Videosorveglianza e rilevazione delle presenze: il Garante Privacy sanziona un Comune

Tratto da www.garanteprivacy.it – Newsletter del 21/05/2024

Videosorveglianza e rilevazione delle presenze: il Garante Privacy sanziona un Comune

L’installazione degli “occhi elettronici” nei luoghi di lavoro deve rispettare gli obblighi previsti dallo Statuto dei lavoratori e le garanzie assicurate ai dipendenti dalla normativa privacy. Il principio è stato ribadito dal Garante Privacy che ha inflitto ad un Comune una sanzione di 3mila euro per trattamento illecito di dati personali.

L’Autorità è intervenuta a seguito della segnalazione di una dipendente che lamentava l’installazione di una telecamera nell’atrio del Comune, in prossimità dei dispositivi di rilevazione delle presenze dei lavoratori. Attraverso l’utilizzo delle immagini registrate, l’amministrazione aveva contestato alla dipendente alcune violazioni dei propri doveri d’ufficio, tra cui il mancato rispetto dell’orario di servizio. Alla richiesta di spiegazioni da parte dell’Autorità, il Comune ha risposto che la telecamera era stata installata per motivi di sicurezza, a seguito di alcune aggressioni ai danni di un assessore e di un’assistente sociale. 

Nel corso dell’istruttoria il Garante ha rilevato che il Comune non aveva, tuttavia, assicurato il rispetto delle procedure di garanzia previste dalla disciplina di settore in materia di controlli a distanza e aveva peraltro utilizzato le immagini di videosorveglianza per adottare un provvedimento disciplinare nei confronti della lavoratrice.

L’Autorità ha, pertanto, sanzionato l’Amministrazione ingiungendo, inoltre, alla stessa di fornire a tutti gli interessati (lavoratori e visitatori presso la sede comunale) un’idonea informativa sui dati personali trattati mediante l’utilizzo della telecamera in questione. Il Comune non aveva infatti reso tutti gli elementi informativi previsti dal Regolamento europeo, né potevano essere considerati idonei altri documenti redatti dal titolare per diversi fini.

22 Maggio 2024

Pa: trasparenza siti, il Garante Privacy chiede più tutele per i dati personali

Tratto da www.garanteprivacy.it – Newsletter del 10/04/2024

Parere favorevole del Garante Privacy ad Anac su 14 quattordici schemi standard di pubblicazione che dettano le regole che le Pa devono seguire per rispettare gli obblighi di trasparenza online.

Gli schemi, previsti dal decreto trasparenza (d. lgs. n. 33/2013) tengono conto delle diverse osservazioni formulate dall’Ufficio.

Per garantire la riservatezza degli interessati ed evitare il rischio di eventuali sanzioni per violazione della normativa privacy, le Pa dovranno limitarsi, fra l’altro, a pubblicare nella sezione “amministrazione trasparente” dei rispettivi siti web solo dati necessari, come ad es., il numero di telefono, l’indirizzo email e pec dell’ufficio – e non i dati del dipendente – cui il cittadino può rivolgersi per richieste all’amministrazione. E negli esiti dei concorsi pubblici dovranno pubblicare il nome, il cognome, (la data di nascita, in caso di omonimia) e la posizione in graduatoria dei vincitori e degli idonei dichiarati vincitori a seguito dello scorrimento della graduatoria. Inoltre, nella pubblicazione dei dati riguardanti i pagamenti, le Pa dovranno oscurare i dati identificativi dei destinatari di benefici economici inferiori a mille euro nell’anno solare e in ogni caso se dalla pubblicazione è possibile ricavare informazioni relative allo stato di salute o alla situazione di disagio economico-sociale.

Nel dare il proprio parere positivo sugli schemi standard di pubblicazione, il Garante tuttavia ha chiesto ad Anac di innalzare il livello di tutela. Ad esempio, nel caso di pubblicazione dei dati relativi alla valutazione della performance e alla distribuzione dei premi al personale, le Pa devono evitare di pubblicare dati troppo dettagliati che possano identificare il dipendente e l’ammontare del premio erogato (o non erogato) a suo favore. Potranno invece pubblicare i dati riferiti all’ammontare complessivo dei premi stanziati e all’ammontare dei premi effettivamente distribuiti. Il Garante invita, inoltre, a valutare l’opportunità di prevedere un periodo transitorio per consentire alle pubbliche amministrazioni di uniformarsi progressivamente e gradualmente alle nuove modalità di pubblicazione sui siti web istituzionali.

11 Aprile 2024

Attacco hacker ai sistemi informatici della Regione Lazio: sanzioni del Garante privacy

Tratto da www.garanteprivacy.it – Newsletter del 10/04/2024

Con tre sanzioni di 271mila, 120mila e 10mila euro, irrogate rispettivamente a LAZIOcrea (società che gestisce i sistemi informativi regionali), alla Regione Lazio e alla ASL Roma 3, il Garante Privacy ha definito i procedimenti aperti dopo l’attacco informatico al sistema sanitario regionale avvenuto nella notte tra il 31 luglio e il 1° agosto del 2021. Il data breach – causato da un ransomware introdotto nel sistema attraverso un portatile in uso a un dipendente della Regione – ha bloccato l’accesso a molti servizi sanitari impedendo, tra l’altro, la gestione delle prenotazioni, i pagamenti, il ritiro dei referti, la registrazione delle vaccinazioni. Asl, aziende ospedaliere, case di cura non hanno potuto utilizzare alcuni sistemi informativi regionali, attraverso i quali sono trattati i dati sulla salute di milioni di assistiti, per un arco temporale che è andato da poche ore (48) ad alcuni mesi. [VEDI PROVVEDIMENTI doc. web n. 10002324, 10002533, 10002287]

Dagli accertamenti e dalle ispezioni effettuate dall’Autorità è emerso che LAZIOcrea e Regione Lazio, pur con differenti ruoli e livelli di responsabilità, sono incorse in numerose e gravi violazioni della normativa privacy, dovute in prevalenza all’adozione di sistemi non aggiornati e alla mancata adozione di misure di sicurezza adeguate a rilevare tempestivamente le violazioni di dati personali e a garantire la sicurezza delle reti informatiche.

L’inadeguata sicurezza dei sistemi ha determinato, nel corso dell’attacco informatico, l’impossibilità per le strutture sanitarie regionali di accedere al sistema ed erogare alcuni servizi sanitari ai loro assistiti. In particolare, l’indisponibilità dei dati è stata determinata dall’attacco informatico, che ha reso inaccessibili circa 180 server virtuali, nonché dalla scelta di LAZIOcrea di spegnere tutti i sistemi, non essendo in grado di determinare quali fossero quelli compromessi, né di evitare un’ulteriore propagazione del malware. Inoltre, LAZIOcrea non ha posto in essere le azioni necessarie per una gestione corretta del data breach e delle sue conseguenze, in particolare nei confronti dei soggetti per i quali svolge compiti da responsabile del trattamento (a partire dalle numerose strutture sanitarie coinvolte).

La Regione Lazio, dal canto suo, in qualità di titolare del trattamento, avrebbe dovuto esercitare in maniera più efficace la vigilanza su LAZIOcrea, quale suo responsabile del trattamento, assicurando un livello di sicurezza adeguato ai rischi nonché la protezione dei dati fin dalla progettazione.

Nel definire l’ammontare delle sanzioni il Garante ha tenuto conto della natura e della gravità delle violazioni, nonché del grado di responsabilità, in particolare, di soggetti come LAZIOcrea e la Regione Lazio.

Alla Asl Roma 3 che, diversamente da altre strutture sanitarie, non ha notificato il data breach determinato dall’indisponibilità dei dati sulla salute degli assistiti trattati nell’ambito di alcuni sistemi, il Garante ha applicato la sanzione di 10mila euro.

Scoperto codice dannoso nelle distribuzioni Linux

Una backdoor impiantata in XZ Utils è riuscita a insinuarsi in alcune distribuzioni Linux molto popolari

Alcuni cybercriminali sconosciuti hanno impiantato codice dannoso nelle versioni 5.6.0 e 5.6.1 di XZ Utils, un insieme di strumenti software open source progettati per la compressione dei file. A peggiorare le cose, le utility troianizzate sono riuscite a insinuarsi in diverse build popolari di Linux rilasciate a marzo, per cui questo incidente potrebbe essere considerato un attacco alla supply-chain. Questa vulnerabilità è stata denominata CVE-2024-3094.

Cosa rende questo impianto dannoso così pericoloso?

Inizialmente, diversi ricercatori hanno affermato che questa backdoor consentiva agli hacker di bypassare l’autenticazione sshd (il processo del server OpenSSH) e di ottenere da remoto un accesso non autorizzato al sistema operativo. Tuttavia, a giudicare dalle ultime informazioni, questa vulnerabilità non dovrebbe essere classificata come “bypass dell’autenticazione”, ma come “esecuzione di codice remoto” (RCE). La backdoor intercetta la funzione RSA_public_decrypt, verifica la firma dell’host utilizzando la chiave fissa Ed448 e, se la verifica ha esito positivo, esegue il codice dannoso passato dall’host tramite la funzione system(), senza lasciare tracce nei log di sshd.

Quali distribuzioni Linux contengono utility dannose e quali sono sicure?

Si sa che le versioni 5.6.0 e 5.6.1 di XZ Utils sono state incluse nelle build di marzo delle seguenti distribuzioni Linux:

  • Kali Linux, ma, secondo il blog ufficiale, solo quelli disponibili tra il 26 e il 29 marzo (il blog include anche le istruzioni per verificare la presenza di versioni vulnerabili delle utility);
  • openSUSE Tumbleweed e openSUSE MicroOS, disponibili dal 7 al 28 marzo;
  • Fedora 41, Fedora Rawhide e Fedora Linux 40 beta;
  • Debian (distribuzioni di testing instabili e sperimentali);
  • Arch Linux, immagini container disponibili dal 29 febbraio al 29 marzo. Il sito org afferma però che, a causa delle specificità legate all’implementazione, questo vettore di attacco non funzionerà in Arch Linux, ma raccomanda comunque vivamente di aggiornare il sistema.

Secondo le informazioni ufficiali, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise, openSUSE Leap e Debian Stable non sono vulnerabili. Per quanto riguarda le altre distribuzioni, si consiglia di verificare manualmente la presenza di versioni troianizzate di XZ Utils.

Come è stato possibile impiantare il codice dannoso in XZ Utils?

A quanto pare, si tratta di un caso atipico di trasferimento del controllo. La persona che inizialmente ha mantenuto il progetto XZ Libs su GitHub ha passato il controllo del repository a un account che ha contribuito a una serie di repository relative alla compressione dei dati per diversi anni. E a un certo punto, qualcuno che si nascondeva dietro a quest’altro account ha impiantato una backdoor nel codice del progetto.

L’epidemia sfiorata che non si è mai verificata

Secondo Igor Kuznetsov, responsabile del nostro Global Research and Analysis Team (GReAT), lo sfruttamento di CVE-2024-3094 avrebbe potuto potenzialmente diventare il più grande attacco su larga scala all’ecosistema Linux in tutta la sua storia. Questo perché era rivolto principalmente ai server SSH, il principale strumento di gestione remota di tutti i server Linux su Internet. Se fosse finito nelle distribuzioni stabili, probabilmente avremmo assistito a un gran numero di attacchi ai server. Tuttavia, fortunatamente, la CVE-2024-3094 è stata rilevata nelle distribuzioni di testing e rolling, in cui vengono utilizzati i pacchetti software più recenti. In altre parole, la maggior parte degli utenti Linux è  al sicuro. Finora non abbiamo rilevato nessun caso di sfruttamento di CVE-2024-3094.

Come proteggersi?

La U.S. Cybersecurity and Infrastructure Security Agency (CISA) raccomanda a tutti coloro che hanno installato o aggiornato i sistemi operativi colpiti nel mese di marzo di eseguire immediatamente il downgrade di XZ Utils a una versione precedente (ad esempio, la versione 5.4.6). E di avviare anche una scansione alla ricerca di attività dannose.

Se avete installato una distribuzione con una versione vulnerabile di XZ Utils, è opportuno inoltre cambiare tutte le credenziali che potrebbero venire sottratte al sistema da parte degli autori delle minacce.

È possibile individuare la presenza di una vulnerabilità utilizzando la regola Yara per CVE-2024-3094.

Se si sospetta che un cybercriminale possa aver avuto accesso all’infrastruttura aziendale, è possibile utilizzare il servizio Kaspersky Compromise Assessment per scoprire eventuali attacchi passati o in corso.

Per ulteriori informazioni: dircom@argonavis.it

9 Aprile 2024

Attacchi alle reti Wi-Fi con l’utilizzo dell’intercettazione PMKID

Tratto da: Blog Kaspersky

Autore: Alanna Titterington

L’attacco più semplice ed efficace a WPA/WPA2-PSK: l’intercettazione PMKID

L’intercettazione PMKID è il metodo più efficace, facile da eseguire e completamente non rilevabile per attaccare le reti wireless protette dagli standard WPA/WPA2. In sostanza, questo attacco comporta l’intercettazione delle password Wi-Fi crittografate che i router wireless trasmettono costantemente, anche quando non è connesso alcun dispositivo. Dopo aver ottenuto la password crittografata, l’autore dell’attacco può utilizzare il metodo di forza bruta per decrittografarla e quindi connettersi alla rete Wi-Fi.

Questo attacco può essere effettuato anche su larga scala utilizzando una tecnica chiamata wardriving. In questo caso, l’autore dell’attacco si sposta per una città eseguendo la scansione di tutte le reti wireless disponibili e intercettando le password crittografate trasmesse dai router. Non sono necessarie molte attrezzature per farlo: bastano un laptop, un adattatore Wi-Fi a lungo raggio e un’antenna potente.

Le password crittografate intercettate possono essere violate anche in mobilità. Tuttavia, l’autore dell’attacco potrebbe preferire aspettare di essere a casa e immettere tutte le password raccolte in uno strumento per decifrarle su un computer ad alte prestazioni (o noleggiare potenza di calcolo sul cloud). L’efficacia di questo attacco è stata recentemente dimostrata ad Hanoi: un hacker vietnamita ha effettuato la scansione di circa 10.000 reti wireless ed è riuscito a decifrare le password di metà di esse.

Com’è possibile hackerare il Wi-Fi utilizzando l’intercettazione PMKID?

Perché i router wireless trasmettono continuamente la password Wi-Fi, anche se in formato crittografato? Questa è una funzione di base dello standard 802.11r, che è implementato nella maggior parte dei router e in genere è abilitato per impostazione predefinita. Questo standard consente il roaming veloce nelle reti Wi-Fi utilizzando più punti di accesso. Per accelerare la riconnessione del dispositivo client ai nuovi punti di accesso, i dispositivi trasmettono costantemente il proprio identificatore: lo stesso PMKID.

Questo identificatore è un derivato della chiave PMK (Pairwise Master Key). Più precisamente, contiene il risultato di un calcolo della funzione hash SHA-1, i cui dati di origine includono la chiave PMK e alcuni dati aggiuntivi. La chiave PMK stessa, a sua volta, è il risultato di un calcolo della funzione hash SHA-1 della password Wi-Fi.

In altre parole, il PMKID contiene la password della rete wireless, sottoposta ad hashing due volte. In teoria, il processo di hashing è irreversibile, il che significa che è impossibile recuperare i dati originali dal valore hash risultante. I creatori dello standard 802.11r si sono presumibilmente basati su questo presupposto per ideare il meccanismo di roaming veloce tramite PMKID.

Tuttavia, i dati con hashing possono essere sottoposti ad attacchi di forza bruta. L’operazione è resa particolarmente semplice dal fatto che le persone utilizzano di rado password particolarmente complesse per le reti wireless, basandosi spesso su combinazioni di caratteri abbastanza prevedibili. I creatori dello standard 802.11r ovviamente non ne hanno tenuto conto.

Questo problema è stato scoperto alcuni anni fa dal team che sta dietro a una delle utilità di recupero password più popolari (in altre parole uno strumento per decifrare le password), Hashcat. Da allora, sono stati sviluppati strumenti specializzati specificamente per decifrare i PMKID intercettati.

In pratica, l’autore dell’attacco di solito intercetta il PMKID contenente la password crittografata e quindi utilizza un attacco a dizionario, ovvero applica la forza bruta alle password più comuni, che vengono raccolte in un database.

Come proteggere la rete wireless da un attacco PMKID

Cosa puoi fare per prevenire un attacco di intercettazione PMKID alla tua rete wireless? Fortunatamente, ci sono diverse misure di protezione che non sono troppo difficili da implementare:

  • Crea una password per la tua rete wireless che sia quanto più lunga e complessa possibile. Se l’autore di un attacco PMKID intercetta la password con hash dal Wi-Fi, deve comunque decrittografarla in seguito: più complessa è la password, minori sono le probabilità che riesca nel suo intento. Pertanto, per proteggerti da questo attacco, crea la password più lunga e indecifrabile possibile per la rete wireless.
  • Disabilita la trasmissione PMKID nelle impostazioni del router. Sfortunatamente, non tutti i router lo consentono, ma vale la pena verificare se il tuo dispone di questa impostazione. Puoi trovarla cercando PMKID o 802.11r.
  • Passa a WPA3. Se tutti i tuoi dispositivi supportano questo standard di protezione Wi-Fi più recente, vale la pena valutare se passare a questo protocollo: WPA3 è generalmente molto più sicuro di WPA2 e, soprattutto, non è suscettibile di intercettazione PMKID.
  • Imposta una rete guest. Può essere noioso dover immettere frequentemente una password complessa per la rete principale nei nuovi dispositivi, quindi configura una rete guest con una password più semplice. A proposito, è anche consigliabile trasferire elementi potenzialmente non sicuri come i dispositivi IoT nella rete guest.

Per una protezione aggiuntiva dei dati trasmessi nel caso qualcuno riesca comunque ad hackerare la tua rete Wi-Fi, utilizza una VPN su tutti i dispositivi per proteggere la connessione Internet.

4 Aprile 2024