Category: Analisi di mercato

Associazione RED – Rete Educazione Digitale

Problematiche relative alle PMI e Liberi Professionisti

Negli ultimi anni abbiamo assistito ad un cambiamento emblematico delle tecnologie e della rete internet. Con l’avvento delle Crypto valute come il bitcoin, dei social network, di applicazioni immesse sul mercato e usate senza una preparazione di base, tutto questo in un contesto dove sempre più nuove tecniche di attacco vengono migliorate ogni giorno e dove hacker in cerca di fama e soldi aumentano in modo costante. Già da molto tempo, tanti, hanno scelto di lavorare nel mercato nero, DARK WEB, in modo illecito. Questo per via dei facili profitti a discapito della nostra privacy e delle aziende. Prima il problema era come farsi pagare ora con l’avvento delle crypto valute, che sono di natura “Privacy by default”, cioè sono metodi di pagamento sicurissimi, paralleli ai classici modelli quali bonifici, money gram, carte di credito ecc, ma soprattutto sono difficili da rintracciare. Basti pensare che per ogni transazione posso aprire un conto e chiuderlo senza dover andare in banca o chiedere qualcosa a qualcuno. Proprio per questa peculiarità che monete come bitcoin sono e saranno le monete che sempre di più verranno usate dai Cyber Criminali per riscatti, comprare determinati servizi e software nel dark web. Questo scenario, permette a molti ragazzi di utilizzare i nuovi mezzi digitali per comprare droghe e per cercare modi sempre nuovi per fare soldi in modo illecito. Le droghe vengono pagate con le crypto valute e l’anonimato è garantito grazie a sistemi di anonimizzazione e spedizioni fatte ad-hoc con sistemi già collaudati.

Molti di noi conoscono il Ransomware, quel virus utilizzato nelle estorsione. Molte aziende sono state costrette a pagare per riavere indietro nuovamente i propri file “non cancellati” ma bensì “crittografati, presi in ostaggio da un virus informatico, spesso senza riuscirvi.

La maggior parte delle aziende infettate hanno rischiato il blocco delle attività lavorative.

Un dato per far comprendere la gravità del fenomeno:

Dati Kaspersky

  • il numero totale di utenti che hanno incontrato un qualsiasi tipo di ransomware nel periodo da aprile 2015 a marzo 2016 è aumentato del 17.7%rispetto al periodo aprile 2014-marzo 2015: da 1967.784 a 2315.931 utenti in tutto il mondo;
  • Il numero di utenti attaccati dai ransomware criptatori è aumentato di 5,5 volte, da 131.111 nel 2014-2015 a 718.536 nel 2015-2016;

 

Personalmente ho supportato più di 100 aziende per questo problema e sempre erano presenti errate configurazioni, mancanza di formazione e il controllo necessario.

Il dato allarmante è quello dell’aumento delle affiliazioni a questi team di esperti Hacker’s, da parte di quei soggetti che non hanno le caratteristiche tecniche per un attacco informatico, ma che possono fornire materiale per meglio veicolare determinati vettori di attacco, come possono essere i VIRUS informatici o altre tipologie di attacco.

 

Così facendo, lavorando nell’illecito, si fanno soldi facili a discapito di comuni cittadini e aziende. Per questo ragazzi di 13 / 14 anni si affacciano al deep web per fare soldi, per esempio come spacciatori ma anche tecnici qualificati. Molti di loro sono già bravi programmatori, grazie alle info trovate in rete assemblano quegli strumenti che poi metteranno in ginocchio le aziende attaccate.

Sottolineo questo, in quanto non ci troviamo di fronte un solo nemico, che più genericamente potremmo chiamare Hacker, ma ognuno di noi può esserlo anche se non direttamente, fornendo info utili anche senza saperlo, vedi social network.

In altri termini, dobbiamo affinare sempre di più la conoscenza delle persone in riferimento alle sempre nuove attività di d’attacco. Purtroppo contrastare la criminalità informatica è molto difficile in quanto la tecniche di attacco sono in continua “metamorfosi” grazie alle nuove tecnologie ma tutto questo deve fare in modo che anche noi dobbiamo affinare le tecniche di difesa e aumentare la formazione per un miglior contrasto del cyber crime.

L’associazione RED può dare un grande contributo perché proprio come una rete, per essere efficace deve essere compatta. Questa rete è forte perché all’interno ci sono molte figure professionali differenti ma con un unico obiettivo. Questo migliora la multidisciplinarità

delle competenze e la completezza delle informazioni, proprio quello che serve nella sicurezza informatica.

Il mio compito all’interno di RED, insieme ad altri colleghi, sarà proprio quello di aumentare la percezione del rischio per far diminuire notevolmente i pericoli di attacco, ancora molto elevati all’interno sia dei contesti aziendali che professionali in genere, fornendo un’adeguata informazione e formazione a coloro che quotidianamente usano il web e i suoi strumenti.

 

Articolo dal Resto del Carlino del 12/09/2017

 

Storia di un attacco informatico – Ransomware –

In questi giorni, oltre ai casi di Man in the mail, cioè la truffa dell’IBAN, ho trattato anche tre
casi di Ransomware, due contagiati via email e uno da attacco diretto.
Anche queste minacce sono in rapida espansione grazie ad una non corretta gestione dei
sistemi informatici. Purtroppo ciò che hanno in comune tutti è la mancata percezione del
problema e una scarsa formazione trasversale a partire dagli utenti fino ad arrivare ai
consulenti/IT.
Nei casi trattati sono stati crittografati, non solo i dati, ma anche i sistemi che fungevano da
backup.
Questo purtroppo accade per via di strategie errate e configurazioni fatte veramente male.
Come se non fosse bastato erano presenti apparati non aggiornati con le ultime release e
patch di aggiornamento alla sicurezza, un po’ come dire avere Windows e non aggiornarlo
mai. Sarebbe un grave errore. Anche i dispositivi di rete, come stampanti, nas, firewall e UTM
devono essere aggiornati regolarmente.
Il caso di qui parlerò oggi è un attacco diretto ad un server. Quest’ultimo era raggiungibile da
internet senza le opportune sicurezze. L’unica “finta” sicurezza erano le credenziali, nome
utente e password.
PREMESSA
Per meglio comprendere un po’ come funziona tale sistema e come sia possibile che un server
venga violato nonostante tutto sia protetto da nome utente e password, dobbiamo dire che
normalmente, anche se noi non lo vediamo, in internet ci sono sistemi che acquisiscono
informazioni H24 365 giorni l’anno. Le info da trovare sono nei siti internet dove vengono
individuate le tecnologie usate per capirne le vulnerabilità, o altri servizi come ad esempio la
telefonia VoIP, servizi di posta, database, server FTP, NAS o sistemi cloud, o la presenza di
servizi violabili come “RDP” Remote Desktop, usati da molti utenti per collegarsi da casa al
server aziendale.
Scenario
Quando un cliente chiede al proprio consulente, “ mi dai la possibilità di collegarmi da casa al
server dell’ ufficio? Ma non mi far spendere troppo ok? “
La soluzione adottata……..errata
Quello che molti consulenti fanno è la creazione di una regola nel router ad. Esempio di
TELECOM, FASTWEB ecc, che permette tutto il traffico proveniente da internet verso una
specifica porta TCP (tra poco vediamo che cos’è) verso la stessa porta del server aziendale così
permettono l’accesso istantaneo alle risorse dell’azienda da parte del cliente da qualsiasi
parte del mondo. Vista così è una bella opportunità!!!!!
Ma come lo può fare lui lo possono fare tutti, cioè tutti possono arrivare alla fase di login di
quel server, soprattutto coloro che H24 per 365 giorni l’anno sfruttano i loro computer e le
reti di internet per scansionare i dispositivi collegati ad internet alla ricerca di queste
situazioni – Vulenarabilità-. Poi vediamo come si entra senza nome utente e password.
Il cliente però non sa e a volte neanche il consulente, che questa pratica è molto rischiosa però
entrambi pensano… “ tanto chi vuoi che vada a prendere i dati del mio cliente/server, poi gli
ho cambiato il numero di porta TCP da 3389 l’ho messo a 8899 poi gli metto un bella
password. Cosa vuoi che succeda? “.
Purtroppo questi sono ragionamenti che sento spesso.
Facciamo un po’ di chiarezza i numeri 3389 e 8899 fate finta che siano il numero civico di
dove abitate e che la vostra aDSL, che ha un’idirizzo IP Pubblico es. 88.77.43.xx sia la via.
Per raggiungere il server bisognerà dire al programma di contattare 88.77.43.xx alla porta
8899.

NOTA
Altra cosa da sapere che per via di questa “usanza” molti impianti di video sorveglianza vengono
violati e usati per capire se le case sono vuote oppure no. In altri casi si possono sfruttare quelle
telecamere e gli stessi DVR per attaccare l’azienda o le abitazioni.

Descrizione dell’attacco

Il consulente e il cliente, spesso non sanno che la totalità dei software hanno delle
“vulnerabilità” le quali vengono cercate e trovate da esperti programmatori e vendute nel
deep web al miglior offerente.

Chi le acquista le sfrutterà per sferrare attacchi ed entrare nei sistemi informatici, qualunque
essi siano, che non siano adeguatamente protetti, aggiornati e costantemente monitorati.
L’adozione di tecniche avanzate di attacco con l’ausilio dello sfruttamento di tali vulnerabilità,
permettono di bypassare le credenziali di accesso.

Una volta entrati, iniziano a lanciare i loro software che andranno a crittografare tutto il
contenuto del server. All’interno di un server di norma troviamo programmi di contabilità,
dati aziendali, database, backup. Inoltre una volta introdotti nel server potranno identificare
anche gli altri dispositivi presenti nella rete, quali NAS, stampanti, sistemi di domotica etc.
Tutto ciò che potranno compromettere lo comprometteranno.

L’hacker ha tutto il tempo che vuole per studiarsi il server e i dati ivi contenuti.
E’ una persona che fa questo di mestiere e che conosce i veri meccanismi dell’informatica.
Dalle analisi si è risalito che l’accesso è stato fatto di venerdì sera verso le 18 e tutti i dati sono
stati, in modo meticoloso, crittografati entro la domenica notte.

Hanno crittografato il NAS dove erano presenti le copie e l’hard disk che era stato lasciato
attaccato al server in modo incauto. Inoltre il database della contabilità, i dati aziendali
presenti nelle cartelle condivise e i dati presenti su un altro pc in rete.

L’attaccante ha richiesto il pagamento di 4000 dollari come riscatto per avere il software con
le relative password al fine di de-crittografare.
PENSIAMO PER UN’ISTANTE SE QUEI DATI FOSSERO STATI RUBATI PER DISPETTO E
PUBBLICATI SUL WEB.

NOTA
Ci tengo a dire che oggi come oggi quando si parla di Virus si pensa al Ransomware.
Questa associazione non è del tutto corretta. Bisogna sapere che in parallelo ci sono software
malevoli che hanno lo specifico compito di introdursi e acquisire informazioni dal computer e
perciò dell’utente, come ad esempio indirizzi email, account social, mail password,
acquisizione di ciò che si scrive, interi file. Purtroppo esistono centinaia di migliaia di varianti
di questi software malevoli, ognuno con il proprio compito. Molti di loro possono essere
dormienti e attivati solo durante un attacco massivo.

Il Ransomware è un problema molto grave in quanto blocca le attività aziendali, ma spesso,
personalmente ritengo, che gli altri siano di gran lunga più pericolosi.

Cosa fare per prevenire

1. Fate attenzione alle email, anche a quelle con mittenti conosciuti. Sappiate che è semplice
impersonare qualcun altro. – Ma come è possibile che un estraneo sappia che ho rapporti di
lavoro con l’azienda mario.rossi@gnail.com? Niente di più semplice:
• Ricerca sui social
• Qualche vecchio virus che vi ha rubato i contatti collezionati
• Qualche virus presente sul computer di mario.rossi@gnail.com
• Vi hanno violato il sito internet e hanno acquisito tutti gli indirizzi lì memorizzati
In realtà possono essere tante le motivazioni, queste sono solo degli esempi.
2. Cercate di adottare sistemi di sicurezza perimetrali efficaci e certificati. Chi ve li monta deve
essere qualificato e certificato. Tali strumenti se ben implementati vi garantiranno una
sicurezza pari al 95% . La continua comunicazione tra il sistema di difesa perimetrale e
l’agent istallato sulla macchina, farà in modo che qualsiasi minaccia venga mitigata nel miglior
modo.
3. Quando una lavorazione di sicurezza viene realizzata con estrema semplicità, diffidate.
4. Non adottate gli Antivirus, ma bensì suite di sicurezza denominate Internet Security o Total
Security commerciali, Kaspersky, Mcafee, Trend Micro, BitDefender ecc. Tali sistemi
implementano molte più analisi ma soprattutto implementano un’attività di analisi
comportamentale è fanno riferimento a banche dati centrali dove anche loro acquisiscono in
tempo reale informazioni sulle nuove minacce (intelligenza collettiva). Questi sistemi devono
essere poi ben configurati. A volte la sola istallazione non basta.
5. Attenzione all’apertura di allegati sospetti.
6. Usate sistemi cloud come virus total per identificare eventuali minacce negli allegati.
7. Richiedete ai vostri consulenti programmazioni specifiche del sistema operativo al fine di
limitare le attività intraprese da un’eventuale minaccia nel caso riuscisse ad accedere al
vostro sistema. (Lavorare con utente standard e non administrators)
8. Fate attenzione all’apertura degli allegati con le MACRO, sempre più spesso vengono usati
come veicolo di attacco.
9. Se usate un server microsoft, fatevi attivare le “shadow copy”. Questo permette di avere di
una cartella o di un file più versioni. Un Ransomware proveniente dalla rete da un computer
attaccato, che crittografa quella specifica cartella, si avrà la possibilità di recuperarla.
10. Molti NAS, come Gigasys o QNAP hanno funzionalità avanzate per la protezione da questi
attacchi.
11. Per collegarvi ai vostri server aziendali usate le VPN crittografate (NO PPTP)
12. In presenza di sistemi avanzati di protezione perimetrali e di IP STATICI potete pensare di
realizzare una regola ad hoc per l’accesso da quel dato IP verso quella specifica porta relativa
al server.
13. Aggiornare costantemente Windows e tutti i software presenti sul vostro computer
NEL CASO DI JAVA, dove è sempre un problema aggiornarlo in quanto poi abbiamo paura che
non ci funzioni più qualcosa, come portali istituzionali, agenzia delle entrate ecc, possiamo
configurarlo al fine che non venga sfruttato da eventuali siti internet compromessi.
Avendo un buon sistema di sicurezza perimetrale o nel caso di computer singoli, di un buon
sistema internet security è possibile configurare lo strumento di sicurezza al fine di limitare
l’esecuzione di alcuni eseguibili da determinate cartelle.
Conclusioni
Questi qui elencati sono solo alcuni accorgimenti, ma se già si adottassero tutti, potreste
dormire sogni tranquilli .
L’importante è comprendere che non sono le tecnologie adottate o i sistemi inseriti che fanno
la sicurezza ma bensì le buone configurazioni applicate alle tecnologie e ai sistemi, i test e
l’adozione di strategie sempre nuove per contrastare le nuove minacce.

Workshop: Cyber Crime e Cyber Security

Workshop “Cyber Crime e Cyber Security” – Partecipazione gratuita

“I crimini informatici a danno di imprese, enti e liberi professionisti. Come tutelare in modo efficace la sicurezza delle informazioni”

Venerdì 27 novembre 2015, ore 9.00  – Hotel Cosmopolitan, Civitanova Marche (MC)

 

Cybercrime: attacchi informatici in crescita ovunque (Rapporto Clusit Italia 2015).

Mentre gli attacchi si moltiplicano a dismisura e diventano sempre più sofisticati, le piccole e medie imprese continuano a vedere il problema ancora lontano. I tempi del “chi vuoi che sia interessato ad attaccare uno come me” sono finiti però da parecchi anni. La sicurezza informatica è oggi un problema che tocca tutte le aziende, indipendentemente dalle dimensioni. Gli attacchi informatici nella maggior parte dei casi non mirano a un utente “particolare” ma a rubare più informazioni possibili a chiunque capiti per chiedergli poi un riscatto in denaro.

Prevenire i rischi è meglio che dover poi correre disperatamente ai ripari, con gravi perdite di dati, di tempo e di denaro. Difendersi dal crimine informatico si può!

Non serve nascondere la testa sotto la sabbia: conoscere il problema è il primo passo per costruire un’efficace sistema di difesa.

ISCRIVETEVI  SUBITO A QUESTO IMPORTANTE SEMINARIO: I MIGLIORI PROFESSIONISTI ED ESPERTI DI SICUREZZA INFORMATICA  ILLUSTRERANNO I CRIMINI IN CORSO, SPECIE NEL NOSTRO TERRITORIO E  INDICHERANNO COSA OCCORRE FARE PER DIFENDERSI.

NON BISOGNA AVERE PAURA DELLE TECNOLOGIE DIGITALI (il mondo diventerà sempre più digitale ed interconnesso) MA OCCORRE SAPERLE USARE CORRETTAMENTE ED IN SICUREZZA!

SCARICA IL PROGRAMMA COMPLETO

Grave Vulnerabilità SSH

OpenSsh_Vulnerability

 

OpenSSH è un metodo di collegamento da remoto ed è  utilizzato da moltissimi dispositivi come router, firewall, sistemi di storage come NAS e molto altro, per l’accesso da remoto. 3 o 6 tentativi di accesso. Ma i ricercatori di sicurezza KingCope recentemente rivelato Un bug permette ad un utente malintenzionato di eseguire migliaia di richieste di autenticazione volte in apertura della finestra di login due minuti. Un utente malintenzionato può quindi utilizzare una password comune combinazioni lanciare attacco di forza bruta . Attacco a forza bruta è una minaccia abbastanza comune, e le vulnerabilità scoperte di recente consente a un utente malintenzionato di configurare più facilmente ed efficacemente server SSH dovrebbero limitare i tentativi di accesso, o limitare l’accesso a IP.