Cos’è la direttiva NIS 2 e come prepararsi

Tratto da: Blog Kaspersky

Redazione: Alanna Titterington – 23/07/2024

La revisione della direttiva sulla sicurezza delle reti e dei sistemi informativi (NIS 2) è la legislazione europea in materia di sicurezza informatica. NIS 2 aggiorna e integra la direttiva NIS (Network and Information Security) originale, adottata nel 2016, e crea un quadro giuridico per migliorare il livello generale della sicurezza informatica in tutta l’UE.

La direttiva NIS 2 aggiornata si concentra su tre aree principali:

Ampliamento del campo di applicazione: nuovi settori vengono a integrare i sette già inseriti nella direttiva NIS originale

Nuovi meccanismi per la segnalazione dei casi e la condivisione delle informazioni: NIS 2 impone la segnalazione tempestiva di casi significativi

Applicazione più rigorosa della conformità: l’aggiornamento a NIS 2 introduce sanzioni specifiche per la mancata conformità, comprese ammende fino al 2% del fatturato annuo globale

A quali organizzazioni si applica NIS 2? Come accennato in precedenza, la direttiva rivista amplia notevolmente l’ambito di applicazione rispetto alla versione originale del 2016. Inoltre, NIS 2 introduce una classificazione che divide i settori coperti in due categorie:

  • Settori ad alta criticità (Allegato I):
    • Energia (elettricità, teleriscaldamento e teleraffreddamento, gas, idrogeno, petrolio)

    • Trasporti (aereo, ferroviario, marittimo, stradale)

    • Settore bancario

    • Infrastrutture del mercato finanziario

    • Sanità

    • Acqua potabile

    • Acque reflue

    • Infrastruttura digitale

    • Gestione dei servizi ICT (MSP, MSSP)

    • Enti di pubblica amministrazione

    • Settore spaziale

    Altri settori critici (Allegato II):
    • Servizi postali e di corriere

    • Gestione dei rifiuti

    • Fabbricazione, produzione e distribuzione di prodotti chimici

    • Produzione, lavorazione e distribuzione di cibo

    • Settore manifatturiero (dispositivi medici, computer, prodotti elettronici o ottici, apparecchiature elettriche, macchinari, veicoli a motore, altri mezzi di trasporto)

    • Fornitori digitali

    • Ricerca

    • Oltre a classificare i settori, NIS 2 introduce un’ulteriore classificazione di specifici soggetti. Anch’essa si compone di due categorie:

  • Essenziale (Articolo 3.1):
    • Grandi realtà (ricavo annuo superiore a 50 milioni di euro) in settori ad alta criticità

    • Autorità di certificazione, registrar di domini di primo livello e provider DNS, indipendentemente dalle dimensioni dell’azienda

    • Operatori di telecomunicazioni, da medie dimensioni in su (ricavi oltre 10 milioni di euro)

    • Istituzioni di pubblica amministrazione

    • Qualsiasi soggetto appartenente a un settore altamente critico o a un altro settore critico definito da uno Stato membro dell’UE come essenziale


  • Importante (Articolo 3.2):
    • Soggetti di medie dimensioni (ricavo annuo di 10-50 milioni di euro) in settori ad alta criticità

    • Medi e grandi soggetti in altri settori critici

    • Qualsiasi soggetto definito come importante da uno Stato membro dell’UE.

    • La categoria a cui appartiene un soggetto ha implicazioni pratiche significative.

    Le attività dei soggetti classificati come essenziali saranno sottoposte a una supervisione molto più rigorosa e proattiva, che includerà investigazioni inattese, speciali controlli di sicurezza e richieste di prove di conformità. In caso di non conformità con NIS 2, i soggetti essenziali possono incorrere in una multa fino a 10 milioni di euro o fino al 2% del fatturato annuo globale.

    I soggetti classificati come importanti sentiranno meno il fiato sul collo: saranno interessati da controlli meno rigorosi. Per i soggetti importanti le sanzioni sono leggermente più contenute: fino a 7 milioni di euro o fino all’1,4% del fatturato globale annuo.

    Tempistiche di NIS 2

    Si noti che, a differenza del GDPR, NIS 2 è una direttiva dell’Unione Europea, non un regolamento. Ciò significa che gli Stati membri dell’UE sono tenuti per legge a modificare la propria legislazione nazionale entro il termine stabilito. Nel caso di NIS 2, la scadenza è fissata per il 17 ottobre 2024. Inoltre, gli Stati membri dell’UE dovranno stilare gli elenchi dei soggetti essenziali e importanti interessati da NIS 2 entro il 17 aprile 2025.

    Come prepararsi all’attuazione di NIS 2?

    • Valutate se e in che misura i requisiti di NIS 2 si applicano alla vostra organizzazione
    • Indagate in che modo la direttiva NIS è stata recepita nella legislazione nazionale nel vostro Stato membro dell’UE
    • Seguite le raccomandazioni delle autorità nazionali per la sicurezza informatica
    • Valutate e sviluppate misure tecniche, operative e organizzative per la gestione della rete e dei sistemi informativi; rischi per la sicurezza.

    23 Luglio 2024

    Password: la compromissione è un gioco da ragazzi per i cybercriminali

    Tratto da: www.lineaedp.it

    Redazione: Redazione LineaEDP – 21/06/2024

    Gli algoritmi di smart guessing aiutano i cybercriminali a compromettere le password deboli

    Attraverso un nuovo studio, a giugno 2024 Kaspersky ha analizzato 193 milioni di password, che sono state trovate nel dominio pubblico su varie risorse darknet. I risultati dimostrano che la maggior parte delle chiavi d’accesso analizzate non erano sufficientemente forti e potevano essere facilmente compromesse utilizzando algoritmi di smart guessing. Ecco come capire la velocità con cui ciò può accadere:

    • 45% (87 milioni) in meno di 1 minuto.
    • 14% (27 milioni) – da 1 minuto a 1 ora.
    • 8% (15 milioni) – da 1 ora a 1 giorno.
    • 6% (12 milioni) – da 1 giorno a 1 mese.
    • 4% (8 milioni) – da 1 mese a 1 anno.

    Gli esperti hanno ritenuto resistenti solo il 23% (44 milioni) delle chiavi d’accesso e per comprometterle ci vorrebbe più di un anno.

    Inoltre, la maggior parte delle chiavi d’accesso esaminate (57%) contiene una parola del dizionario, il che ne riduce significativamente la forza. Tra le sequenze di vocaboli più popolari, si possono distinguere diversi gruppi:

    • Nomi: “ahmed”, “nguyen”, “kumar”, “kevin”, “daniel”.
    • Parole ricorrenti: “per sempre”, “amore”, “google”, “hacker”, “gamer”.
    • Password standard: “password”, “qwerty12345”, “admin”, “12345”, “team”.

    L’analisi ha mostrato che solo il 19% di tutte le password contiene gli elementi di una combinazione forte e difficile da decifrare: lettere minuscole e maiuscole, numeri e simboli e non contiene parole standard del dizionario. Allo stesso tempo, lo studio ha rivelato che il 39% di queste chiavi d’accesso potrebbe essere indovinato con algoritmi intelligenti in meno di un’ora.

    L’aspetto più preoccupante è che gli aggressori non hanno bisogno di conoscenze approfondite o di attrezzature costose per decifrare le chiavi d’accesso. Ad esempio, un potente processore di un computer portatile è in grado di trovare la combinazione corretta per una password di 8 lettere minuscole o cifre utilizzando la forza bruta in soli 7 minuti. Inoltre, le moderne schede video sono in grado di svolgere lo stesso compito in 17 secondi. Inoltre, gli algoritmi intelligenti per indovinare le password considerano le sostituzioni di caratteri (“e” con “3”, “1” con “!” o “a” con “@”) e le sequenze più diffuse (“qwerty”, “12345”, “asdfg”).

    Alcuni consigli da Kaspersky

    Per migliorare la policy in materia di password, gli utenti possono utilizzare i seguenti semplici consigli:

    • È quasi impossibile memorizzare chiavi d’accesso lunghe e uniche per tutti i servizi utilizzati, ma con un password manager è possibile memorizzare una sola password principale.
    • Utilizzare una password diversa per ogni servizio, in questo modo, anche se uno dei propri account venisse rubato, gli altri non sarebbero coinvolti.
    • Le passphrase possono essere più sicure quando si usano parole inaspettate. Anche se si utilizzano parole comuni, è possibile disporle in un ordine insolito e assicurarsi che non siano correlate. Esistono anche servizi online che aiuteranno a verificare se una password è abbastanza forte.
    • È meglio non utilizzare chiavi d’accesso che possano essere facilmente indovinate a partire da informazioni personali, come date di nascita, nomi di familiari, animali domestici o il proprio nome. Questi sono spesso i primi tentativi che compie un aggressore per indovinare la password.
    • Attivare l’autenticazione a due fattori (2FA). Nonostante non sia direttamente correlata alla forza delle password, l’attivazione della 2FA aggiunge un ulteriore livello di sicurezza. Anche se qualcuno scoprisse la password, avrebbe comunque bisogno di una seconda forma di verifica per accedere all’ account. I moderni gestori di password memorizzano le chiavi 2FA e le proteggono con i più recenti algoritmi di crittografia.
    • L’utilizzo di una soluzione di sicurezza affidabile aumenta il livello di protezione. Monitora Internet e il Dark Web e avvisa se le password devono essere modificate.

    Informazioni sullo studio della vulnerabilità delle password

    La ricerca è stata condotta sulla base di 193 milioni di password pubblicamente disponibili su varie risorse della darknet.

    Nell’ambito del sondaggio, gli esperti Kaspersky hanno utilizzato i seguenti algoritmi per indovinare le chiavi d’accesso:

    • Bruteforce: è un metodo per indovinare una password che consiste nel provare sistematicamente tutte le possibili combinazioni di caratteri fino a trovare quella corretta.
    • Zxcvbn: è un algoritmo di punteggio avanzato disponibile su GitHub. Per una password esistente, l’algoritmo ne determina lo schema. Successivamente, l’algoritmo conta il numero di iterazioni di ricerca necessarie per ogni elemento dello schema. Quindi, se la chiave d’accesso contiene una parola, la sua ricerca richiederà un numero di iterazioni pari alla lunghezza del dizionario. Avendo a disposizione il tempo di ricerca per ogni elemento dello schema, possiamo contare la forza della password.
    • Algoritmo di smart guessing: è un algoritmo di apprendimento. Basandosi sul set di dati delle password degli utenti, può calcolare la frequenza delle varie combinazioni di caratteri. Quindi può generare prove a partire dalle varianti più frequenti e dalle loro combinazioni a quelle meno ricorrenti.

    26 Giugno 2024

    Scoperto codice dannoso nelle distribuzioni Linux

    Tratto da Blog Kaspersky

    Redazione: Editorial Team – 05/04/2024

    Una backdoor impiantata in XZ Utils è riuscita a insinuarsi in alcune distribuzioni Linux molto popolari

    Alcuni cybercriminali sconosciuti hanno impiantato codice dannoso nelle versioni 5.6.0 e 5.6.1 di XZ Utils, un insieme di strumenti software open source progettati per la compressione dei file. A peggiorare le cose, le utility troianizzate sono riuscite a insinuarsi in diverse build popolari di Linux rilasciate a marzo, per cui questo incidente potrebbe essere considerato un attacco alla supply-chain. Questa vulnerabilità è stata denominata CVE-2024-3094.

    Cosa rende questo impianto dannoso così pericoloso?

    Inizialmente, diversi ricercatori hanno affermato che questa backdoor consentiva agli hacker di bypassare l’autenticazione sshd (il processo del server OpenSSH) e di ottenere da remoto un accesso non autorizzato al sistema operativo. Tuttavia, a giudicare dalle ultime informazioni, questa vulnerabilità non dovrebbe essere classificata come “bypass dell’autenticazione”, ma come “esecuzione di codice remoto” (RCE). La backdoor intercetta la funzione RSA_public_decrypt, verifica la firma dell’host utilizzando la chiave fissa Ed448 e, se la verifica ha esito positivo, esegue il codice dannoso passato dall’host tramite la funzione system(), senza lasciare tracce nei log di sshd.

    Quali distribuzioni Linux contengono utility dannose e quali sono sicure?

    Si sa che le versioni 5.6.0 e 5.6.1 di XZ Utils sono state incluse nelle build di marzo delle seguenti distribuzioni Linux:

    • Kali Linux, ma, secondo il blog ufficiale, solo quelli disponibili tra il 26 e il 29 marzo (il blog include anche le istruzioni per verificare la presenza di versioni vulnerabili delle utility);
    • openSUSE Tumbleweed e openSUSE MicroOS, disponibili dal 7 al 28 marzo;
    • Fedora 41, Fedora Rawhide e Fedora Linux 40 beta;
    • Debian (distribuzioni di testing instabili e sperimentali);
    • Arch Linux, immagini container disponibili dal 29 febbraio al 29 marzo. Il sito org afferma però che, a causa delle specificità legate all’implementazione, questo vettore di attacco non funzionerà in Arch Linux, ma raccomanda comunque vivamente di aggiornare il sistema.

    Secondo le informazioni ufficiali, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise, openSUSE Leap e Debian Stable non sono vulnerabili. Per quanto riguarda le altre distribuzioni, si consiglia di verificare manualmente la presenza di versioni troianizzate di XZ Utils.

    Come è stato possibile impiantare il codice dannoso in XZ Utils?

    A quanto pare, si tratta di un caso atipico di trasferimento del controllo. La persona che inizialmente ha mantenuto il progetto XZ Libs su GitHub ha passato il controllo del repository a un account che ha contribuito a una serie di repository relative alla compressione dei dati per diversi anni. E a un certo punto, qualcuno che si nascondeva dietro a quest’altro account ha impiantato una backdoor nel codice del progetto.

    L’epidemia sfiorata che non si è mai verificata

    Secondo Igor Kuznetsov, responsabile del nostro Global Research and Analysis Team (GReAT), lo sfruttamento di CVE-2024-3094 avrebbe potuto potenzialmente diventare il più grande attacco su larga scala all’ecosistema Linux in tutta la sua storia. Questo perché era rivolto principalmente ai server SSH, il principale strumento di gestione remota di tutti i server Linux su Internet. Se fosse finito nelle distribuzioni stabili, probabilmente avremmo assistito a un gran numero di attacchi ai server. Tuttavia, fortunatamente, la CVE-2024-3094 è stata rilevata nelle distribuzioni di testing e rolling, in cui vengono utilizzati i pacchetti software più recenti. In altre parole, la maggior parte degli utenti Linux è  al sicuro. Finora non abbiamo rilevato nessun caso di sfruttamento di CVE-2024-3094.

    Come proteggersi?

    La U.S. Cybersecurity and Infrastructure Security Agency (CISA) raccomanda a tutti coloro che hanno installato o aggiornato i sistemi operativi colpiti nel mese di marzo di eseguire immediatamente il downgrade di XZ Utils a una versione precedente (ad esempio, la versione 5.4.6). E di avviare anche una scansione alla ricerca di attività dannose.

    Se avete installato una distribuzione con una versione vulnerabile di XZ Utils, è opportuno inoltre cambiare tutte le credenziali che potrebbero venire sottratte al sistema da parte degli autori delle minacce.

    È possibile individuare la presenza di una vulnerabilità utilizzando la regola Yara per CVE-2024-3094.

    Se si sospetta che un cybercriminale possa aver avuto accesso all’infrastruttura aziendale, è possibile utilizzare il servizio Kaspersky Compromise Assessment per scoprire eventuali attacchi passati o in corso.

    Per ulteriori informazioni: dircom@argonavis.it

    9 Aprile 2024

    Attacchi alle reti Wi-Fi con l’utilizzo dell’intercettazione PMKID

    Tratto da: Blog Kaspersky

    Autore: Alanna Titterington

    L’attacco più semplice ed efficace a WPA/WPA2-PSK: l’intercettazione PMKID

    L’intercettazione PMKID è il metodo più efficace, facile da eseguire e completamente non rilevabile per attaccare le reti wireless protette dagli standard WPA/WPA2. In sostanza, questo attacco comporta l’intercettazione delle password Wi-Fi crittografate che i router wireless trasmettono costantemente, anche quando non è connesso alcun dispositivo. Dopo aver ottenuto la password crittografata, l’autore dell’attacco può utilizzare il metodo di forza bruta per decrittografarla e quindi connettersi alla rete Wi-Fi.

    Questo attacco può essere effettuato anche su larga scala utilizzando una tecnica chiamata wardriving. In questo caso, l’autore dell’attacco si sposta per una città eseguendo la scansione di tutte le reti wireless disponibili e intercettando le password crittografate trasmesse dai router. Non sono necessarie molte attrezzature per farlo: bastano un laptop, un adattatore Wi-Fi a lungo raggio e un’antenna potente.

    Le password crittografate intercettate possono essere violate anche in mobilità. Tuttavia, l’autore dell’attacco potrebbe preferire aspettare di essere a casa e immettere tutte le password raccolte in uno strumento per decifrarle su un computer ad alte prestazioni (o noleggiare potenza di calcolo sul cloud). L’efficacia di questo attacco è stata recentemente dimostrata ad Hanoi: un hacker vietnamita ha effettuato la scansione di circa 10.000 reti wireless ed è riuscito a decifrare le password di metà di esse.

    Com’è possibile hackerare il Wi-Fi utilizzando l’intercettazione PMKID?

    Perché i router wireless trasmettono continuamente la password Wi-Fi, anche se in formato crittografato? Questa è una funzione di base dello standard 802.11r, che è implementato nella maggior parte dei router e in genere è abilitato per impostazione predefinita. Questo standard consente il roaming veloce nelle reti Wi-Fi utilizzando più punti di accesso. Per accelerare la riconnessione del dispositivo client ai nuovi punti di accesso, i dispositivi trasmettono costantemente il proprio identificatore: lo stesso PMKID.

    Questo identificatore è un derivato della chiave PMK (Pairwise Master Key). Più precisamente, contiene il risultato di un calcolo della funzione hash SHA-1, i cui dati di origine includono la chiave PMK e alcuni dati aggiuntivi. La chiave PMK stessa, a sua volta, è il risultato di un calcolo della funzione hash SHA-1 della password Wi-Fi.

    In altre parole, il PMKID contiene la password della rete wireless, sottoposta ad hashing due volte. In teoria, il processo di hashing è irreversibile, il che significa che è impossibile recuperare i dati originali dal valore hash risultante. I creatori dello standard 802.11r si sono presumibilmente basati su questo presupposto per ideare il meccanismo di roaming veloce tramite PMKID.

    Tuttavia, i dati con hashing possono essere sottoposti ad attacchi di forza bruta. L’operazione è resa particolarmente semplice dal fatto che le persone utilizzano di rado password particolarmente complesse per le reti wireless, basandosi spesso su combinazioni di caratteri abbastanza prevedibili. I creatori dello standard 802.11r ovviamente non ne hanno tenuto conto.

    Questo problema è stato scoperto alcuni anni fa dal team che sta dietro a una delle utilità di recupero password più popolari (in altre parole uno strumento per decifrare le password), Hashcat. Da allora, sono stati sviluppati strumenti specializzati specificamente per decifrare i PMKID intercettati.

    In pratica, l’autore dell’attacco di solito intercetta il PMKID contenente la password crittografata e quindi utilizza un attacco a dizionario, ovvero applica la forza bruta alle password più comuni, che vengono raccolte in un database.

    Come proteggere la rete wireless da un attacco PMKID

    Cosa puoi fare per prevenire un attacco di intercettazione PMKID alla tua rete wireless? Fortunatamente, ci sono diverse misure di protezione che non sono troppo difficili da implementare:

    • Crea una password per la tua rete wireless che sia quanto più lunga e complessa possibile. Se l’autore di un attacco PMKID intercetta la password con hash dal Wi-Fi, deve comunque decrittografarla in seguito: più complessa è la password, minori sono le probabilità che riesca nel suo intento. Pertanto, per proteggerti da questo attacco, crea la password più lunga e indecifrabile possibile per la rete wireless.
    • Disabilita la trasmissione PMKID nelle impostazioni del router. Sfortunatamente, non tutti i router lo consentono, ma vale la pena verificare se il tuo dispone di questa impostazione. Puoi trovarla cercando PMKID o 802.11r.
    • Passa a WPA3. Se tutti i tuoi dispositivi supportano questo standard di protezione Wi-Fi più recente, vale la pena valutare se passare a questo protocollo: WPA3 è generalmente molto più sicuro di WPA2 e, soprattutto, non è suscettibile di intercettazione PMKID.
    • Imposta una rete guest. Può essere noioso dover immettere frequentemente una password complessa per la rete principale nei nuovi dispositivi, quindi configura una rete guest con una password più semplice. A proposito, è anche consigliabile trasferire elementi potenzialmente non sicuri come i dispositivi IoT nella rete guest.

    Per una protezione aggiuntiva dei dati trasmessi nel caso qualcuno riesca comunque ad hackerare la tua rete Wi-Fi, utilizza una VPN su tutti i dispositivi per proteggere la connessione Internet.

    4 Aprile 2024

    Pubblicata una vulnerabilità nella libreria Glibc

     
     
    Tratto da www.kaspersky.it/blog
    Redazione:  Editorial Team – 06/02/2024
     

    Il 30 gennaio, alcuni ricercatori di sicurezza hanno pubblicato informazioni su una vulnerabilità scoperta di recente nella libreria glibc (GNU C Library) che potrebbe potenzialmente consentire agli hacker di elevare i propri privilegi sui sistemi Linux fino al livello di root. La libreria consente di effettuare chiamate di sistema e utilizzare funzioni di base del sistema, tra cui syslog e vsyslog, che vengono utilizzate per scrivere messaggi nel registro dei messaggi di sistema. La vulnerabilità è stata identificata con il codice CVE-2023-6246 e ha ricevuto un punteggio di 8,4 sulla scala CVSS v3.1. Nonostante il livello di questa minaccia non sia critico (è solo alto) esiste un’alta probabilità che venga sfruttata in attacchi su larga scala: Ceglibc è la principale libreria di sistema utilizzata da quasi tutti i programmi Linux.

    Quali sistemi possono essere colpiti da CVE-2023-6246?

    I ricercatori di Qualys che hanno scoperto la vulnerabilità hanno testato una serie di installazioni di sistemi basati su Linux e hanno identificato diversi sistemi vulnerabili: Debian 12 e 13, Ubuntu 23.04 e 23.10 e Fedora Linux dalle versioni 37 a 39. Tuttavia, gli esperti aggiungono che probabilmente anche altre distribuzioni potrebbero essere affette da questa vulnerabilità.

    CVE-2023-6246 è presente nella versione 2.36 e precedenti della libreria. Gli sviluppatori di glibc hanno corretto la vulnerabilità nella versione 2.39 il 31 gennaio, un giorno dopo la pubblicazione della notizia.

    Che cos’è la vulnerabilità CVE-2023-6246 e da dove proviene?

    La vulnerabilità CVE-2023-6246 è legata a un buffer overflow della memoria dinamica e appartiene alla classe LPE (Local Privilege Escalation). In poche parole, un hacker che ha già accesso come utente a un sistema può utilizzare le chiamate di funzione vulnerabili per scalare i propri privilegi fino al livello di super-utente.

    Questa vulnerabilità è stata aggiunta per la prima volta alla libreria nella versione 2.37 nell’agosto 2022, nel tentativo di risolvere una vulnerabilità meno pericolosa, la CVE-2022-39046. In seguito, gli sviluppatori della libreria hanno apportato le stesse modifiche alla versione 2.36.

    6 Febbraio 2024

    Blog & News

    Categorie