Traduttore automatico - Read this site in another language

venerdì 27 dicembre 2019

2019 Data Breach Calendar

Fine anno. 

Momenti di riflessione e anche di stacco, sia pur breve, dalla quotidianità. Sciando tra le splendide montagne della Val Badia, mi trovo a ricordare le canzoni della mia adolescenza e tra queste mi tornano alla mente queste strofe:
O giorni o mesi che andate sempre via, sempre simili a voi è questa vita mia, diversa tutti gli anni e tutti gli anni uguale, la mano di tarocchi che non sai mai giocare, che non sai mai giocare”.
Molti lettori, forse, la ricorderanno. Si tratta della bellissima canzone, anzi, poesia mi verrebbe da dire, di Francesco Guccini: La canzone dei dodici mesi, incredibilmente adatta a questi giorni. E, così, canticchiando tra me e me, con il rumore degli sci sotto i piedi e il bianco che ammanta queste magnifiche montagne, mi passano davanti agli occhi le immagini di questo 2019 che ci sta per lasciare.
Il tetto della cattedrale di Notre Dame divorato dalle fiamme è lo scatto più iconico del 2019 che stiamo per lasciarci alle spalle. La ferita inferta a uno dei simboli della cristianità ha suscitato un’ondata di commozione e preghiera che ha pervaso il mondo intero, compresa l’Amazzonia, dove i roghi, stavolta non accidentali, hanno devastato il primo polmone verde del pianeta.
Greta Thunberg, la sedicenne svedese attivista green, non ha fatto mancare il suo grido di dolore per la selva in fiamme, mentre in barca a vela (obiettivo emissioni zero), solcava l’oceano, dal Regno Unito agli Usa, per partecipare al summit delle Nazioni Unite sui cambiamenti climatici.
Donne protagoniste quest’anno anche nello spazio. Due astronaute statunitensi sono entrate nella storia dopo aver effettuato la prima passeggiata fra le stelle tutta al femminile. Scendendo a Terra, il 2019 ha visto la governatrice di Hong Kong, Carrie Lam, reprimere nel sangue le proteste degli studenti universitari. Finora è riuscita a tenersi stretta la poltrona, quella che, invece, rischia di perdere il presidente degli Stati Uniti, Donald Trump, finito sotto impeachment a causa dell’Ucraina gate. Festa grande nella casa reale britannica per la nascita di Archie, il primogenito dei duchi di Sussex, Harry e Meghan. Con loro ha gioito l’intera Inghilterra, colpita da un secondo attentato islamista sul London Bridge dopo quello del 2017. Tre le vittime, compreso l’attentatore. Ben più pesante la conta dei morti in Nuova Zelanda, dove a marzo uno sparatore neofascista ha assaltato due moschee. Cinquantuno le vite umane spezzate.
Come sempre, quindi, la fine di ogni anno è il momento ideale per guardarsi indietro, per tirare le somme, per fare un’analisi di quanto accaduto, per sapere cosa ci siamo lasciati alle spalle e cosa ci riserverà il futuro. Tante cose sono cambiate e tante sono accadute ma ce n’è una che, al contrario di molte altre, rimane una costante, sempre più duratura, eterna, oserei dire. Un qualcosa verso cui l’essere umano, pur prendendone sempre più consapevolezza, sembra non riuscire a trovare le armi giuste per conoscerla nel profondo, per riuscire a farle fronte e per evitare che si diffonda come la peggiore delle epidemie. Di che cosa si tratta vi chiederete, magari incuriositi, magari spettatori un po' distratti oppure operatori del settore alle prese con gli effetti di questa malattia da cui pare non si riesca a guarire. Il suo nome è cyber security o, meglio, “cyber insecurity” visto quello che anche il 2019 ci ha riservato. È un po' come nella canzone di Guccini: “diversa tutti gli anni ma tutti gli anni uguale” e per usare un titolo ad effetto, tanto più che in lingua inglese, potremmo scrivere:“Biggest data breaches of 2019: Same mistakes, different year
A questo punto mi sono detto: “Perché non provare a realizzare un calendario il cui protagonista non è una bellissima modella o un quadro d’autore o una meravigliosa fotografia?” Ed eccolo qui il “2019 Data Breach Calendar”, ossia il calendario dei data breach più significativi che hanno caratterizzato il 2019, divisi, rigorosamente, per mese.
Prima di scorrere l’album dei ricordi 😊, però, cominciamo col dire che il motivo ricorrente tra le principali violazioni dei dati del 2019 non è stato l'hacker incappucciato, immaginato in una stanza buia con davanti un terminale che riflette scritte verdi. No. Niente di tutto ciò. Se credete questo, siete dei poveri illusi. Il motivo ricorrente, invece, è stato l’insieme di dirigenti senza volto e l’insieme dei professionisti della sicurezza, posti sotto le luci fluorescenti di un ufficio sito da qualche parte che, freneticamente, parlottano con i loro avvocati al fine di redigere una qualche scusa pubblica dopo essersi accorti di avere subito una violazione.
Parole come "database non protetto" si sono ripetute come un ritornello nel corso del 2019. Ogni mese, una nuova società chiedeva ai propri clienti di modificare le password e di segnalare eventuali danni. Aziende appartenenti ai settori della sanità, dell'ospitalità, del governo, dei mercati energetico e petrolifero e di tante altre aree dell’industria pubblica e privata, hanno lasciato non protetti i dati sensibili dei propri clienti, nelle “selvagge terre di Internet”. Dati che sono stati acquistati e venduti da hacker i quali non hanno nemmeno dovuto fare grandi sforzi per trovarli.
E non si tratta, soltanto, del risultato che una copertura mediatica maniacale ha messo in evidenza. Purtroppo, i dati sono lì a testimoniare il fatto che, nel 2019, il numero totale di violazioni è aumentato del 33% rispetto al 2018, secondo una ricerca di Risk Based Security, con servizi medici, rivenditori ed enti pubblici tra i più colpiti. Stiamo parlando di un valore enorme che si aggira intorno ai 7,9 miliardi di record di dati esposti. Nel mese di novembre, la società di ricerca ha definito il 2019 come "l’anno peggiore" per quanto riguarda le violazioni.
Allora, dopo queste premesse, andiamo a ripercorrere questo anno attraverso quelli che sono stati i casi più significativi di data breach.


Gennaio
Marriott ha dato il via al 2019 con una violazione record, quando il gruppo alberghiero annuncia di aver subito un attacco rendendo pubblici i record di qualcosa come 383 milioni di clienti , tra cui alcuni numeri di passaporto e informazioni relative alle carte di credito. Si tratta di più del doppio dei 147,7 milioni di americani impattati dalla violazione Equifax. E, come se non bastasse, il ricercatore Troy Hunt trova 773 milioni di indirizzi email, insieme a un mega-trove di altri dati, in una raccolta di file su un servizio cloud.
Febbraio
Febbraio è stato un mese orribile per la sicurezza online grazie al più grande data breach mai verificatosi nella storia. Più di 620 milionidi account vengono esfiltrati da 16 siti web e messi in vendita sul dark web. Dubsmash, Armor Games, 500px, Whitepages e ShareThis sono i proprietari dei siti che osservano, impotenti, i dati dei loro utenti rubati e venduti per meno di 20000$ in Bitcoin. Nel frattempo, una serie di violazioni più piccole dà l’idea del valore dei dati in ambito sanitario:
  • I file relativi a 15.000 pazienti australiani vengono rubati e messi in vendita;
  • Nel Connecticut, un accesso non autorizzato permette l’esposizione di 326000 record di pazienti;
  • Le informazioni di circa un milione di pazienti di Washington vengono pubblicate in una banca dati pubblica;
  • 2,7 milioni di chiamate a una linea sanitaria nazionale svedese vengono registrate e rese pubbliche.
Marzo 
Centinaia di milioni di utenti Facebook e Instagram passano la peggior festa di San Patrizio della loro storia quando viene reso noto che le loro credenziali sono state esposte a a causa della cattiva gestione dello storage delle password della società di social media. In confronto, l'esposizione di 250.000 documenti legali conservati in una banca dati aperta sembra una cosa di poco conto ☹.
Aprile 
Ancora Facebook assurge agli onori della cronaca con 540 milioni di record esposti dopo aver lasciato i nomi degli utenti, gli ID e le password, tranquillamente, allo scoperto su server non protetti. Nello stesso mese, Facebook ammette di memorizzare milioni di password degli utenti di Instagram in chiaro ☹. Basterebbe questo e, invece no. Infatti, un'altra terribile violazione ad un’agenzia sanitaria del governo indiano, rende pubbliche 12,5 milioni di cartelle cliniche di donne incinte. Il motivo? Erano memorizzate su un server non protetto.
Maggio 
Il gradino più alto del podio, a maggio, va al gigante immobiliare First American Financial Corp con i suoi circa 100 milioni di documenti assicurativi resi pubblici. Questo mese, però, vede alla ribalta anche un paio di attacchi originali, relativi al mercato del food:
  • Burger King lascia esposto un database contenente i dati personali di quasi 40000 clienti del suo negozio online;
  • L'attività di due aziende rivali della ristorazione scolastica della Bay Area, si trasforma in cyberwarfare quando il CFO di una delle due viene arrestato per aver hackerato il sito dell'altra ed avere reso pubblici i dati degli studenti.
Giugno
Almeno 20 milioni di pazienti vedono resi pubblici i loro dati quando la società American Medical Collection Association viene hackerata. Il danno? Vengono intraprese diverse class action contro AMCA. Nel frattempo, il data breach è enorme dal momento che sono pubbliche le fatture dei pazienti, i numeri di previdenza sociale, le informazioni mediche, le date di nascita, i numeri di telefono, gli indirizzi e altro ancora. il risultato? I responsabili contraggono un debito così alto nei confronti dei clienti che presentano istanza di fallimento.
Luglio
Per noi è estate e luglio, si sa è un mese caldo. Infatti scoppia il caso di Capital One. Sembra passato un secolo, vero? Difficile credere che solo cinque mesi fa la banca abbia esposto 100 milioni di carte di credito, 140.000 numeri di previdenza sociale e 80.000 numeri di conto bancario, inclusi dati personali come nomi, indirizzi, codici postali, numeri di telefono e date di nascita. La violazione porta all’arresto da parte dell’FBI di Paige A. Thompson, hacker sospettata di essere l’autrice dell’attacco. Capital One afferma di essere venuta a conoscenza del data breach il 19 luglio e che il costo stimato dell’incidente di sicurezza risulta compreso fra 100 milioni e 150 milioni di dollari, soprattutto per le notifiche ai clienti, il monitoraggio dei crediti e le spese per l’assistenza legale
Agosto
Un'indagine rende noto che 160 milioni di record della società MoviePass sono stati lasciati in chiaro in un database aziendale senza protezione, rendendo pubblici i dati relativi alle carte di credito dei propri clienti. Nel frattempo, nel Regno Unito, una attacco hacker provoca l’esposizione di 27,8 milioni di record biometrici, detenuti dalla Metropolitan Police di Londra.
Settembre
Un hacker entra in uno dei database dei giochi di Words with Friends e ottiene i dati di 218 milioni di giocatori, tra cui gli indirizzi e-mail dei giocatori, i loro nomi, gli ID di accesso e altro ancora. Nello stesso mese, un attacco che colpisce un numero inferiore di persone avviene in Ecuador, quando un database governativo mal configurato genera un data breach di 20,8 milioni di record utente. Se consideriamo che l’Ecuador ha una popolazione ufficiale di circa 17,5 milioni di abitanti, possiamo comprendere l’entità del danno.
Ottobre
Uno “show-stopping” di 4 miliardi di record relativi a profili social viene reso pubblico a causa di una violazione di un server di Elasticsearch. Numeri mai visti prima ☹ Nello stesso mese, si viene a conoscenza che Adobe ha lasciato 7,5 milioni di record dei clienti Creative Cloud in un database non sicuro. Nel frattempo, oltre 20 milioni di documenti fiscali relativi a cittadini russi che mostrano le informazioni raccolte dal 2009 al 2016, essendo memorizzati su un database aperto, vengono visualizzati da chiunque.
Novembre
A novembre la lista di perdite, hackeraggi, violazioni ed esposizioni, si allunga grazie ad un paio di incidenti dovuti a dipendenti di due società. Facebook torna in prima pagina dopo che circa 100 sviluppatori di app hanno avuto accesso inappropriato ai dati dei profili utente. Si viene a scoprire che un dipendente di Trend Micro aveva rubato, in precedenza, i dati personali di circa 70.000 clienti della società e che questi dati erano stati utilizzati per truffare i clienti.

Dicembre

Circa 100 donne, vittime di un furto di foto, diciamo personali, si aspettano da parte della polizia olandese un regalo di Natale: la condanna del responsabile del furto. Costui aveva violato gli account iCloud personali delle vittime grazie alle credenziali trovate in precedenti violazioni di database pubblici. Il processo si conclude con la condanna a tre anni di lavori socialmente utili per l’imputato.
Il nostro viaggio nel 2019 si conclude qui. Come vedete, è stato un anno ricco di casi, davvero, importanti. L’Italia non è stata citata ma ciò non significa che ne sia stata esente, anzi. La nostra atavica cultura del non rendere pubblici gli attacchi è la causa principale della mancanza di informazioni anche se mi piace sottolineare che due aziende nostrane, Saipem ed Iren, che hanno subito attacchi significativi, hanno, invece, fatto "public disclosure" di quanto accaduto intraprendendo un percorso di modernizzazione tecnologica proprio a partire dalla sicurezza. Percorso che ha coinvolto tutti  i dipendenti con corsi e sensibilizzazione sul tema.
Ritornando, invece, al mio compagno di questo viaggio, Francesco Guccini, le ultime strofe della sua canzone mi danno la forza per credere che c’è sempre speranza per migliorare.
Uomini e cose lasciano per terra esili ombre pigre,
ma nei tuoi giorni dai profeti detti nasce Cristo la tigre, nasce Cristo la tigre...
Con l’augurio che sia una resurrezione per tutti coloro che combattono la “cyber Insecurity”.
Buon 2020

Carlo Mauceli


Immagine: https://www.ibtimes.co.uk/john-mcafee-fighting-cyberterrorism-laws-like-fighting-isis-profanities-1523610

sabato 21 dicembre 2019

Gionzo e i virus...

Era una bella giornata di primavera e tra qualche minuto sarebbero arrivati.
Il bosco vicino al paese era stupendo in questo periodo e vi si poteva ancora trovare qualche fungo selvatico, di quelli che sanno di fungo...
- Nonno, nonno - urlò Giulia come al solito - ecco un fungo, guarda che bello! E senza attendere Giulia si precipitò sul fungo bianco che spuntava da sotto le foglie della grande quercia.
- Aspetta piccola, non toccare fino a che non te lo dico io. Vediamo di che fungo si tratta... - ed il nonno si avvicinò per verificare che si trattasse di un fungo commestibile.
- Si, puoi prenderlo, è un prataiolo, stasera lo cuciniamo.
- Si, me lo mangio tutto io il pratagliolo… 
- Si dice prataiolo, Giulia, non pratagliolo... aggiunse il nonno con voce calma. In questo modo Giulia avrebbe imparato qualcosa di nuovo - Spostiamoci verso quei cespugli di cisto, vedi quei cespuglietti con i fiorellini bianchi? Se siamo fortunati possiamo trovare qualche porcino reale.
- Siii... speriamo di trovarne tanti di questi porcellini reali - disse Giulia correndo via senza attendere che il nonno potesse correggerla. In un attimo si trovava immersa nel cespuglio e quando ne riuscì fuori aveva un sorriso sul viso tipico della piccola peste. 
- Nonno, nonno, guarda che bel porcellino reale che ho trovato... - e mostrò al nonno il suo raccolto... uno splendido fungo con un gambo lungo e liscio e un cappello bianco-grigio un po umido.
- Poggialo subito Giulia - disse il nonno con la voce preoccupata - Quello non è un porcino reale... ma un fungo velenoso, mortale. Quella è una Amanita Falloide...
Al solo sentire il nome pronunciato dal nonno la piccola Giulia si fermò inorridita e lasciò cadere il fungo per terra... Il nonno si avvicinò e verificò che effettivamente 
il fungo fosse velenoso.
- Vieni qua piccola, laviamoci bene le mani. Bisogna fare attenzione coi funghi, ce ne sono tanti buoni ma anche tanti altri che sono pericolosi. Bisogna raccogliere solo quelli che si conoscono, andiamo a vedere assieme se c'è qualche fungo buono ma tu non toccarli se non te lo dico io va bene? Me lo prometti?
Giulia aveva capito perfettamente di aver corso un grosso rischio, non sapeva bene come il fungo avrebbe potuto farle del male ma nella voce del nonno la preoccupazione era forte e lei aveva imparato a sentirla.
- Ecco, vedi quel fungo marrone scuro? Con il gambo grosso e bianco? Quello è un porcino reale e puoi raccoglierlo senza pericoli, è uno dei funghi più buoni che conosco. 
Giulia questa volta si avvicinò al fungo con sospetto, lo osservò con attenzione e solo dopo averlo registrato nella sua giovane memoria lo raccolse per porgerlo al nonno che lo depose nel cesto di vimini.
- Nonno, ho fame, quando facciamo merenda? La mamma ci ha preparato i panini alla Gionzo... ripieni con insalata lunare, pomodorini e tonno ed io ho fame.
- Si, hai ragione, abbiamo camminato molto ed è arrivato il momento di riposarci e mangiare qualcosa. Andiamo a sederci sotto quella grande quercia. Disse il nonno.
Giulia non se lo fece ripetere due volte e raggiunse di corsa la cima della collina dove si sistemò a cavallo di una grossa radice in attesa del nonno.
- Dai nonno, su, quanto sei lento... - disse Giulia ridendo come suo solito.
- Arrivo... arrivo, eccomi. Rispose il nonno senza fiato. Ad una certa età anche una piccola salita può essere difficile, pensò. 
- Nonno, nonno, voglio salire sull'albero... dai su, aiutami.
- Giulia, non puoi arrampicarti in un momento come questo... disse il nonno con la voce più preoccupata che riusciva a fare - il nostro amico Gionzo ha dei problemi e mi ha appena chiamato. Chiede aiuto, vieni ad aiutarmi.
Queste poche parole fecero il miracolo, Giulia si fermò di colpo e il suo visino divenne bianco per la paura. Forse un po troppo, ma almeno si era completamente dimenticata della sua idea di arrampicarsi.
- Dimmi nonno, cosa possiamo fare per aiutare Gionzo? Cosa è successo ancora? Fancesco aveva detto che aveva sconfitto il terribile Accher... non è vero? 
- Si, così aveva detto Francesco, l'aveva aiutato mandandogli un potente programma antivirus ma evidentemente qualcosa è andata male perché Gionzo dice che la sua navicella è sempre più lenta, il Computer di bordo non funziona bene e tutti i monitor si sono spenti. Solo il telelunofono funziona ancora e...
- E il suo casco potenziante? - Urlò Giulia in preda al terrore - Dimmi che funziona ancora... ti prego...
- Si, il casco potenziante funziona bene. Per fortuna è sconnesso dal computer della sua astronave e non si è preso nessuna infezione da virus.
- Per fortuna! - disse Giulia sollevata - Allora sono sicura che riuscirà a guarire il computer, mamma dice sempre che quando c'è un virus in giro bisogna prendere un Antibotoco... una cosa così molto potente che uccide tutti i virus, anche quelli più cattivi. Possiamo mandargli un pacchetto con gli Antibotici? Possiamo, nonno, vero?
- Purtroppo no, piccola mia. Questi virus non si possono sconfiggere con le medicine normali, bisogna usare altri tipi di medicine per i computer. Ci sta lavorando con l'aiuto di Francesco proprio in questo momento.
- Allora sono sicura che riuscirà a risolvere il problema - disse Giulia più tranquillizzata - e Gionzo potrà proseguire il viaggio.
- Si, ne sono sicuro anche io, vedrai che assieme riusciranno a risolvere, dobbiamo solo avere pazienza. Ora però sarà meglio rientrare, si sta facendo tardi e la mamma sarà preoccupata.
- Si nonno - disse Giulia ubbidiente, mentre nella sua testolina un enorme vermone usciva fuori dallo schermo del computer della navicella di Gionzo con un'aria per niente amichevole...

Alessandro Rugolo

Francia, Red Team: come costruire il futuro

Qualche giorno fa il Ministro delle Forze Armate francesi, Madame Parly, ha annunciato il lancio di un programma che mira a costituire il Red Team, una squadra mista di pensatori che dovrebbero aiutare ad individuare le sfide militari e tecnologiche del futuro e ad aiutare la costruzione delle capacità militari necessarie ad affrontare tali sfide. Del Red Team faranno parte, come ben specificato nel messaggio, alcuni “prospectivistes et d’auteurs de science-fiction pour ‘imaginer au delà’ “. Per chi non conosce il francese diciamo subito che i “prospectivistes” sono, per semplificare, degli specialisti in analisi di scenari futuri (1). Ma ciò che più colpisce è il ricorso a scrittori di fantascienza. Di ciò il Ministro aveva già parlato tempo addietro quando aveva costituito l’Agenzia per l’Innovazione della Difesa. Qualche mese fa tale iniziativa aveva probabilmente sollevato una certa l’ilarità di chi, in tutto cio’, vedeva una punta di eccentricità dei nostri cugini francesi ma a mio parere le cose sono ben diverse e vanno prese seriamente. Iniziamo col dire che la Francia non è l’unico Paese ad aver fatto una cosa del genere, vediamo chi l’ha preceduta. Cominciamo con gli Stati Uniti d’America. Esiste un documento interessante in cui trovare diverse informazioni storiche, intitolato “The role and status of DoD Red Teaming activities” (2) in cui si accenna alla composizione dei Red Team concludendo che non esiste un Red Team ideale ma che la sua composizione dipende dallo scopo da raggiungere e citando tra gli specialisti i cosiddetti “futuristi”. Nel 2004 gli USA cominciarono a standardizzare l’uso dei Red Team per osservare i propri processi interni da punti di vista differenti, per vedere come fosse possibile migliorarli, trovandone le falle (altro significato di Red Team, impiegato come punto di vista del nemico) e per capire come la tecnologia può influenzare il futuro. Naturalmente nel tempo gli USA si sono spinti fino a dare al “Army Directed Studies Office” le capacità e il compito di aiutare i Comandanti Operativi ad analizzare i piani operativi. Analoghi esempi potremmo trovare probabilmente in Russia, Cina o più vicino, in Gran Bretagna, con la sua “Red Teaming guide”, edita nel 2010 e attualmente disponibile su internet nella versione del 2013. Da questa guida estraiamo per semplicità la definizione di Red Teaming, ovvero: “the independent application of a range of structured, creative and critical thinking techniques to assist the end user make a better informed decision or produce a more robust product”. Potremo andare avanti con le analisi ma preferisco fermarmi qui per dare ai più curiosi la possibilità di approfondire personalmente, avendo dato, a mio parere, sufficienti spunti di riflessione sulla importanza del pensiero creativo nella analisi del futuro.

Chi non ha letto da ragazzo Isaac Asimov o Frank Herbert?
Chi l’ha fatto può senza dubbio rendersi conto di come questi due grandi autori siano talvolta arrivati veramente molto vicino alla nostra attuale realtà, tanto vicino da far pensare che, forse, immaginare il futuro serve a costruirlo.

Alessandro Rugolo

(1) La Prospective è definita come la “Science ayant pour objet l'étude des causes techniques, scientifiques, économiques et sociales qui accélèrent l'évolution du monde moderne, et la prévision des situations qui pourraient découler de leurs influences conjuguées.

(2) E’ molto interessante notare che il documento fa diversi esempi di impieghi con successo di Red Team nella storia e afferma che “ ideal team members are most likely nonexistant. The art is to mix quite different skills. Technology is often an issue; should an engineer, scientist, specialist, systems type, or futurist be the team member?”

- https://www.defense.gouv.fr/dga/actualite/lancement-de-l-appel-public-a-la-concurrence-pour-la-constitution-de-la-red-team - https://www.defense.gouv.fr/aid - https://www.larousse.fr/dictionnaires/francais/prospective/64476 - https://www.suasnews.com/2016/08/army-science-technology-systems-adaptive-red-team-uas-threat-experiment-2-16/ - https://www.hqmc.marines.mil/Portals/138/Docs/PL/PLU/Mulvaney.pdf - file:///C:/Users/39347/Desktop/20130301_red_teaming_ed2.pdf

sabato 14 dicembre 2019

Perso nel cyberspace!!! (Seconda puntata)

- Ciao papà. Scusa se ti disturbo a quest'ora ma devo chiederti la cortesia di passare a prendere Giulia, se puoi… purtroppo io non posso uscire, sto aspettando che la torta finisca di cuocere. Vi raggiungo più tardi per cena.
Giulia naturalmente ascoltava con attenzione, appesa alla gonna della mamma, cercando di capire cosa avrebbe risposto il nonno. Lei adorava il suo nonno, un po perché da lui poteva fare tutte quelle cose che a casa erano vietate (anche infilare il dito nel barattolo della nutella!), ma soprattutto perché ogni volta c'era una nuova avventura del suo amico Gionzo, il suo estronauta preferito. E ora che ci pensava, la sera prima Gionzo si trovava in grave difficoltà, perso nel cyberspace: e dire che lei non sapeva neanche cosa fosse questa cosa...
- Certo mia cara, nessun problema. C'è anche Francesco da me per cui sono sicuro che si divertiranno. Arriviamo. Giulia aveva sentito a sufficienza. Senza attendere che la mamma mettesse giù il telefono, già correva verso la sua cameretta per afferrare alcune cose indispensabili (in particolare la statuetta in legno di Gionzo che gli aveva regalato il nonno tempo addietro) e per indossare il cappotto e la sciarpa. Anche se la strada da fare era poca meglio non rischiare un raffreddore (diceva sempre la mamma) altrimenti rischi di non essere in grado di aiutare il tuo amico Gionzo proprio quando ce n'è più bisogno. E Gionzo questa volta era nei guai...
- Giulia, è arrivato il nonno... vai ad aprire la porta!
- Si mamma... corro. E mentre rispondeva già correva per la stanza con la sciarpa a penzoloni e Gionzo stretto in braccio.
- Nonno!!! - urlò Giulia saltandogli al collo - Finalmente! Dimmi subito che Gionzo sta bene… ero molto preoccupata per lui. Allora ? Come sta? E' riuscito a tornare a casa dalla sua bella famiglia? Naturalmente tutto ciò era stato urlato nell'orecchio del nonno che per poco non cadde all'indietro.
- Giulia, non urlare e stai tranquilla. Gionzo sta bene, anche se si è perso riesce a telefonare grazie al suo nuovo telelunofono e Francesco sta cercando di aiutarlo ad uscire dal Cyberspazio. Adesso andiamo anche noi ad aiutarlo… quindi fece l'occhiolino alla figlia, la mamma di Giulia, e senza dire altro uscì di casa con la nipotina in braccio, visibilmente preoccupata!
La casa del nonno distava poco più di mezzo chilometro e non ci volle molto a raggiungerla. Giulia correva avanti, girandosi di tanto in tanto verso il nonno, pregandolo di fare presto, come se Gionzo fosse in fin di vita. Il suo visino esprimeva preoccupazione ma anche furbizia e i suoi occhioni assomigliavano tanto a quelli del gatto con gli stivali del film animato...
Qualche minuto dopo erano a casa del nonno.
- Ciao Fancesco! - urlò Giulia appena entrata in casa - hai parlato con Gionzo? Come sta? Puoi aiutarlo a tornare a casa? Le domande, come al solito, erano state poste con la sua voce alta e acuta e Francesco si era dovuto portare le mani alle orecchie per proteggersi. Poi l'aveva abbracciata e sollevata per portarla faticosamente sulla poltrona vicino al camino, dove Giulia si sedette in attesa che qualcuno rispondesse alle sue domande. Questa volta fu Francesco che parlò...
- cara cuginetta, Gionzo sta bene. Però non riesce a tornare. Il suo vascello spaziale è stato hackerato e lui non riesce a riprendere il controllo. Francesco diceva questo con la massima disinvoltura e serietà e Giulia pendeva dalle sue labbra. Certo, non aveva capito tutto, tra cibospazio e accherato non sapeva giudicare quale parola fosse più pericolosa per il suo amico Gionzo ma capiva che Gionzo era in pericolo e questa volta chissà se il nonno o Francesco potevano aiutarlo. 
- Ma, ma... - balbettò Giulia - possiamo aiutarlo? Voglio parlarci io. Sono sicura che se sente la mia voce si sentirà meglio.
- No Giulia, - disse Francesco - adesso non puoi. E' impegnato al computer di bordo della sua navicella. Sta cercando di fare pulizia con un potente Antivirus per cercare di riprendere il controllo della navicella. Giulia, sentendo la terza parola misteriosa della giornata diventò pallida e solo allora capì veramente quanto il suo amico Gionzo fosse in pericolo. Non le era mai capitato di sentire tre parole sconosciute in così poco tempo. 
- Ma io devo fare qualcosa per lui - urlò Giulia sul punto di piangere - non posso stare qui senza far niente. Fancesco, devi spiegarmi cosa sono tutte queste parole strane… dimmi la verità, Gionzo è... morto? Quest'ultima parola era stata pronunciata quasi sottovoce, come se detta a voce bassa fosse meno pericolosa. 
- Ma no Giulia, che dici. Gionzo non può morire - disse il nonno, intervenendo prontamente per evitare una tragedia - stai tranquilla, vedrai che Gionzo riuscirà a trovare una soluzione, non è vero Francesco? E mentre parlava guardava il nipote con aria implorante. Dalla sua risposta probabilmente sarebbe dipesa la salute delle sue orecchie per i prossimi dieci minuti almeno!
- Ma certo nonno. Gionzo se la caverà di sicuro. Gli o appena inviato un antivirus potentissimo e gli ho spiegato come funziona. Gionzo ci sta lavorando ancora ma con il suo casco potenziante sono sicuro che riuscirà a trovare una soluzione. Le parole avevano fatto il loro effetto. Giulia riprese colore e cominciò a correre per il salotto e saltare dalla gioia. Nella sua fervida immaginazione un mostro chiamato "Accher" aveva assaltato la navetta di Gionzo e si era impossessato del computer (prima o poi avrebbe dovuto chiedere a Francesco di spiegargli cosa fosse un computer...) ma un cavaliere bianco che si chiamava "Antivirus", inviato da suo cugino Francesco era corso in suo soccorso. La lotta era dura, ma Gionzo avrebbe vinto...
- Francesco, puoi andare ad aprire la porta? Suonano… Disse il nonno, che intanto cercava di impedire che la piccola Giulia distruggesse gli ultimi soprammobili rimasti ancora interi!

Alessandro Rugolo 

Phishing e Fake news, dalla propria e-mail ai governi

Quando la maggior vulnerabilità è (inconsapevolmente) tra la tastiera e il computer!

Vi sarà capitato di ricevere almeno una volta delle e-mail in cui un qualche figuro, funzionario di una non specificata banca di un paese a caso, vi ha chiesto qualche migliaio di dollari per sbloccare una pratica tramite la quale vi sareste trovati milionari da un momento all’altro.

Questo tipo di e-mail sono comunemente contrassegnate come spam e sono un esempio di come gli attaccanti cerchino di sfruttare la vulnerabilità più grande di un sistema informatico, ovvero l’essere umano.

Questo tipo di attacco viene chiamato “phishing”, ovvero il tentativo di sfruttare la credibilità di un nome od un logo per indurre la vittima a fornire informazioni personali o credenziali, le quali vengono raccolte dall’aggressore e sfruttate o rivendute.

Il phishing non è una tecnica proprietaria dell’informatica, si pensi ad esempio alle truffe ai danni degli anziani, dove l’aggressore si finge un addetto dell’azienda fornitrice di un servizio per poter entrare nell’abitazione, o farsi fornire tramite l’inganno il codice segreto riportato nella bolletta.

Nel campo informatico, il phishing è ampiamente sfruttato non solo per rubare credenziali bancarie o social, ma anche per propagare malware (questo tipo di tecnica viene chiamata appunto “malspam”).

Di solito, anche per via delle normali emozioni umane, si tende a non dare peso al phishing, o si tende a pensare che “tanto io ne sono immune… lo so riconoscere”.
Ebbene, il consiglio è quello di essere sempre sospettosi, e non prendere mai sottogamba questi tentativi di attacco, in quanto alcuni possono essere molto elaborati.

Prendiamo, ad esempio, questa pagina (link: https://loremitalia.altervista.org/testp/ ):

Questa è una copia “pixel-perfect” della home-page di Facebook, creata ad hoc da me proprio per questo articolo.
Se in questo momento lanciassi una campagna di phishing mirata agli utenti americani del famoso Social Network, quante vittime riuscirei a fare?

Ho voluto inoltre pubblicare una dimostrazione (anche se è solo una facciata, non ho inserito ovviamente nessuna funzione di cattura dei dati) per dimostrare anche la semplicità di un simile attacco.

Per produrre un attacco simile è stato sufficiente:
- Recuperare gli “asset” dal sito (circa 30 secondi).

- Modificare un minimo il codice HTML per renderlo compatibile, visibile e “navigabile” al di fuori dei server della Piattaforma (circa 60 secondi).

- Caricarlo su un hosting (circa 15 secondi).

- Modificare l’htaccess (vedremo in seguito cos’è – circa 20 secondi).

Per chi esegue attacchi del genere “per mestiere”, inserire una funzione di salvataggio dei dati richiede al massimo 10 minuti.

In pratica, andando con calma e curando il “contenuto”, un “phisher” esperto può costruire una campagna di successo in un quarto d’ora.

Con una tecnica simile, si possono creare campagne anche per applicazioni web create con framework moderni come Angular, React o Vue.

L’htaccess, inoltre, serve proprio a questo.
I framework sopra citati sono stati creati per facilitare gli sviluppatori nel creare applicazioni che funzionassero da subito come applicazioni multi-piattaforma, su dispositivi diversi, e che supportassero da subito un design “responsive”, ovvero che si adattassero subito agli schermi di vari formati e dimensioni.
Data la loro struttura, le applicazioni vengono eseguite direttamente nel browser, evitando quindi un oneroso lavoro da parte dei server.
Il componente che permette all’applicazione di funzionare viene chiamato “service worker”.

La struttura delle applicazioni create con dei framework può essere molto complessa e strutturata in varie sotto-cartelle.

Ovviamente il phisher non sempre può riprodurre il service worker in maniera perfetta (quasi mai a dire la verità), così lavora per scaricare gli “asset” dal sito.
Gli “asset” sono dei file CSS e Javascript (CSS è un linguaggio che descrive come deve essere visualizzata la grafica di un sito – può essere paragonato ad un “motore grafico” per pagine web, mentre Javascript permette ai vari componenti di funzionare, ad esempio i pop-up che compaiono sui siti per farci accettare i cookies).

L’insieme di HTML, CSS e Javascript permette al sito di funzionare esattamente come dovrebbe, quindi una volta che il phisher ha questi componenti, la struttura dell’applicazione e la pagina iniziale da visualizzare, non deve fare nient’altro che caricare questa “struttura simulata” all’interno di un hosting e modificare l’htaccess.

Il file “.htaccess” (il punto davanti non è un errore), è un file di configurazione che dice ad Apache (un server web) come deve funzionare una cartella o un’intera applicazione PHP.
PHP è un linguaggio di programmazione per il web che permette di creare delle applicazioni che, a differenza dei framework precedenti, è “server-side”, ovvero tutte le operazioni vengono eseguite dal server e non dal browser.
Apache supporta applicazioni PHP, e tramite il file “.htaccess” il phisher dice ad Apache dove prendere la pagina iniziale.
In questo modo, per quanto possa essere complessa la struttura dell’applicazione, il phisher può rispettarla, potendo “riprodurre” qualunque pagina lui voglia (evitando qualunque errore grafico).

Un tipo di attacco del genere è molto difficile da evitare se non si è particolarmente attenti ma, se si è davanti al proprio computer, si può comunque controllare l’indirizzo del browser.
Per questa dimostrazione, ad esempio, si può leggere https://loremitalia.altervista.org/testp/ che ovviamente non è l’indirizzo di Facebook.

Ma davvero possiamo ritenerci al sicuro semplicemente verificando il link?

In linea generale il consiglio è quello di fare sempre attenzione a quali dati si stanno immettendo e dove, ma non è sempre così semplice.

E’ possibile accorgersi di un furto di dati, in quanto nella maggioranza dei casi una volta immesse le credenziali, l’Utente viene redirezionato su una pagina di errore, questo perchè il resto della struttura del sito web e le informazioni cui l'utente dovrebbe accedere non sono (ancora) noti per cui non riproducibili.

Nel caso in cui non ci si renda conto di essere caduti nella trappola, le conseguenze possono essere gravi: di solito l’obiettivo è il furto di dati personali o industriali, il furto di coordinate bancarie oppure (tramite malspam), infettare il dispositivo dell’Utente per farlo rendere inconsapevolmente un “complice” del criminale (una rete di questo tipo, formata da PC “zombie” controllata dall’aggressore da remoto, viene definita “botnet”).

Proprio per la gravità di tali conseguenze, si consiglia sempre di osservare con attenzione il link della pagina dove si sta navigando, il mittente delle e-mail che si ricevono e gli eventuali link riportati.

Molte volte, per scoprire se si tratta di truffa, basta cliccare con il tasto destro del mouse, cliccare su “copia indirizzo” ed incollarlo sul blocco note.
Si noterà subito se trattasi di link originale o di una truffa.

Nel caso si ricevano ripetute e-mail di questo tipo, si può provvedere ad inviarne segnalazione, tramite apposita procedura, tramite il sito web https://www.commissariatodips.it/

Alcune volte non basta, e ad aiutare i “bad guys” ci pensano le innumerevoli vulnerabilità software, o applicazioni malevole.
Per fare un esempio, mentre sul computer possiamo installare dei software anti-virus, anti-spam e “reputazionali” che ci aiutano a distinguere se stiamo navigando su un sito sicuro o meno, il discorso cambia per I dispositivi mobili.

Proteggere la navigazione su smartphone risulta molto più difficoltoso, sia perchè non esistono delle suite di protezione ben sviluppate, sia perchè sullo smartphone siamo legati a delle “app”, le quali ci guidano verso il servizio da noi richiesto.
Le app (di qualsivoglia servizio) di solito vengono pesantemente testate prima del loro rilascio e in linea generale ricevono aggiornamenti costanti, ma come ben sappiamo “poggiano” le loro basi sul sistema operativo dello smartphone, il quale rappresenta un ecosistema molto più grande e maggiormente prono alle vulnerabilità.

Per fare un esempio, ultimamente è stata resa nota una vulnerabilità che è stata chiamata “StrandHogg”, che affligge tutte le versioni di Android.
Questa particolare vulnerabilità sfrutta il sistema di multitasking del sistema operativo, ovvero quel sistema che permette di avere aperte molteplici applicazioni contemporaneamente.
La vulnerabilità, per essere specifici, sfrutta un particolare controllo del sistema Android chiamato “taskAffinity”, che permette ad un’applicazione (anche malevola), di assumere qualsiasi “identità” nel sopracitato sistema multitask.

Sfruttando questa vulnerabilità è possibile, per un’applicazione malevola, di “prendere il posto” (tecnicamente viene effettuato un “hijack”) dell’applicazione originaria.
Questo consente di reindirizzare l’utente in una falsa schermata e poter quindi rubare credenziali, ma anche superare le autenticazioni a due fattori (pensiamo ad esempio alle app bancarie e all’SMS di controllo).

Anche in questo caso, il phisher può rubare i nostri dati ed è molto più complesso per l’utente rendersi conto di ciò che sta accadendo.
E’ anche vero, però, che l’applicazione malevola deve essere installata sullo smartphone della vittima, è quindi necessario fare estrema attenzione a cosa si installa.
Aziende come Google ed Apple, che gestiscono i marketplace più grandi attualmente sul mercato, rimuovono sistematicamente molteplici app dannose, ma comunque l’utente deve sempre fare estrema attenzione per non avere problemi.

Ora cerchiamo di pensare a cosa può portare un attacco di phishing, stavolta mirando ad un intero Stato.

ATTENZIONE: LO SCREENSHOT CHE SEGUE E’ UN FALSO, ED E’ STATO CREATO APPOSITAMENTE COME DIMOSTRAZIONE.


Come detto in precedenza questo è un falso, ed è solo una dimostrazione creata ad hoc per l’articolo, ma analizziamolo nel dettaglio:


Come si può immaginare, se fosse vero questo tweet, ne risulterebbe uno scandalo e una possibile rottura dei rapporti tra due Paesi.
Ma sappiamo che non è reale, è appunto una dimostrazione, ma perchè farlo?

Gli attacchi informatici non sono mai casuali, e spesso hanno radici nelle situazioni geopolitiche dei Paesi coinvolti.
Un attacco informatico di questo genere è economico, non causa vittime e difficilmente può essere attribuito, è quindi utile per creare delle pressioni verso una Nazione, creare una destabilizzazione controllata e contemporaneamente mantenere i canali diplomatici aperti.

Un “fake” come lo screenshot sopra riportato, potrebbe essere utile per creare una destabilizzazione nell’opinione pubblica.
Nel momento in cui qualcuno andasse a verificare la presenza del tweet, si potrebbe sempre pensare che sia stato rimosso, mantenendo vivo il dubbio.

Questo comportamento, tipico delle fake news, è utile per creare una spaccatura nell’opinione pubblica la quale, a seconda delle preferenze politiche, potrebbe credere o non credere che il post sia vero.

Si può usare questa tecnica anche per “distrarre” l’opinione pubblica rispetto ad un determinato problema.

Per massimizzare l’efficacia di una campagna simile, si può utilizzare una tecnica relativamente nuova, chiamata “deepfake”.

Il deepfake è una speciale tecnica che permette di elaborare un’immagine sovrapponendo e modificando tramite l’Intelligenza Artificiale l’immagine originale, creando quindi un falso indistinguibile dall’immagine di partenza.

Questa tecnica è ampiamente utilizzata, ed è famoso il caso del deepfake mandato in onda dal programma Striscia la Notizia (link al video: https://www.youtube.com/watch?v=E0CfdHG1sIs )

Per realizzare un video deepfake è necessario ricorrere ad una scheda video NVIDIA che supporti l’architettura CUDA, ovvero che permette l’elaborazione dei calcoli in parallelo.
Attualmente è quindi sufficiente impiegare un normale computer da gaming, e il software che è possibile reperire in rete.

E’ normale aspettarsi che, per chi ha abbastanza risorse, è molto facile creare delle strutture, campagne e pagine/immagini/video talmente ben fatte da portare un attacco su vasta scala e di sicura efficacia.

E’ comunque possibile proteggersi da tutto ciò, e vorrei dare un suggerimento in merito:
come avete avuto modo di vedere, per quanto complessa fosse l’operazione, quì il target dell’attacco non è una macchina ma la singola persona, la quale rappresenta la “vulnerabilità” maggiore, in quanto le proprie esperienze e le proprie emozioni, possono influenzare o meno un giudizio.

Per difendersi è necessario “aggiornarsi”, senza pregiudizi dettati da un colore politico o da una preferenza personale, analizzando secondo il proprio buon senso le varie situazioni, informandosi, per non cadere vittime di una truffa o per evitare di fare il gioco di chi trae profitto da una destabilizzazione. 


Alessandro Fiori



Per approfondire: