Nasce l’Agenzia per la Cybersicurezza Nazionale (ACN)

 
Tratto da www.zerounoweb.it
Autore: Paola Mangiapane – 16/06/2021
 
 

Il Consiglio dei Ministri ha approvato il Decreto Legge, firmato da Mario Draghi, che istituisce l’Agenzia per la Cybersicurezza nazionale (ACN). Trecento super-esperti ne avvieranno le attività. In seguito altre 500 figure professionali iper-specializzate affiancheranno i pionieri, formando un esercito di 800 guerrieri al cyber crimine.

La notizia risale a pochissimi giorni fa (11 giugno), ma ha una potenza di fuoco straordinaria, sia dal punto di vista della difesa delle infrastrutture informatiche pubbliche e private, sia dalla prospettiva culturale e di governance. L’Italia si è adeguata così al recente “Regolamento sulla cybersicurezza” dell’Ue, individuando in tempi molto brevi il “centro nazionale di competenza” richiesto agli Stati membri.

L’ACN sarà un ente con “personalità giuridica di diritto pubblico”; il suo direttore – scelto dal premier per decreto, in accordo con il nuovo “Comitato interministeriale per la cyber sicurezza” (Cics) – sarà Roberto Baldoni fino ad oggi vicedirettore del Dis con delega alla cybersecurity, mentre il premier Mario Draghi avrà funzioni di “alto sorvegliante” sulla strategia nazionale di sicurezza cibernetica.

L’Agenzia avrà funzioni di difesa delle infrastrutture informatiche critiche del Paese e di coordinamento delle risorse del Recovery Fund dedicate alla cybersecurity.

 

18 Giugno 2021

Furto delle credenziali di accesso di Office 365: il phishing nelle immagini

 
Tratto da Blog Kaspersky
Autore: Roman Dedenok – 15/06/2021
 
 
Per aggirare i meccanismi di analisi dei testi, i criminali informatici ora diffondono le e-mail di phishing attraverso le immagini. Ecco come evitare questo pericolo.
 

Le moderne soluzioni anti-phishing e anti-spam si basano sempre più su una varietà di tecnologie di apprendimento automatico. L’uso di reti neurali per analizzare i testi rende difficile ingannare questi meccanismi, ed è per questo che i cybercriminali si sono rivolti verso un trucco semplice ma efficace: inserire il testo in un’immagine. Successivamente, aggiungono l’immagine al corpo del messaggio usando la codifica Base64 (generalmente, le immagini nei messaggi di posta elettronica sono ospitate su un sito web esterno e i client di posta non caricano le immagini delle e-mail provenienti dall’esterno dell’azienda). La maggior parte di queste e-mail vanno alla caccia delle credenziali di accesso a Microsoft Office 365.

L’e-mail di phishing in questione

Un’e-mail di phishing di questo tipo è fondamentalmente un’immagine su uno sfondo bianco (in questo si confonde con l’interfaccia predefinita di Outlook). Ecco qui un esempio di quanto stiamo parlando:

Imitazione di una e-mail generata automaticamente.

Come sempre, dobbiamo considerare se ogni elemento del messaggio è appropriato, nella norma e plausibile. Non c’è alcuna ragione legale per cui il formato di questa (o di una qualsiasi altra) e-mail debba essere un’immagine. In particolare, le e-mail generate automaticamente come le verifiche di account usano del testo. Controllare se l’e-mail è un’immagine o un testo è semplice: passate sopra un collegamento ipertestuale o un pulsante e verificate se il cursore del mouse cambia, con un testo normale lo farà. In questo caso, invece, cliccando su qualsiasi punto dell’immagine si aprirà il collegamento ipertestuale perché l’URL di destinazione è collegato all’immagine, quindi in pratica l’intera immagine è un pulsante/collegamento ipertestuale.

Se vi resta ancora qualche dubbio, provate a evidenziare una parte del testo o a ridimensionare la finestra del vostro programma di posta. Se si tratta di un’immagine, non sarete in grado di evidenziare alcuna parola e il ridimensionamento della finestra non causerà l’adattamento o il cambiamento della lunghezza delle righe di testo.

Lo stile generale della e-mail  non conferisce maggiore credibilità: i caratteri e l’interlinea variano, l’uso della punteggiatura è improprio e il linguaggio è inusuale. Sono tutti segnali di una probabile truffa. Certo, le persone commettono errori, ma i template di Microsoft tendono a non averne. Se vi accorgete di così tanti errori evidenti in un’e-mail, molto probabilmente si tratta di phishing.

Un’ultima cosa: la pretesa che l’account debba essere verificato entro 48 ore dovrebbe farvi suonare un ulteriore campanello d’allarme. I truffatori spesso cercano di mettere fretta agli utenti affinché compiano azioni avventate.

Il sito di phishing

Mettendo da parte l’e-mail, nemmeno il sito a cui si riferisce sembra convincente. Un sito legale appartenente a Microsoft dovrebbe essere ospitato su un dominio Microsoft; tuttavia, il banner “Create your website with WordPress.com” evidenzia chiaramente che il sito è stato costruito utilizzando la piattaforma di hosting gratuita WordPress.

 

Pessima imitazione di una pagina web Microsoft.

 

Nel complesso, un sito web di questo tipo assomiglia a uno vero, ma di 25 anni fa forse. Ecco la moderna pagina di accesso ai servizi Microsoft, affinché possiate fare un confronto: https://login.microsoftonline.com/.

Come difendervi

Una soluzione di sicurezza affidabile rileva le e-mail di phishing basandosi su diversi fattori, non solo sulla mera analisi del testo. Raccomandiamo quindi di utilizzare meccanismi moderni di protezione della posta come quelli offerti da Kaspersky Security for Microsoft Office 365.

Ogni postazione di lavoro dei dipendenti e ogni dispositivo connesso ha bisogno anche di sicurezza aggiuntiva, che farà da ulteriore barriera contro il phishing e altri trucchi.

Infine, non dimenticate di fomentare una maggiore consapevolezza tra i dipendenti delle best practices di sicurezza informatica attraverso una adeguata formazione. Se il personale è a conoscenza dei metodi più moderni impiegati dai cybercrminali, è meno probabile che cadano nella trappola del phishing.

Per ulteriori informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

16 Giugno 2021

Attacchi mirati tramite due zero day di Windows e Chrome

 
Tratto da www.bitmat.it
Autore: Redazione BitMAT – 09/06/2021
 
 
 
Kaspersky rileva due zero-day in Microsoft Windows e Chrome impiegati in una serie di attacchi mirati contro diverse aziende. Microsoft ha già reso disponibili due patch.
 
 
 
attacchi mirati
 
 

Duranti gli ultimi mesi sono stati osservati numerosi attacchi mirati condotti tramite minacce avanzate che sfruttano gli zero-days in the wild. A metà aprile, gli esperti di Kaspersky hanno scoperto una nuova ondata di exploit contro diverse aziende che hanno permesso agli attaccanti di compromettere le reti prese di mira senza essere rilevati. Non avendo trovato un legame tra questi attacchi e i threat actor già noti, Kaspersky ha denominato questo nuovo attore PuzzleMaker.

Tutti gli attacchi mirati sono stati condotti attraverso Chrome e hanno utilizzato un exploit per eseguire del codice da remoto. Sebbene i ricercatori di Kaspersky non siano stati in grado di risalire al codice per l’exploit di esecuzione remota, la linea temporale e la disponibilità dell’exploit suggeriscono che gli attaccanti stavano usando la vulnerabilità, ora patchata, CVE-2021-21224. Questa vulnerabilità era legata a un bug Type Mismatch in V8, un motore JavaScript utilizzato da Chrome e Chromium web-browser, e permetteva agli attaccanti di sfruttare il processo di rendering di Chrome (responsabili di ciò che accade all’interno della tab degli utenti).

Gli esperti di Kaspersky sono stati, tuttavia, in grado di rilevare e analizzare gli attacchi mirati del secondo exploit: l’exploit di elevazione dei privilegi che sfrutta due vulnerabilità distinte presenti nel kernel del sistema operativo Microsoft Windows. La prima è una vulnerabilità Information Disclosure, in grado di far trapelare informazioni sensibili del kernel, rinominata CVE-2021-31955. La vulnerabilità è collegata a SuperFetch, una feature introdotta per la prima volta in Windows Vista che mira a ridurre i tempi di caricamento del software precaricando le applicazioni comunemente utilizzate in memoria.

La seconda vulnerabilità, Elevation of Privilege (una vulnerabilità che permette agli attaccanti di sfruttare il kernel e ottenere un accesso privilegiato al computer), è stata denominata CVE-2021-31956, ed è un buffer overflow heap-based. Gli attacchi mirati hanno usato la vulnerabilità CVE-2021-31956 insieme a Windows Notification Facility (WNF) per creare primitive di lettura/scrittura di memoria arbitraria ed eseguire moduli malware con privilegi di sistema.

Una volta che gli attaccanti hanno usato entrambi gli exploit di Chrome e Windows per infiltrarsi nel sistema preso di mira, il modulo stager scarica ed esegue un dropper malware più complesso da un server remoto. Questo dropper installa poi due file eseguibili, che si presentano come file legittimi del sistema operativo Microsoft Windows. Uno dei due file eseguibili è un modulo shell remoto, che è in grado di scaricare e caricare file, creare processi, rimanere in stand-by per un certo periodo di tempo e cancellarsi dal sistema infetto.

In occasione del Patch Tuesday. Microsoft ha rilasciato una patch per entrambe le vulnerabilità.

Gli attacchi mirati che abbiamo rilevato, non sono stati ancora collegati a un threat actor noto. Pertanto, abbiamo denominato il loro sviluppatore “PuzzleMaker” e monitoreremo con attenzione il panorama degli attacchi alla ricerca delle sue attività future o di nuovi insight su questo gruppo. Di recente, abbiamo assistito al proliferare di minacce di alto profilo legate a exploit zero-day. Questo ci ricorda che gli zero-day continuano ad essere il metodo più efficace per infettare gli obiettivi designati. Ora che queste vulnerabilità sono state rese pubbliche, probabilmente osserveremo un aumento del loro utilizzo negli attacchi da parte di questo e altri threat actor. Per questa ragione raccomandiamo agli utenti di scaricare l’ultima patch da Microsoft il più presto possibile“, ha dichiarato Boris Larin, Senior Security Researcher del Global Research and Analysis Team (GReAT).

I prodotti Kaspersky rilevano e proteggono dall’exploit delle vulnerabilità Information Disclosure CVE-2021-31955 ed Elevation of Privilege CVE-2021-31956 e dai moduli malware associati.

Maggiori informazioni su questi nuovi zero-day sono disponibili su Securelist.

Per proteggere la propria organizzazione dagli attacchi mirati che sfruttano queste due nuove vulnerabilità, gli esperti di Kaspersky raccomandano di:

  • Aggiornare il browser Chrome e Microsoft Windows appena possibile e controllare regolarmente la disponibilità di aggiornamenti.
  • Utilizzare una soluzione di sicurezza per gli endpoint affidabile, come Kaspersky Endpoint Security for Business, dotata di funzionalità di prevenzione degli exploit, behavior detection e di un remediation engine in grado di respingere gli attacchi mirati.
  • Installare soluzioni anti-APT e EDR, abilitando le funzionalità di discovery e detection delle minacce, le indagini e la remediation tempestiva degli incidenti.
  • Fornire al team SOC l’accesso alla più recente threat intelligence e a una formazione professionale continua. Il framework Kaspersky Expert Security offre tutte queste funzionalità.
  • Un’adeguata protezione degli endpoint e l’implementazione di servizi dedicati possono respingere gli attacchi mirati di alto profilo. Il servizio Kaspersky Managed Detection and Response può aiutare a identificare e fermare gli attacchi nelle loro fasi iniziali, prima che gli attaccanti raggiungano i loro obiettivi.

Per ulteriori informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

11 Giugno 2021

Proteggere i dispositivi IoT di rete o proteggere la rete dai dispositivi IoT?

 
Tratto da Blog Kaspersky
Autore: Nikolay Pankov – 07/06/2021
 
 
I dispositivi IoT tendono ad aumentare notevolmente la superficie di attacco di un’azienda, ma si possono ridurre i rischi.
 
 

 

Nella conferenza Into the Mind of an IoT Hacker (“Nella mente di un Hacker IoT”) tenutasi alla RSA Conference 2021, gli specialisti della sicurezza Itzik Feiglevitch e Justin Sowder hanno sollevato la questione delle vulnerabilità presenti nei vari dispositivi IoT e il trattamento speciale che richiedono per salvaguardare la cybersecurity aziendale. I ricercatori hanno offerto alcuni esempi sorprendenti che mostrano lo situazione della sicurezza IoT nelle aziende di oggi.

Pochi specialisti di cybersecurity tengono traccia dei sistemi hardware IoT aziendali. Molto spesso ascensori intelligenti, sensori di ogni tipo, sistemi IPTV, stampanti, telecamere di sorveglianza e simili sono solo una collezione eterogenea di dispositivi disparati, ognuno con il proprio sistema operativo e i propri protocolli, e molti sono privi di qualsiasi tipo di interfaccia di controllo adeguata… insomma, potete farvi un’idea del panorama. La vostra azienda potrebbe avere migliaia di dispositivi IoT da monitorare.

Perché i dispositivi IoT aggiungono ulteriori rischi alla sicurezza informatica?

I dispositivi IoT non sono sempre considerati come appartenenti all’infrastruttura principale; se una stampante di rete normalmente conta come un dispositivo di rete, non è lo stesso per i componenti di “smart building” o per i sistemi di telefonia IP. Eppure, questi dispositivi tendono a essere collegati alla stessa rete delle workstation aziendali.

Il ricambio del personale può complicare ulteriormente la situazione. Quante più persone entrano e abbandonano la divisione IT e di cybersecurity dell’azienda, maggiore sarà la probabilità che una nuova persona non sappia nulla dello “zoo” di dispositivi IoT collegato alla rete.

Tuttavia, forse l’aspetto più grave è che alcuni di quei dispositivi sono accessibili dall’esterno. Le ragioni possono essere legittime (controllo da parte del vendor su alcuni aspetti di un dispositivo, disponibilità di lavoro da remoto, manutenzione), eppure il fatto che ci siano dispositivi sulla rete aziendale che sono costantemente collegati a Internet, costituisce un gran bel rischio.

Può sembrare paradossale ma la robustezza stessa dell’elettronica moderna è un altro fattore di rischio: alcuni dispositivi IoT hanno una vita molto lunga e funzionano in ambienti di sicurezza molto più complessi di quelli per cui sono stati progettati.

Per esempio, alcuni dispositivi eseguono sistemi operativi obsoleti e vulnerabili che non vengono più aggiornati e, anche quando l’aggiornamento è disponibile, può essere necessario accedere fisicamente al dispositivo, un compito che a volte può essere difficile se non impossibile. Alcuni dispositivi presentano password che non possono essere cambiate, backdoor di debugging erroneamente lasciate nella versione finale del firmware e molte altre sorprese che rendono la vita di un professionista della sicurezza IT davvero movimentata.

Perché ai criminali informatici interessano i dispositivi IoT?

I criminali informatici trovano interessanti i dispositivi IoT  per diverse ragioni, sia per le possibilità che offrono per portare a termine attacchi all’azienda ospite, sia per gli attacchi ad altre aziende. I principali usi dei dispositivi intelligenti compromessi sono:

  • Creare una botnet per attacchi DDoS;
  • Effettuare il mining di criptomonete;
  • Rubare informazioni riservate;
  • Sabotare l’azienda dall’interno;
  • Avere un trampolino di lancio per ulteriori attacchi e movimenti laterali nella rete.

Casi di studio

I ricercatori hanno descritto alcuni casi che sono abbastanza sorprendenti, che si riferiscono sia a dispositivi standard collegati a Internet, sia ad apparecchiature piuttosto specializzate. Due esempi di spicco riguardano apparecchiature a ultrasuoni e dispositivi che utilizzano protocolli Zigbee.

Apparecchiature a ultrasuoni

Le aziende moderne che lavorano nel settore sanitario fanno uso di numerosi dispositivi IoT. Per testare la sicurezza di tali dispositivi, i ricercatori hanno acquistato un’apparecchiatura a ultrasuoni usata per violarne la sicurezza. Hanno avuto bisogno solo di cinque minuti circa per raggiungere il loro scopo, perché il dispositivo eseguiva una versione di Windows 2000 che non era mai stata aggiornata. Inoltre, non solo sono stati in grado di ottenere il controllo del dispositivo, ma anche di accedere ai dati dei pazienti che il precedente proprietario non aveva eliminato.

I medici spesso usano i dispositivi medici per anni, o addirittura decenni, senza aggiornarli o effettuare l’upgrade. È comprensibile se durante gli anni continuano a funzionare bene; tuttavia, la vita di questi dispositivi non finisce nella prima azienda che li ha acquistati, spesso continua in un’altra azienda alla quale sono stati rivenduti.

Protocolli Zigbee

Le aziende utilizzano i protocolli di rete Zigbee (sviluppati nel 2003 per la comunicazione wireless ad alta efficienza energetica tra dispositivi), per costruire reti mesh e spesso per collegare vari componenti all’interno di un edificio intelligente. Il risultato è un gateway in ufficio che controlla decine di dispositivi diversi come, ad esempio, un sistema di illuminazione intelligente.

Alcuni ricercatori ritengono che un criminale informatico potrebbe facilmente emulare un dispositivo Zigbee su un normale computer portatile, connettersi a un gateway e installare un malware. Il criminale informatico dovrebbe solo trovarsi all’interno dell’area di copertura della rete Zigbee, per esempio nella hall dell’ufficio. Una volta preso il controllo del gateway, potrebbe sabotare il lavoro dell’azienda in molti modi, per esempio spegnendo il sistema di illuminazione intelligente dell’ intero edificio.

Come rendere sicura una rete aziendale

I responsabili della sicurezza a volte non sanno se devono proteggere i dispositivi IoT sulla rete aziendale o proteggere la rete aziendale dai dispositivi IoT. In realtà, entrambi i problemi andrebbero risolti. L’importante è assicurarsi che ogni elemento e azione sulla rete sia visibile. Per garantire una reale  sicurezza aziendale bisogna innanzitutto identificare tutti i dispositivi collegati alla rete, classificarli correttamente e, idealmente, analizzare i rischi associati.

Il passo successivo è, ovviamente, quello di segmentare la rete servendosi dei risultati dell’analisi. Se un dispositivo è necessario e insostituibile ma contiene una vulnerabilità che gli aggiornamenti non possono risolvere, allora è necessario configurare la rete per negare ai dispositivi vulnerabili l’accesso a Internet e anche per rimuovere il loro accesso ad altri segmenti di rete. Insomma, bisognerebbe seguire il concetto di Zero Trust per la segmentazione.

Il monitoraggio del traffico di rete per le anomalie nei segmenti rilevanti è anche fondamentale per poter rintracciare i dispositivi IoT compromessi utilizzati per gli attacchi DDoS o il mining.

Infine, per il rilevamento precoce di attacchi avanzati che impiegano dispositivi IoT come sistemi di appiglio alla rete per poi accedere ad altri sistemi, è indispensabile l’uso di una soluzione EDR.

9 Giugno 2021

I router sono l’anello debole dello smart working in sicurezza

 
Tratto da Blog Kaspersky
Autore: Nikolay Pankov – 02/06/2021
 
 
I router domestici e SOHO spesso sono poco sicuri; tuttavia, le aziende possono difendersi dagli attacchi ai router dei dipendenti in smart working.
 
 

 

Se parliamo di sicurezza informatica, l’aspetto peggiore del passaggio in massa allo smart working è stata la perdita di controllo sulle reti locali a cui si collegano le postazioni di lavoro. Particolarmente pericolosi a questo proposito sono i router domestici dei dipendenti, che hanno essenzialmente sostituito l’infrastruttura di rete gestita normalmente dagli specialisti IT. Alla RSA Conference 2021, nel loro intervento dal titolo All your LAN are belong to us. Managing the real threats to remote workers. (“Tutte le vostre LAN ci appartengono. Gestire le vere minacce per i lavoratori da remoto”), i ricercatori Charl van der Walt e Wicus Ross hanno spiegato in che modo i criminali informatici possono attaccare i computer aziendali servendosi dei router.

Perché i router domestici dei dipendenti possono essere un bel problema?

Anche se le politiche di sicurezza aziendali si occupano dell’aggiornamento del sistema operativo di ogni computer dell’azienda e di tutte le altre impostazioni rilevanti, i router domestici non rientrerebbero comunque nel raggio di controllo degli amministratori di sistema aziendali. Per quanto riguarda gli ambienti di lavoro a distanza, chi si occupa di sicurezza IT in azienda non può sapere quali altri dispositivi sono collegati a una rete, se il firmware del router è aggiornato e se la password che lo protegge è forte (e se l’utente continua a utilizzare la password di fabbrica).

Questa mancanza di controllo è solo una parte del problema. Un numero enorme di router domestici e SOHO hanno vulnerabilità note che i criminali informatici possono sfruttare per ottenere il controllo completo del dispositivo, portando a enormi botnet IoT come Mirai, che raggruppano decine e talvolta anche centinaia di migliaia di router hackerati da utilizzare per una varietà di scopi.

A questo proposito, vale la pena di ricordare che ogni router è essenzialmente un piccolo computer con una qualche distribuzione di Linux. I criminali informatici possono fare molto con un router hackerato. Descriveremo ora solo un paio di esempi presi dal report dei due ricercatori.

Hackerare una connessione VPN

Lo strumento principale che le aziende usano per compensare gli ambienti di rete inaffidabili dei lavoratori in smart working è servirsi di una VPN (rete privata virtuale). Le VPN offrono un canale cifrato attraverso il quale i dati viaggiano tra il computer e l’infrastruttura aziendale.

Molte aziende usano le VPN in modalità split tunneling: il traffico che va verso i server dell’azienda (come la connessione RDP, Remote Desktop Protocol), passa attraverso la VPN e tutto il resto del traffico passa attraverso la rete pubblica non cifrata, il che normalmente è una buona opzione. Tuttavia, un criminale informatico che ha preso il controllo del router può creare un percorso DHCP (Dynamic Host Configuration Protocol) e reindirizzare il traffico RDP al proprio server. Anche se questo non li avvicina alla decifrazione della VPN, possono creare una finta schermata di login per intercettare le credenziali di connessione RDP. I truffatori di ransomware amano usare i protocolli RDP.

Caricare un sistema operativo esterno

Un altro abile scenario di attacco ai router hackerati coinvolge lo sfruttamento della funzionalità PXE (Preboot Execution Environment). Le moderne schede di rete usano il PXE per caricare un sistema operativo sui computer in rete. In genere, la funzione è disabilitata ma alcune aziende la usano, ad esempio, per ripristinare da remoto il sistema operativo di un dipendente in caso di guasto.

Un criminale informatico con il controllo del server DHCP su un router può fornire alla scheda di rete di una workstation l’indirizzo di un sistema modificato per il controllo da remoto. È improbabile che i dipendenti se ne accorgano e che sappiano cosa stia realmente accadendo (soprattutto se sono distratti dalle notifiche di installazione degli aggiornamenti). Nel frattempo, i criminali informatici hanno pieno accesso al file system.

Come rimanere al sicuro

Per proteggere i computer dei dipendenti da quanto abbiamo descritto e da tecniche di attacco simili, vi consigliamo di seguire questi suggerimenti:

  • Optate per il tunneling forzato invece di quello split. Molte soluzioni VPN aziendali permettono il tunneling forzato con delle eccezioni (facendo passare di default tutto il traffico attraverso un canale cifrato, con risorse specifiche che possono bypassare la VPN);
  • Disabilitate il Preboot Execution Environment nelle impostazioni BIOS;
  • Cifrate completamente il disco rigido del computer (con BitLocker su Windows, per esempio).

Analizzare la sicurezza dei router dei dipendenti è vitale per aumentare il livello di sicurezza di qualsiasi infrastruttura aziendale che consente il lavoro a distanza o in modalità ibrida. In alcune aziende, il personale di supporto tecnico dà alcuni suggerimenti ai dipendenti in merito alle impostazioni ottimali per il router di casa. Altre aziende distribuiscono router preconfigurati ai lavoratori in smart working e permettono ai dipendenti di connettersi alle risorse aziendali solo attraverso quei router. Inoltre, la formazione dei dipendenti per contrastare le minacce moderne è fondamentale per la sicurezza della rete.

Per ulteriori informazioni sulla Piattaforma Kaspersky ASAP: dircom@argonavis.it

3 Giugno 2021