I cinque attacchi informatici più famosi

 

La maggior parte degli attacchi informatici sono piuttosto banali; nel peggiore dei casi, l’utente visualizza una richiesta di riscatto sullo schermo, ovvero che tutto ciò che si trova sul computer è stato cifrato e può essere sbloccato solo dietro pagamento. Molte volte, però, in superficie non sembra che accada alcunché perché certi malware agiscono nell’ombra con lo scopo di rubare più dati possibile prima di essere scoperti.

Ci cono casi in cui certi attacchi sono talmente sofisticati che è impossibile che non attirino l’attenzione; questo post è dedicato proprio ai cinque attacchi informatici più famosi ed eclatanti dell’ultima decade.

WannaCry: una vera e propria epidemia

L’attacco WannaCry ha reso famosi i ransomware agli occhi di tutti, anche di coloro che non sono per nulla ferrati sull’argomento. I cybercriminali, sfruttando gli exploit del team di hacker Equation Group resi pubblici da The Shadow Brokers, hanno creato un vero e proprio mostro, un ransomware encryptor in grado di diffondersi velocemente su Internet e attraverso le reti locali.

L’epidemia Wannacry in quattro giorni ha messo KO oltre 200 mila computer in 150 paesi. Parliamo anche di infrastrutture critiche: in alcuni ospedali, WannaCry ha cifrato tutti i dispositivi, apparecchiature medicali comprese, e alcune aziende sono state costrette a bloccare la produzione. WannaCry è uno degli attacchi più recenti ad aver colpito su così vasta scala.

Per maggiori dettagli su WannaCry, potete leggere questo articolo; questi due post, invece, vi serviranno per capire la portata economica dell’epidemia. Va detto, comunque, che WannaCry è ancora in circolazione e può mettere in pericolo i computer di tutto il mondo. Se volete sapere come configurare correttamente Windows per evitare problemi, vi consigliamo di leggere questo post.

 

NotPetya/ExPetr: l’attacco informatico più costoso

L’epidemia più costosa non è stata comunque WannaCry, ma è stata dovuta a un altro ransomware encryptor (dal punto di vista tecnico, si tratta di un wiper, ma questo dettaglio non cambia le cose), il cui nome è ExPetr o anche NotPetya. Il principio di base era lo stesso di WannaCry: sfruttando gli exploit EternalBlue ed EternalRomance, il worm riusciva a muoversi nel Web, cifrando qualsiasi dato trovasse al suo passaggio.

Sebbene il numero totali di dispositivi infettati sia stato minore, l’epidemia NotPetya ha colpito soprattutto le aziende, e ciò è stato in parte dovuto al fatto che il vettore iniziale per la sua propagazione è stato il software MeDoc. I cybercriminali sono riusciti a prendere il controllo del server di aggiornamento di MeDoc, e molti clienti che utilizzavano questo software hanno ricevuto il malware, dalle sembianze di un aggiornamento, potendo così diffondersi facilmente attraverso la rete.

È stato calcolato che l’attacco informatico NotPetya abbia provocato danni per 10 miliardi di dollari, mentre WannaCry, si è “fermato” a un range di 4-8 miliardi di dollari. Fino ad oggi, NotPetya è l’attacco informatico che ha provocato più danni economici in assoluto. Speriamo che questo record non venga infranto nel prossimo futuro da qualche altro attacco.

In questo post troverete maggiori informazioni sull’epidemia NotPetya/ExPetr, mentre in quest’altro post sono state analizzate le perdite per le aziende. Qui, invece, potete leggere perché questa epidemia, oltre a colpire grandi aziende, può avere conseguenze non solo sui computer infetti ma su tutti gli altri in generale. 

 

Stuxnet: una cyberpistola fumante

Probabilmente si tratta dell’attacco malware più famoso in assoluto, celebre per la sua laboriosità, versatilità e soprattutto per aver disattivato le centrifughe di arricchimento dell’uranio in Iran, rallentando di molti anni il programma nucleare del paese. Grazie a Stuxnet, si è parlato per la prima volta dell’uso di armi informatiche per colpire i sistemi industriali.

Nessun altro malware batte Stuxnet in quanto a complessità o arguzia: il worm è riuscito a diffondersi senza farsi notare grazie ai dispositivi USB, insinuandosi anche in quei computer non connessi a Internet o alla rete locale.

Il worm è andato rapidamente fuori controllo e si è diffuso in tutto il mondo, infettando centinaia di migliaia di computer. Ma, oltre a infettare questi dispositivi, lo scopo era un altro ben preciso; il worm si mostrava solo sui computer con controllori programmabili e software Siemens. Una volta in questi dispositivi, il worm riprogrammava questi controllori e, impostando la velocità di rotazione delle centrifughe di arricchimento dell’uranio a un livello troppo alto, le distruggeva fisicamente.

Si è parlato molto di Stuxnet, si è persino scritto un libro sull’argomento; tuttavia, per avere un quadro generale circa la diffusione del worm e dei dispositivi infettati, questo post dovrebbe essere sufficiente.

 

DarkHotel: una spia nella suite d’albergo

Non è un segreto che le reti Wi-Fi pubbliche di bar e aeroporti non siano le più sicure del mondo. Tuttavia, molti pensano che quelle degli hotel siano più protette perché, anche quando la rete dell’hotel è pubblica, per lo meno viene sempre richiesta una qualche forma di autorizzazione.

Questa idea erronea ha portato a costose conseguenze per top manager e personalità di alto rango. Quando si collegavano alla rete dell’hotel, veniva richiesto loro di installare un aggiornamento apparentemente legittimo che riguardava un software piuttosto popolare. E invece, i dispositivi venivano infettati immediatamente dallo spyware DarkHotel, appositamente introdotto nella rete dai cybercriminali qualche giorno prima dell’arrivo della personalità in questione per poi essere rimosso qualche giorno dopo. Lo spyware registrava in segreto i tasti digitati dalla vittima e tale mossa consentiva ai cybercriminali di orchestrare attacchi phishing mirati.

Qui potete avere maggiori informazioni su DarkHotel e sulle sue conseguenze.

 

Mirai: la caduta di Internet

Le botnet sono in circolazione da anni ormai ma, grazie alla recente ampia diffusione dell’Internet delle Cose, questo metodo di attacco sembra vivere una seconda giovinezza. Abbiamo assistito all’infezione a grande scala e improvvisa di dispositivi la cui sicurezza informatica non è mai stata contemplata e per i quali non esisteva un antivirus dedicato. Questi dispositivi rintracciavano altri dello stesso tipo da poter contagiare e così questo esercito di zombie, chiamati a raccolta dal malware Mirai (che in giapponese significa “futuro”) è diventato sempre più grande, in attesa di ricevere istruzioni.

Poi un “bel” giorno, il 21 ottobre 2016, i proprietari di questa botnet gigante hanno deciso di mettere alla prova le potenzialità di questo esercito, facendo sì che milioni di registratori video digitali, router, fotocamere IP e altri dispositivi “intelligenti” bombardassero di richieste il fornitore di servizi DNS Dyn.

Dyn non ha potuto contrastare un attacco DDoS di tale portata; il DNS e altri servizi che vi si appoggiavano non erano più disponibili, e ciò ha avuto conseguenze importanti su piattaforme online molto popolari quali PayPal, Twitter, Netflix, Spotify, Playstation e altri servizi statunitensi. Dyn alla fine è riuscita a riprendersi, ma la veloce escalation di Mirai ha portato a riflettere sull’effettiva sicurezza dei dispositivi “smart”. Un bell’avvertimento, questo è sicuro.

Per maggiori informazioni su Mirai, Dyb e l’attacco “che ha fatto cadere Internet,” vi consigliamo di leggere questo post.

 

 

Fonte
Kaspersky Daily

6 Novembre 2018

Nuovo meccanismo Single Sign-on per SolarWinds Backup

 

All’inizio di novembre, la console di Backup https://backup.management verrà migrata al nuovo server per l’autenticazione Single Sign-on, in modo da permettere, una volta effettuato l’accesso, il rapido passaggio tra le altre applicazioni SolarWinds supportate per le quali si dispone dell’autorizzazione.

Dopo la migrazione al nuovo sistema di autenticazione, l’accesso a https://backup.managementsarà supportato solo tramite un indirizzo email. Coloro che effettuano l’accesso con credenziali non basate su e-mail riceveranno una notifica nella console per modificare i dati di accesso ed utilizzare il proprio indirizzo e-mail.

Ogni indirizzo di posta elettronica sul server di autenticazione Single Sign-on può essere utilizzato per un solo partner di backup o cliente. Se il tuo attuale indirizzo email di accesso è attualmente utilizzato per più partner o account cliente, riceverai una notifica nella console per apportare le modifiche richieste e sostituire i nomi utente non univoci dagli altri account.

Se esistono ancora duplicati durante la migrazione, l’account e-mail attivo con il livello di sicurezza più alto verrà migrato al server di autenticazione SSO. Gli eventuali altri account e-mail duplicati verranno convertiti nello stato “Integration User” e non potranno accedere direttamente alla console https://backup.management

Gli account “Integration User” avranno solo i diritti per accedere alla legacy Cloud Management Console (CMC), ai servizi API o ai nodi di archiviazione.

Si prega di aprire un ticket di supporto in caso di problemi nell’individuare o correggere account che utilizzano credenziali di posta elettronica duplicate o che presentano problemi di accesso dopo la migrazione.

Se il tuo indirizzo email esiste già sul server di autenticazione Single Sign-on perché stai utilizzando questo indirizzo e-mail per le applicazioni SolarWinds RMM e MSP Manager, dopo la migrazione, utilizza la password SSO definita in precedenza per il nome utente esistente nella pagina di accesso al server di autenticazione Single Sign-on. Se non ricordi la tua password SSO, puoi effettuare una reimpostazione della password prima di aprire un caso di supporto.

Dopo la migrazione, l’app DoubleChecked per l’autenticazione a due fattori (2FA) non sarà più supportata e verrà disattivata. Sarà necessario impostare la modalità 2FA fornita dal nuovo server di autenticazione Single Sign-on. L’abilitazione delle funzioni 2FA per le nuove credenziali SSO basate su e-mail impedirà l’utilizzo delle credenziali con l’applicazione legacy Cloud Management Console (CMC) e impedisce che tali credenziali funzionino con le API dei prodotti.

Nessun impatto è previsto sugli utenti di nCentral o RMM Integrated Backup. Chiunque incontri problemi di accesso dovrebbe aprire un ticket di supporto.

 

Fonte
Questar

30 Ottobre 2018

Privacy , schede di sintesi : #7 Trasferimento dei dati all’estero

Trasferimento dei dati all’estero

Verso Paesi appartenenti all’Unione europea

Non possono esservi limitazioni né divieti alla libera circolazione dei dati personali nell’Unione europea per motivi attinenti alla protezione dei dati (Articolo 1, paragrafo 3 del Regolamento). Pertanto, non vi sono limiti di alcun genere per quanto riguarda i flussi di dati dall’Italia verso altri Stati membri dell’Ue (e dello Spazio Economico Europeo: Islanda, Norvegia, Liechtenstein).

Verso Paesi non appartenenti all’Unione europea

Il  trasferimento di dati personali verso Paesi non appartenenti all’Unione europea è vietato, in linea di principio.

Tale divieto può essere superato solo quando intervengano le seguenti specifiche garanzie (articoli da 44 a 49 del Regolamento UE 2016/679):

a) adeguatezza del Paese terzo riconosciuta tramite decisione della Commissione europea;

b) in assenza di decisioni di adeguatezza della Commissione, garanzie adeguate di natura contrattuale o pattizia che devono essere fornite dai titolari coinvolti (fra cui le norme vincolanti d’impresa – BCR, e clausole contrattuali tipo);

c) in assenza di ogni altro presupposto, utilizzo di deroghe al divieto di trasferimento applicabili in specifiche situazioni (articolo 49 del Regolamento).

Sono altresì vietati trasferimenti di dati verso titolari o responsabili in un Paese terzo sulla base di decisioni giudiziarie o ordinanze amministrative emesse da autorità di tale Paese terzo, a meno dell’esistenza di accordi internazionali in particolare di mutua assistenza giudiziaria o analoghi accordi fra gli Stati (articolo 48 del Regolamento UE 2016/679). Si potranno utilizzare, tuttavia, gli altri presupposti e in particolare le deroghe previste per situazioni specifiche di cui all’articolo 49 del Regolamento medesimo. E’ lecito trasferire dati personali verso un Paese terzo non adeguato “per importanti motivi di interesse pubblico”, in deroga al divieto generale, ma deve trattarsi di un interesse pubblico riconosciuto dal diritto dello Stato membro del titolare o dal diritto dell’Unione europea (articolo 49, paragrafo 4) – e dunque non può essere fatto valere l’interesse pubblico dello Stato terzo ricevente.

Fonte
Schede di sintesi redatte dall’Ufficio del Garante per la Protezione dei Dati Personali a mero scopo divulgativo. Per un quadro completo della materia, si rimanda alla legislazione in tema di protezione dei dati personali e ai provvedimenti dell’Autorità

26 Ottobre 2018

Privacy , schede di sintesi : #6 I diritti degli interessati

I diritti degli interessati

I titolari del trattamento devono rispettare le modalità previste per l’esercizio di tutti i diritti da parte degli interessati, stabilite, in via generale, negli artt. 11 e 12 del Regolamento

  • In primo luogo, il titolare del trattamento deve agevolare l’esercizio dei diritti da parte dell’interessato, adottando ogni misura (tecnica e organizzativa) a ciò idonea. Benché sia il solo titolare a dover dare riscontro in caso di esercizio dei diritti, il responsabile del trattamento è tenuto a collaborare con il titolare ai fini dell’esercizio di tali diritti (articolo 28, paragrafo 3, lettera e) ).
  • Il titolare ha il diritto di chiedere informazioni necessarie a identificare l’interessato, e quest’ultimo ha il dovere di fornirle, secondo modalità idonee (, in particolare, articolo 11, paragrafo 2 e articolo 12, paragrafo 6).
  • Il termine per la risposta all’interessato è, per tutti i diritti (compreso il diritto di accesso), pari a 1 mese, estendibile fino a 3 mesi in casi di particolare complessità; il titolare deve comunque dare un riscontro all’interessato entro 1 mese dalla richiesta, anche in caso di diniego.
  • La risposta fornita all’interessato non deve essere solo “intelligibile”, ma anche concisa, trasparente e facilmente accessibile, oltre a utilizzare un linguaggio semplice e chiaro.
  • Spetta al titolare valutare la complessità del riscontro all’interessato e stabilire l’ammontare dell’eventuale contributo da chiedere all’interessato, ma soltanto se  si tratta di richieste manifestamente infondate o eccessive  – anche ripetitive (articolo12, paragrafo 5) – ovvero se sono chieste più “copie” dei dati personali nel caso del diritto di accesso (articolo 15, paragrafo 3). In quest’ultimo caso il titolare deve tenere conto dei costi amministrativi sostenuti. Il riscontro all’interessato di regola deve avvenire in forma scritta anche attraverso strumenti elettronici che ne favoriscano l’accessibilità; può essere dato oralmente solo se così richiede l’interessato stesso (articolo 12, paragrafo 1; articolo 15, paragrafo 3)

Fonte
Schede di sintesi redatte dall’Ufficio del Garante per la Protezione dei Dati Personali a mero scopo divulgativo. Per un quadro completo della materia, si rimanda alla legislazione in tema di protezione dei dati personali e ai provvedimenti dell’Autorità

19 Ottobre 2018

Privacy , schede di sintesi : #5 Principio di “responsabilizzazione” dei titolari e responsabili del trattamento

Principio di “responsabilizzazione” dei titolari e responsabili del trattamento: principali elementi

Rapporti contrattuali fra titolare e responsabile del trattamento

Il Regolamento definisce caratteristiche soggettive e responsabilità di titolare e responsabile del trattamento negli stessi termini di cui alla direttiva 95/46/CE e, quindi, al Codice privacy italiano.

Tuttavia, il Regolamento (articolo 28) prevede dettagliatamente le caratteristiche dell’atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti. Deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’articolo 28 al fine di dimostrare che il responsabile fornisce “garanzie sufficienti”, quali, in particolare:

  • la natura, durata e finalità del trattamento o dei trattamenti assegnati
  • le categorie di dati oggetto di trattamento
  • le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel Regolamento

Inoltre, il Regolamento prevede obblighi specifici in capo ai responsabili del trattamento, distinti da quelli pertinenti ai rispettivi titolari. Ciò riguarda, in particolare:

  • la tenuta del registro dei trattamenti svolti (articolo 30, paragrafo 2);
  • l’adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti (articolo 32);
  • la designazione di un RPD-DPO, nei casi previsti dal Regolamento o dal diritto nazionale (articolo 37).

Una novità importante del Regolamento è la possibilità di designare sub-responsabili del trattamento da parte di un responsabile (articolo 28, paragrafo 4), per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario; quest’ultimo risponde dinanzi al titolare dell’inadempimento dell’eventuale sub-responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento, salvo dimostri che l’evento dannoso “non gli è in alcun modo imputabile” (articolo 82, paragrafo 1 e paragrafo 3).

Registro dei trattamenti

Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti – ma solo se non effettuano trattamenti a rischio (articolo 30, paragrafo 5) – devono tenere un registro delle operazioni di trattamento, i cui contenuti sono indicati all’articolo 30.

Si tratta di uno strumento fondamentale allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico, indispensabile per ogni valutazione e analisi del rischio. I contenuti del registro sono fissati nell’articolo 30. Tuttavia, niente vieta a un titolare o responsabile di inserire ulteriori informazioni se lo si riterrà opportuno proprio nell’ottica della complessiva valutazione di impatto dei trattamenti svolti.

Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

Misure di sicurezza

Il titolare del trattamento, come pure il responsabile del trattamento, è obbligato ad adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio del trattamento (con l’obiettivo di evitare distruzione accidentale o illecita, perdita, modifica, rivelazione, accesso non autorizzato).

Fra tali misure, il Regolamento menziona, in particolare, la pseudonimizzazione e la cifratura dei dati; misure per garantire la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; misure atte a garantire il tempestivo ripristino della disponibilità dei dati; procedure per verificare e valutare regolarmente l’efficacia delle misure di sicurezza adottate.

La lista di cui al paragrafo 1 dell’articolo 32 è una lista aperta e non esaustiva (“tra le altre, se del caso”).

Per questi motivi, non possono sussistere dopo il 25 maggio 2018 obblighi generalizzati di adozione di misure “minime” di sicurezza poiché tale valutazione è rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati come da articolo 32 del Regolamento.

Vi è, inoltre, la possibilità di utilizzare l’adesione a specifici codici di condotta o a schemi di certificazione per attestare l’adeguatezza delle misure di sicurezza adottate (articolo 32, paragrafo 3).

Notifica di una violazione dei dati personali

A partire dal 25 maggio 2018, tutti i titolari  dovranno notificare al Garante le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”, se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati (considerando 85). Pertanto, la notifica all’Autorità dell’avvenuta violazione non è obbligatoria, essendo subordinata alla valutazione del rischio per gli interessati che spetta al titolare.

Se la probabilità di tale rischio è elevata, si dovrà informare delle violazione anche gli interessati, sempre “senza ingiustificato ritardo”; fanno eccezione le circostanze indicate al paragrafo 3 dell’articolo 34.

I contenuti della notifica all’Autorità e della comunicazione agli interessati sono indicati, in via non esclusiva, agli articolo 33 e 34 del Regolamento.

Tutti i titolari di trattamento devono in ogni caso documentare le violazioni di dati personali subite, anche se non notificate all’autorità di controllo e non comunicate agli interessati, nonché le relative circostanze e conseguenze e i provmenti adottati (articolo 33, paragrafo 5). È bene, dunque,  adottare le misure necessarie a documentare eventuali violazioni, anche perché i titolari sono tenuti a fornire tale documentazione, su richiesta, al Garante in caso di accertamenti.

Responsabile della protezione dei dati

La designazione di un “responsabile della protezione dati” (RPD) è finalizzata a facilitare l’attuazione della normativa da parte del titolare/responsabile (articolo 39). Non è un caso, infatti, che fra i compiti del RPD rientrino “la sensibilizzazione e la formazione del personale” e la sorveglianza sullo svolgimento della valutazione di impatto di cui all’articolo 35, oltre alla funzione di punto di contatto per gli interessati e per il Garante rispetto a ogni questione attinente l’applicazione del Regolamento.

La sua designazione è obbligatoria in alcuni casi (articolo 37), e il Regolamento delinea le caratteristiche soggettive e oggettive di questa figura (indipendenza, autorevolezza, competenze manageriali:  articoli 38 e 39) in termini che il Gruppo di lavoro “Articolo 29” ha ritenuto opportuno chiarire attraverso alcune linee-guida, disponibili anche sul sito del Garante, e alle quali si rinvia per maggiori delucidazioni unitamente alle relative FAQ (www.garanteprivacy.it/Regolamentoue/rpd).

Fonte
Schede di sintesi redatte dall’Ufficio del Garante per la Protezione dei Dati Personali a mero scopo divulgativo. Per un quadro completo della materia, si rimanda alla legislazione in tema di protezione dei dati personali e ai provvedimenti dell’Autorità

12 Ottobre 2018

Blog & News

Categorie