre che ai dipendenti, anche a eventuali fornitori. Per fare tutto questo è necessario porre in essere delle precise attività di protezione dei dati seguendo il GDPR, rispettando quindi i principi di necessità, adeguatezza e pertinenza e minimizzazione dei dati, con la creazione di un’informativa specifica e con l’individuazione del personale autorizzato.

Sia la raccolta che il trattamento dei dati dovranno essere effettuati garantendo in ogni passo dignità e riservatezza ai soggetti coinvolti. E questi, va detto, sono solamente i principali aspetti da prendere in considerazione nell’applicare il GDPR all’emergenza Covid-19.

Il trattamento dei dati relativi allo smart working da una parte e la gestione della privacy in un contesto peculiare come quello del contenimento del Coronavirus dall’altra rendono indispensabile per le aziende poter contare su un supporto efficace per adempiere senza rischi al GDPR.

 

Fonte: AziendaDigitale

Lo spam ora ruba allegati per ingannarci meglio

C’è uno dei primissimi casi di botnet che manda mail spam con allegati rubati, per così fingere meglio la propria autenticità e per ingannare le vittime. Obiettivo, fare loro cliccare su un link nel corpo della mail e così fare installare il malware Emotet.

In sostanza “ci troviamo nella casella di posta mail con allegati rubati alle vittime del malware Emotet e che quindi danno al messaggio una maggiore credibilità”, spiega uno dei massimi esperti di computer forensics. “Non è il primo malware a usare questa tecnica, ma è interessante nell’ambito della costruzione di una botnet”, continua.

Emotet ruba allegati

Dal punto di vista tecnico, il “ruba allegati” è un nuovo modulo nel codice di Emotet ed è stato aggiunto il 13 giugno, secondo quanto riporta un ricercatore. In più, in questo periodo le botnet di Emotet sono tornate fortemente in vita e sparano mail anche a destinatari italiani, a quanto riportano diverse fonti.

Il payload

Emotet si conferma quindi un malware proteiforme; un framework in espansione che può portare con sé diversi malware. Quando è apparso per la prima volta, nel 2014, si occupava di furto di credenziali bancarie; adesso porta le vittime a scaricare malware tra cui Trickbot (che oltre a rubare dati, con predilezione per quelli bancari, a sua volta ha come payload il ransomware Ryuk) e il trojan QakBot. Emotet si è classificato al primo posto tra le 10 principali varietà di malware in circolazione, secondo la piattaforma Any.Run, negli ultimi sette giorni.

 

Fonte: CyberSecurity360

BadPower, la vulnerabilità nei caricabatteria che può distruggere lo smartphone

Un team di ricerca ha scoperto una vulnerabilità nei caricabatteria che supportano la tecnologia di ricarica rapida, denominandola BadPower: qualora venisse sfruttata con successo, potrebbe consentire ad un malintenzionato di distruggere lo smartphone della vittima designata, con evidenti danni qualora il dispositivo fosse utilizzato in ambito lavorativo e professionale.

La gravità di questa particolare vulnerabilità sta nel fatto che tali dispositivi utilizzati per la ricarica elettrica veloce di smartphone e tablet si stanno diffondendo sempre più negli ultimi anni, tanto che sul mercato si trovano disparati device digitali che trovano largo impiego anche nella ricarica elettrica di dispositivi più grandi come laptop e addirittura batterie auto.

È stato dimostrato come un utente malintenzionato, hackerando questi dispositivi di ricarica, potrebbe creare un sovraccarico di tensione durante la fase di alimentazione e, di conseguenza, causare la rottura dei circuiti interni provocando addirittura una combustione dello stesso dispositivo.

Processo di ricarica rapida e vulnerabilità BadPower

La ricarica rapida è un tipo di tecnologia di ricarica eseguita tramite interfaccia USB che può essere impiegata anche su dispositivi di vecchia generazione.

A differenza dei classici caricabatteria che possono emettere solo una determinata quantità di energia predeterminata e fissa, impiegando un certo tempo più o meno lungo per completare il processo di ricarica, la nuova tecnologia di ricarica rapida riesce a eseguire una carica completa solo in poche decine di minuti adattando, inoltre, la quantità di tensione da erogare in base ai dati di targa dell’apparecchio da mettere sotto carica.

Nella fattispecie, dopo aver collegato il cavo del caricabatteria al dispositivo da alimentare, l’operazione di ricarica rapida ha inizio solo dopo una fase di negoziazione che stabilisce i valori di corrente e di tensione da impostare per un corretto processo di ricarica.
I processi di negoziazione e di alimentazione vengono svolti grazie ad algoritmi implementati e memorizzati nei firmware dei chip di gestione integrati su questi caricabatteria.

È proprio in tali firmware, l’anello debole potenzialmente sfruttabile dagli attaccanti, che risiede la vulnerabilità BadPower. Risulta infatti possibile, in mancanza di un adeguato processo di verifica, crackare il firmware, in modo malevolo, modificando tutto il processo di negoziazione e di ricarica rapida per controllare il comportamento di alimentazione di un dispositivo target, sfruttando il canale dati previsto dall’architettura stessa.

Anatomia di un attacco BadPower

Riscrivendo il codice che controlla il comportamento dell’alimentazione, i ricercatori hanno dimostrato di esser riusciti, indipendentemente da quanto stabilito durante la fase di negoziazione, a forzare il dispositivo di ricarica rapida compromesso a emettere in uscita sempre una tensione di 20 Volt erogando una potenza massima di 100 Watt e generando sul device in ricarica un sovraccarico tale da innescare un elevato surriscaldamento, con tutte le conseguenze del caso.

Poiché il codice “BadPower” può essere iniettato sul caricabatteria a carica veloce sia attraverso dell’hardware dedicato sia tramite uno smartphone o un tablet preventivamente compromesso, mettendo così a rischio tutti i dispositivi connessi successivamente, i ricercatori hanno schematizzato due scenari di attacco tipo.

Il primo scenario di attacco viene avviato tramite hardware dedicato:
• l’attaccante utilizza un dispositivo ad hoc, camuffato da telefono cellulare, per connettersi alla porta di ricarica del caricabatteria e alterare il relativo firmware;
• quando il caricabatteria compromesso viene adoperato per caricare altri dispositivi, innescherà un sovraccarico distruttivo sul dispositivo alimentato.

Il secondo scenario di attacco, invece, può essere condotto tramite un normale terminale:
• l’attaccante compromette, tramite iniezione del codice malevolo, un cellulare, un notebook o altri dispositivi terminali di un utente rendendo lo stesso dispositivo un vettore di attacco;
• quando l’utente collega il dispositivo terminale compromesso al caricabatteria, il codice “BadPower” provvede a riscrivere il firmware interno del caricabatteria, trasformando il caricabatteria in una ulteriore fonte di attacco.

I risultati dei test eseguiti

Durante la propria ricerca, il team ha rilevato che sul mercato si possono trovare almeno 234 dispositivi di ricarica rapida. Testandone effettivamente 35, ha inoltre scoperto che 18 di questi sono risultati vulnerabili all’attacco BadPower, coinvolgendo esattamente 8 diversi brand.

Allo stesso tempo, i ricercatori hanno anche verificato che non tutti i produttori dei chip che vengono impiegati su tali caricabatteria consentono un aggiornamento ex novo del firmware a prodotto finito, rendendo, di fatto, la vulnerabilità BadPower irreversibile per questi prodotti.

Considerazioni finali

Poiché il prezzo di mercato dei prodotti per la ricarica rapida è abbastanza economico e la relativa domanda è in costante crescita, il numero di utenti potenzialmente interessati dal problema BadPower non è affatto trascurabile. Occorre, pertanto, trovare una soluzione quanto prima.

Poiché l’aggiornamento verso nuove release dei firmware come opzione risolutiva non è in generale praticabile per tutti i prodotti attualmente in commercio, il team di ricerca ritiene che per il futuro:

• i produttori di dispostivi di ricarica rapida, prevedano una rigorosa routine di verifica e severi controlli di sicurezza prima di adottare un firmware, anche per prevenire ulteriori vulnerabilità software;
• i produttori di apparecchiature di ricezione a carica non rapida alimentate via USB prevedano l’implementazione di circuiti di protezione da sovratensione adeguatamente dimensionati;
• i produttori di apparecchiature di ricezione a carica rapida prevedano sempre un controllo di tensione e corrente in ingresso anche dopo la negoziazione di alimentazione.

 

Fonte: CyberSecurity360

Guerra ibrida e app spia: il ritorno di Pegasus e l’uso degli spyware nel cyberspionaggio

Si torna a parlare di Pegasus, l’app spia che può consentire ad un attaccante di compromettere i dispositivi mobile sfruttando una vulnerabilità zero-day presente in WhatsApp: a quanto pare, infatti, tra aprile e maggio del 2019 il Presidente del Parlamento catalano, Roger Torrent, ha subìto un attacco a causa di una falla nella sicurezza di WhatsApp creata da una società israeliana creatrice, appunto, del famigerato malware di spionaggio.

Amnesty International ha avviato una causa legale contro la piattaforma social tra le più usate al mondo per altri numerosi attacchi contro attivisti, politici e giornalisti. In questo caso il ricorso è stato respinto dal tribunale di Tel Aviv, nonostante secondo il gruppo di ricerca canadese Citizen Lab e testate giornalistiche come The Guardian, El País e il Washington Post, Pegasus sia stato usato nel settembre 2019 per entrare nel telefono di Omar Radi, giornalista investigativo marocchino, in quello di Bezos, di Jamal Khashoggi, Omar Abdulaziz e molti altri, tra cui un giornalista del New York Times, Ben Hubbard, e Osama Bin Laden.

Nuovi scenari

Tutti questi avvenimenti confermano che la maggior parte degli attacchi, oggi, si concentra sulla necessaria connessione degli oggetti con l’uomo e sui servizi che i device mobile di fatto ci “invitano” ad utilizzare. D’altronde, siamo nel pieno dell’epoca della IoT o meglio della Internet del Tutto. Ormai, come più volte detto, questa situazione è definita dai più guerra ibrida o ancora guerra informatica aperta.

Oggi non si rende necessario un attacco di tipo fisico per generare danni, ma sono possibili anche quelli informatici su PC, dispositivi e, in generale, sulle infrastrutture critiche. Questo perché, toccando anche un solo servizio da remoto, si ha il cosiddetto effetto a cascata che, nella maggior parte dei casi, ha lo scopo da una parte di creare disagi e mettere in ginocchio interi Paesi, dall’altra di fare attività di spionaggio, carpendo segreti e relazioni per anticipare le mosse o per diffamare taluni personaggi o Nazioni intere.

In tal senso la vera novità è che, attraverso i device, si possono fare indagini giudiziarie e ricostruire movimenti dei malintenzionati.

Queste grandi opportunità si stanno spostando sui dispositivi anche in termini negativi. Le app e i servizi di messaggistica, pur avendo paradossalmente la tanto decantata crittografia end-to-end, risultano essere i più prossimi ad essere “bucati” e spiati. Anche qui con attacchi asimmetrici: ovvero, basandosi sull’etimologia stessa della parola (a-syn-métron), “incommensurabile”, “non reciprocamente misurabile”.

Un mix di strategie e strumenti che punta alla debolezza della società e delle persone da attaccare. Lo sviluppo di nuovi software collima, senza precedenti, con l’analisi dei dati e la capacità di mappare, controllare e spiare le conversazioni. Qui, oggi, la faccenda torna prepotentemente in casi reali e sociali e si fa più delicata e chirurgica.

Pegasus: come funziona lo spyware e come avviene l’attacco?

Come si evince dalle notizie che si rincorrono in questo periodo, al di là della natura geopolitica e di riflessione più ampia dello spionaggio dei servizi segreti, la diversa natura degli attori si mescola con più mezzi impiegati, costruendo un puzzle e dei target precisi da attaccare.

Questi strumenti sembrano nascere per l’antiterrorismo e per capire come prevenire eventi di natura malevola. Ma, nel caso di Pegasus, la labile differenza tra legittimità o meno di capire le mosse di chi potrebbe fare delle azioni negative e lo spionaggio vero e proprio (per anticipare le mosse di qualsiasi avversario) o la violenza e prevaricazione della privacy, è davvero minima.

L’attività di spionaggio a fini benevoli, in realtà, non è stata mai contraddetta dalla NSO israeliana. Questi ultimi hanno sempre sostenuto che il software spia è nato per le agenzie governative e le forze dell’ordine per gestire e garantire la pubblica sicurezza e la lotta al terrorismo. Ma dopo questo scandalo qualcosa ci fa pensare che non sia così.

L’attacco viene avviato mediante un’esca. Ovvero l’intrusione, nel caso degli smartphone, avviene tramite una videochiamata (prevalentemente su WhatsApp) in cui non serve che la vittima risponda. Lo spyware entra in azione e, attraverso la finta chiamata, come detto, sfruttando tecniche di phishing, di social engineering e la navigazione Web, riesce ad “entrare” nel dispositivo e può attivare l’ascolto delle conversazioni, vedere i contenuti archiviati nella memoria interna, scattare foto e altro. Lo scopo dello spyware è spiare i movimenti della vittima, fino all’uso “discreto” del microfono per una sua costante geolocalizzazione.

Questa attività si unisce con un’attività molto più sofisticata: la cosiddetta spia silente. Ovvero, mentre stiamo navigando su un qualsiasi sito dal browser o da motori di ricerca, prevalentemente su siti HTTP, questa spia ha la capacità di reindirizzare la nostra ricerca su siti ulteriori che a loro volta aprono degli indirizzi mirati, a cui si aggancia automaticamente il software: può trattarsi di servizi degli operatori e quindi inviti a scaricare app, suonerie e offerte oppure dell’infrastruttura su cui poggia il device fisico, ossia antenne, ponti e ripetitore di aggancio.

Gli “injection attacks”

Questi attacchi si chiamano injection attacks e, appunto, reindirizzano le preferenze dell’utente ad un proprio database. Attraverso lo StingRay (International Mobile Subscriber Identity), in pochi secondi il telefono aggancia un ripetitore fittizio in cui viene “poggiato” il software spia o un intercettatore ad alto rendimento.

Lo StingRay è un apparato sviluppato già nei primi anni 90 per attività di intelligence. L’FBI ne fa un uso costante per la prevenzione del crimine a livello internazionale. L’apparecchio, quindi, consente di captare e rubare il traffico dei device abbinando i dati delle conversazioni con quelli degli spostamenti. Non a caso molti esperti sostengono che siano presenti in aerei militari USA.

Tale apparato fa da antenna tra il cellulare della vittima e i ripetitori delle compagnie telefoniche, interrompe il traffico per pochi secondi per installare il software e da qui può risalire anche all’IMEI, International Mobile Equipment Identity.

Facendo ciò, oltre che ascoltare e leggere tutti i tipi di comunicazione, il dispositivo fa anche da “router”. Ovvero riesce a “sniffare” per un certo numero di metri e chilometri altri device che, anche se non connessi direttamente con quello della persona presa in considerazione, vengono intercettati, con conseguente acquisizione di dati.

Il software interno utilizzato per l’operazione è FishHawk e permette anche di far funzionare l’apparato come “jammer”, ovvero un disturbatore che può “copiare”, “distruggere” e “sopprimere” le comunicazione tra i ripetitori e i device collegati.

Conclusioni

La partita si svolge sempre più verso lo studio delle reti. Ovvero di intrusione che sfrutta vulnerabilità sconosciute (zero-day) e, senza che ci sia un reale intervento dell’utente, viene iniettato uno spyware sui telefoni Android e iOS di alcuni target.

In questo caso, il ruolo delle intelligence internazionali si sta modificando ulteriormente: sta diventando, oltre che una fucina per attivare una serie di controlli per evitare attacchi, anche un monitoraggio incrociato sui propri software e sui fornitori di questi servizi perché questi stessi software in un attimo possono diventare, se non utilizzati in maniera consona, boomerang sulle vite delle persone.

 

Fonte: CyberSecurity360

Attacco hacker all’ENAC, la lezione da imparare per tutte le aziende

Deve fare riflettere tutte le aziende l’attacco cyber ora subito dall’ENAC (l’Ente Nazionale per l’Aviazione Civile): questo tipo di minaccia è sempre più frequente e in grado di fare danni con grande rapidità.

Ciò che sappiamo è che dallo scorso 10 luglio il sito web dell’ENAC è irraggiungibile a causa di un attacco hacker ai sistemi informatici che non è stato ancora rivendicato. Risulterebbe inoltre bloccato il sistema di posta elettronica interno e sarebbero stati danneggiati alcuni archivi digitali.

Gli esperti di sicurezza dell’Ente sono già al lavoro per ripristinare al più presto la piena funzionalità dei sistemi. In una nota ufficiale, l’ENAC precisa che “sulla base di quanto emerso nel corso delle attività di ripristino avviate nell’immediato, non sono stati sottratti dati. I dati contenuti nel sistemi informatici dell’Ente sono, in ogni caso, salvaguardati in un sistema di backup”, puntualizzando di aver “tempestivamente messo in atto tutti gli interventi tecnici necessari a ripristinare, nel minor tempo possibile, la piena operatività dei sistemi e delle infrastrutture informatiche dell’ente”.

Nel frattempo, su quanto accaduto, è stata già presentata una denuncia alla Procura della Repubblica e al Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche in quanto l’ENAC, controllato dal ministero delle Infrastrutture e dei Trasporti, è considerato proprio un’infrastruttura critica del Paese.

I dettagli dell’attacco hacker

Da quanto trapelato finora, e leggendo tra le righe del comunicato ufficiale diramato a mezzo stampa, a colpire i sistemi informatici dell’ENAC sarebbe stato un ransomware di cui però non si hanno finora ulteriori dettagli ma che, probabilmente, non avrebbe creato danni irreparabili proprio grazie ai backup di dati configurato dal reparto IT dell’ente.

Il ransomware rappresenta oggi una minaccia ben nota, che si infiltra silenziosamente nelle aziende per poi bloccare i file in modo incredibilmente rapido. Nel 2017 il ransomware WannaCry ha spianato la strada agli aggressori che hanno scagliato attacchi così rapidi da non lasciare ai team di sicurezza nemmeno il tempo di reagire. È quello che pare sia successo anche ad ENAC: un attacco diffuso a una velocità straordinaria.

Si tratta dunque di un attacco che potrebbe avere risvolti importanti anche perché alcune delle comunicazioni gestite dall’ENAC sono classificate come segreti della Nato, l’Alleanza atlantica.
L’Ente, comunque, non conserva dati personali dei passeggeri che utilizzano il trasporto aereo, ma solo dati di traffico complessivi, relativi al numero dei passeggeri che transitano negli aeroporti nazionali. Nella nota rilasciata alla stampa si evidenzia, inoltre, “che il sistema di gestione della documentazione classificata NatoUEO gira su un sistema separato che non è in rete e non è stato oggetto di attacco. Non ci sono conseguenze nemmeno per l’operatività degli aeroporti che l’Ente ha in gestione diretta”.

“L’ENAC, in contatto con le autorità di riferimento per gli attacchi di pirateria informatica, sta continuando le azioni di ripristino per garantire al più presto la ripresa dello svolgimento del servizio pubblico reso attraverso le attività proprie dell’Ente e dei suoi dipendenti”, conclude la nota.

Quale lezione per tutte le aziende?

L’attacco hacker subito in queste ore dall’ENAC è l’occasione per fare il punto sui sistemi di protezione delle infrastrutture critiche del nostro Paese.

Nicola Vanin, Data Governance & Information Security Senior Manager, fa infatti notare che “l’aviazione è un’azienda che si basa essenzialmente su un’immensa infrastruttura IT che richiede competenze specialistiche per funzionare in modo efficace. Questo perché, oltre a utilizzare l’IT tradizionale, gli aeroporti in genere funzionano con la tecnologia operativa SCADA (Supervisory Control and Data Acquisition) per supportare i servizi chiave come l’illuminazione delle piste e le utility”.

Secondo l’analista, “tutto deve essere fatto per limitare la minaccia e rendere il più difficile possibile per gli aggressori la violazione dei sistemi di sicurezza dell’organizzazione. Non è possibile raggiungere questo obiettivo senza investire in team IT e in team OT che lavorano insieme sulla sicurezza informatica”.

Sarebbe un errore sottovalutare il potenziale impatto di questo attacco, continua ancora Mariana Pereira di Darktrace: “l’impossibilità di accedere ai dati di chi ha preso un volo aereo da o verso il Paese è grave, perché potrebbe ripercuotersi negativamente su importanti indagini di polizia e sulla protezione della salute, proprio nel momento in cui le principali compagnie di volo e l’industria del turismo stessa sta riprendendo le attività”.

Sempre più spesso i team di sicurezza vengono battuti sul tempo da attacchi automatizzati come questo, ed è per questo motivo che si rivolgono all’Intelligenza Artificiale per rispondere istantaneamente quando vengono colpiti.

“I nostri clienti che operano nel settore delle infrastrutture critiche di tutto il mondo vengono regolarmente allertati dai propri Governi su come questa tipologia di attacco sia sempre più utilizzata dagli aggressori, siano essi cybercriminali alla ricerca di un riscatto, Nation-state hackers o aspiranti hacktivisti, tutti molto consapevoli delle conseguenze enormi che possono scatenare”, spiega la Pereira.

“Nelle ultime settimane l’ENAC ha elaborato norme e regolamenti per la riapertura dei viaggi sicuri da e per l’Italia. I cybercriminali alla ricerca di facili guadagni sono coscienti del fatto che enti di questo tipo non possono permettersi l’inattività dei sistemi in un momento come questo. La sicurezza cyber non è un problema risolvibile, oggi però disponiamo di tecnologie all’avanguardia che consentono alle organizzazioni di non dover per forza fermare i sistemi quando, vittime di un attacco come questo, viene richiesto loro un riscatto”, conclude l’esperta.

 

Fonte: CyberSecurity360

Il malware Joker bypassa i controlli del Google Play Store per spiare e frodare le vittime

I criminal hacker sono riusciti di nuovo ad eludere i sistemi di sicurezza del Google Play Store e a diffondere una nuova variante del famigerato malware Joker (noto anche con il nome di Bread), utilizzato per commettere frodi informatiche ai danni delle ignare vittime.

Identificato per la prima volta nel 2017, Joker è un famigerato spyware con funzionalità di dialer che può accedere alle notifiche che arrivano sullo smartphone della vittima ed è in grado anche di leggere e inviare messaggi SMS in modo autonomo.

Secondo i ricercatori di Check Point Software Technologies che hanno individuato la nuova variante del malware, queste capacità vengono utilizzate da Joker per far attivare abbonamenti a servizi premium all’insaputa delle vittime.

La gravità della minaccia è confermata da Google stessa, che l’ha classificata come una delle più persistenti degli ultimi anni. Il malware, infatti, è in grado di sfruttare tecniche di cloaking (cioè tecniche di occultamento e offuscamento che usano particolari script per camuffare il reale contenuto di un sito Internet o, come nel caso del malware Joker, di un’app), per nascondersi nel tentativo di passare inosservato.

I dettagli tecnici della nuova variante di Joker

In particolare, per mascherare la vera natura del malware Joker, gli autori della minaccia informatica hanno fatto ricorso a una varietà di metodi: dalla crittografia usata per nascondere le stringhe malevoli ai motori di analisi, alle recensioni fasulle sul Play Store per attirare gli utenti a scaricare le app malevoli usate per diffondere il malware.

Nelle varianti più recenti di Joker, inoltre, i criminal hacker hanno sfruttato anche la tecnica cosiddetta del versioning che consiste nel caricare sul Play Store una versione “pulita” dell’app malevola per creare fiducia tra gli utenti e poi aggiungere furtivamente codice dannoso in una fase successiva tramite gli aggiornamenti dell’app stessa.

In quest’ultima variante, il malware Joker è in grado di nascondere codice dannoso all’interno del file AndroidManifest che accompagna tutte le app per il sistema operativo mobile di Google e che viene archiviato all’interno della directory principale di installazione.

Questo file fornisce al sistema Android informazioni essenziali sull’app, come nome, icona e permessi, che il sistema deve ricevere prima di poter eseguire qualsiasi codice. In questo modo, il malware non aveva bisogno di accedere a un server di controllo e comando (C&C) per ricevere ulteriori istruzioni e per scaricare il payload necessario ad eseguire l’azione dannosa vera e propria.

I ricercatori Check Point hanno quindi individuato tre fasi operative nella catena infettiva del malware Joker:
1. creare prima il payload: Joker costruisce il suo payload in anticipo, inserendolo nel file “Android Manifest”;
2. saltare il caricamento del payload: durante il tempo di valutazione, Joker non tenta nemmeno di caricare il payload dannoso, il che rende molto più facile bypassare le protezioni di Google Play Store;
3. diffondere il malware: dopo il periodo di valutazione e dopo l’approvazione dell’app, la campagna malevola inizia a funzionare e il payload viene caricato sul dispositivo dell’ignara vittima.

Si tratta di una procedura semplice quanto sofisticata che evidenzia come i criminal hacker siano riusciti ad adattare il malware Joker per consentirgli di bypassare i controlli di sicurezza del Play Store che Google ha aggiornato nel tempo.

È quanto ci conferma anche Pierluigi Torriani, Security Engineering Manager, Italy di Check Point, che afferma: “abbiamo trovato Joker nascosto nel file “informazioni essenziali” che ogni applicazione Android deve avere. Le nostre ultime scoperte indicano che le protezioni di Google Play Store non sono sufficienti. Siamo stati in grado di rilevare numerosi casi di upload di Joker su Google Play su base settimanale, tutti scaricati da utenti ignari”.

“Il malware Joker”, continua l’analista, “è difficile da rilevare, nonostante l’investimento di Google nell’aggiunta di protezioni dedicate al Play Store. Sebbene Google abbia rimosso le app dannose, possiamo aspettarci che Joker si adegui nuovamente. Tutti dovrebbero prendersi il tempo necessario per capire cos’è Joker e come può colpire la gente comune”.

Come difendersi da questa nuova minaccia

I ricercatori di sicurezza hanno ovviamente divulgato le scoperte in modo responsabile a Google, tanto che tutte le applicazioni malevoli segnalate (11 app, per l’esattezza) sono state rimosse dal Play Store lo scorso 30 aprile.

È molto probabile, però, che Joker torni nuovamente a colpire per cui è importante proteggersi adottando una soluzione di sicurezza per dispositivi mobile e seguendo alcune semplici regole di sicurezza informatica. In particolare, se sospettiamo di avere un’app infetta sul nostro dispositivo, dobbiamo: disinstallare immediatamente l’app presumibilmente infetta; controllare le fatture di smartphone e carta di credito per vedere se siamo stati registrati a eventuali abbonamenti e, se possibile, revocarli.

 

Fonte: CyberSecurity360

Reati informatici, incremento del 12,5% durante il lockdown

Sono 645.203 i reati commessi nel periodo gennaio-maggio 2020 contro i 953.002 dell’analogo periodo 2019, con una flessione quindi del 32,3%. È quanto risulta dal Report della direzione centrale della Polizia criminale.

Si riducono, in particolar modo, i furti (- 43,8%) e le rapine (- 34,6%). In controtendenza i reati informatici che passano dai 6.475 commessi nel 2019 ai 7.283 nel 2020 (+12,5%). Le truffe e le frodi informatiche fanno registrare, invece, una flessione del 14,3%, comunque minore rispetto a quella registrata dagli altri reati.

Il numero dei reati commessi ha fatto registrare una riduzione del 54,3 % nel periodo marzo-aprile 2020 in cui sono state applicate le misure di lockdown.

Come prevedibile, con la fase 2 e la ripresa graduale delle attività economiche e sociali, il trend dei reati ha fatto registrare una ripresa nel mese di maggio, anche se rispetto allo stesso mese del 2019 vi è stata una flessione del 36,4% (61.585 a maggio 2019 a fronte dei 39.150 di quest’anno).

Sensibile calo delle rapine nei primi 5 mesi del 2020: 6.800 rispetto alle 10.403 dell’analogo periodo dell’anno precedente, con una diminuzione del 34,6%. Nel mese di maggio di quest’anno, si registra un incremento dello stesso reato passando dalle 604 rapine del mese di aprile alle 1.093 di maggio.

Per quanto riguarda, poi, i furti, tra gennaio e maggio 2020 il numero totale è stato pari a 247.265, a fronte dei 440.022 dell’analogo periodo del 2019, con una diminuzione del 43,8%.
In particolare, nei mesi di marzo e aprile 2020, corrispondente al periodo di limitazione degli spostamenti e delle attività, i furti hanno fatto registrare una netta diminuzione rispetto all’anno precedente (da 79.229 a 18.284), per poi evidenziare, nel mese di maggio, un inevitabile incremento a 37.023, con la nuova fase della riapertura.

 

Fonte: BitontoLive

Ripartenza aziende in fase 2: la consulenza del commercialista

Il momento peggiore della crisi sanitaria è indubbiamente passato: ora è tempo di ripartire, cercando di allontanarsi il prima possibile dalla recessione economica conseguente al lungo lockdown e dalle altre indispensabili misure per il contenimento del contagio.

In questo delicato contesto, gran parte delle aziende guarda al presente e al futuro con incertezza, senza sapere quanti dei propri clienti resteranno tali, quanti di loro continueranno a pagare con regolarità e quali saranno i concreti aiuti da parte dello Stato. A dover supportare gli imprenditori in questo passaggio rischioso sono ovviamente i commercialisti e i consulenti fiscali, i quali, proprio in questo frangente, assumono un ruolo di particolare rilevanza nei confronti dei propri clienti. Gli studi professionali rappresentano infatti un punto di riferimento imprescindibile per un rilancio sicuro e rapido delle imprese.

I professionisti non possono che muoversi di conseguenza, approntando tutto il necessario per aiutare le imprese clienti in difficoltà per effetto della pandemia Covid-19. Per colmare tutte le eventuali lacune e per dare la possibilità ai professionisti di monitorare in modo sicuro e continuo la situazione finanziaria dei rispettivi clienti, offrendo una consulenza a elevato valore aggiunto, Zucchetti ha sviluppato il servizio cloud Digital CFO, uno strumento per l’orientamento, il controllo e la pianificazione finanziaria.

In che modo il professionista, avvalendosi di Digital CFO, può supportare le aziende clienti per gestire nel modo più efficace possibile la ripartenza? Vediamo nel dettaglio le azioni corrette e le funzionalità del servizio.

1) Limitare le uscite non indispensabili e incassare i crediti

Il primo passaggio consiste nel monitorare con attenzione i flussi di cassa. Per prima cosa, è necessario supportare le aziende nel distinguere i costi inderogabili e indispensabili da quelli che, invece, possono essere prorogati nel tempo o eventualmente rivisti e diminuiti. Si procederà così con la rimodulazione dei pagamenti ai fornitori, con il ricorso ad ammortizzatori sociali per ridurre il costo rappresentato dalle retribuzioni, con la richiesta di sospendere i pagamenti rateali, verificando che gli intermediari segnalino correttamente la sospensione.

È poi necessario guardare ai ricavi, a quelli che potranno risultare ritardati o assenti, concentrandosi soprattutto sull’incasso dei crediti esigibili, puntando a evitare per quanto possibile la rilevazione di insoluti nella Centrale Rischi di Banca d’Italia. Va inoltre sottolineato che Digital CFO, grazie al suo strumento di tesoreria, permette di assegnare dei livelli di probabilità ai costi e agli incassi previsti, generando così scenari di riferimento in base ai quali muoversi.

2) Assicurare nuova liquidità

Attraverso la lettura e l’analisi automatica della Centrale Rischi, Digital CFO aiuta il commercialista nell’analisi puntuale della liquidità aziendale. Di fronte a una carenza di mezzi finanziari, che potrebbe tradursi in una crescente difficoltà nel pagare fornitori, dipendenti e imposte, diventa indispensabile ottenere nuova liquidità. Per aiutare i clienti in difficoltà è dunque importante ottenere la valutazione di ammissibilità alla garanzia del Fondo, in linea con quanto riportato nel Decreto Cura Italia, attraverso la funzione “Digital MCC” di Digital CFO, per poi dimostrare la capacità di rimborso da parte dell’azienda presentando i flussi di cassa prospettici.

3) Pianificare i flussi di cassa a 12 mesi

Per prevenire problematiche future, le aziende sono tenute a programmare nel dettaglio quelle che saranno le risorse utili a supportare la ripartenza dell’attività nei mesi futuri. Il “Budget di Tesoreria” di Digital CFO si rivela uno strumento prezioso poiché permette di prevedere in modo semplice e rapido i flussi di cassa in entrata e in uscita per i 12 mesi successivi. In caso di entrate previste insufficienti, Digital CFO presenta le migliori azioni correttive, in modo da evitare segnalazioni a livello della Centrale Rischi.

4) Individuare le aree aziendali con maggiori difficoltà

Per anticipare e contenere una crisi d’impresa è fondamentale coglierne da subito i primi segnali. La funzione “Digital Alert” di Digital CFO permette di analizzare tutte le aree nevralgiche dell’azienda, così da individuare immediatamente eventuali debolezze ed intervenire nel modo più rapido e opportuno.

5) Monitorare costantemente la salute aziendale

Banche, clienti, fornitori, provider: tutti questi soggetti possono accedere al bilancio dell’azienda, documento pubblico che rappresenta, di fatto, il volto dell’impresa verso il mondo esterno. Per questo motivo, soprattutto in questa fase di grande incertezza, il commercialista deve controllare lo stato di salute dell’azienda tenendo in considerazione una serie di indici di bilancio. La funzione “Key Performance Indicators” di Digital CFO permette di monitorare l’equilibrio finanziario, patrimoniale ed economico dell’azienda, tenendo traccia dell’evolversi mensile dei vari indici.

Adottando le migliori soluzioni digitali come Digital CFO, i commercialisti avranno a disposizione un prezioso alleato, capace di fornire un concreto supporto in questo delicato momento storico, che vede i professionisti impegnati nell’affiancare le aziende con approccio consulenziale per analizzare dati, monitorare flussi e prevenire situazioni critiche, al fine di porre le basi di una strategia di rilancio lungimirante ed efficace.

 

Fonte: ProfessionistaDigitale

Un nuovo modo di lavorare basato sull’ottimizzazione degli spazi

Con l’emergenza legata al Covid-19, le aziende si sono trovate a dover ripensare la gestione degli aspetti organizzativi: monitoraggio degli assembramenti, rispetto del distanziamento tra le persone, controllo degli accessi, limitazione dei posti prenotabili, ingressi scaglionati, immediato riscontro dei presenti in azienda.

Si è compresa, dunque, l’importanza di rendere i dipendenti e i loro coordinatori-supervisori il più possibile autonomi nel prenotare, dal proprio computer o da smartphone, postazioni di lavoro, scrivanie, sale meeting, posti in mensa, aule e parcheggi.

In sostanza gli spazi aziendali andranno ripensati in una logica di ‘sharing’: condivisione degli asset, senza assegnazione delle scrivanie, che andranno prenotate a seconda dell’effettivo utilizzo e per il tempo necessario, in modo da stabilire con certezza la corretta occupazione degli ambienti di lavoro per rispondere sia alle esigenze di sicurezza che a quelle di efficienza operativa.

Già oggi, il facility manager delle aziende, mediante una piattaforma software dedicata, può utilizzare un’interfaccia di controllo degli asset che, attraverso l’acquisizione delle planimetrie, permette di visionare gli spazi e abilitare alla prenotazione i posti disponibili, mentre le operazioni di check-in e check-out si possono fare sulla postazione di lavoro tramite tag, QR code o con la tecnologia IoT.

L’analisi di tutti i dati generati dal sistema consente inoltre di monitorare costantemente le performance e le preferenze di utilizzo, fornendo informazioni strategiche per organizzare gli spazi in modo sempre più efficace e in linea con gli obiettivi aziendali.

Ovviamente per i dipendenti il grande vantaggio è l’autonomia nella gestione delle prenotazioni degli asset, in quanto si elimina totalmente la fase di richiesta e di verifica della disponibilità degli spazi, poiché con il software o con la app si ha la visibilità completa del luogo di lavoro, con la segnalazione in tempo reale dei posti liberi in quel determinato momento.

Si tratta, quindi, di un nuovo modo di concepire l’attività all’interno del proprio ambiente lavorativo, che rappresenta un modello funzionale da utilizzare anche in assenza delle misure restrittive relative al distanziamento sociale previste nella fase di emergenza sanitaria.

 

Fonte: AziendaDigitale