IA: la questione della sicurezza è ancora troppo sottovalutata

Un nuovo report di Kaspersky evidenzia come i dirigenti della C-Suite potrebbero essere in ritardo nell’affrontare le complessità dell’IA in Europa, rischiando di non proteggersi adeguatamente dalle minacce avanzate e dalle sfide normative

I leader aziendali sono entusiasti di adottare l’intelligenza artificiale per semplificare le operazioni e ridurre i costi, ma spesso trascurano i rischi informatici e le normative globali emergenti in materia. Un nuovo report di Kaspersky (SCARICABILE QUI) rivela che, nonostante l’IA sia un fattore di forte trasformazione, come sostiene il 95% dei dirigenti C-Suite, solo il 59% si preoccupa delle fughe di dati associate. Meno di un quarto (22%) ha discusso in consiglio di amministrazione la possibilità di regolamentare l’uso dell’IA. Questo report evidenzia che i dirigenti della C-Suite potrebbero essere in ritardo nell’affrontare le complessità dell’IA in Europa, rischiando di non proteggersi adeguatamente dalle minacce avanzate e dalle sfide normative.

Poche tutele, ma l’IA è alla base delle funzioni fondamentali

L’IA è ormai parte integrante del business digitale, ma poche aziende hanno implementato misure di protezione: solo il 59% si preoccupa delle fughe di dati legate all’IA, e appena il 22% ha pensato di regolamentarne l’utilizzo. Al contempo, un quarto (24%) identifica l’IT e la cybersecurity come i principali settori da automatizzare. Le aziende europee si trovano ad affrontare una crescente ondata di sfide in ambito di cybersecurity, ma mancano spesso misure di protezione avanzate come backup o policy per la creazione di password sicure, restando così vulnerabili. Il 77% delle aziende europee ha subito almeno un incidente informatico negli ultimi due anni e il 75% di questi attacchi è stato definito grave.

Sebbene la Gen AI sia sempre più diffusa, i leader aziendali devono ancora essere sensibilizzati sui rischi informatici. L’ultimo report di Kaspersky rivela che:

· Il 95% dei dirigenti di alto livello afferma che la propria azienda utilizza l’IA, soprattutto nelle operazioni chiave (53%)

· Il 91% vuole capire come funzionano l’IA e i suoi processi di gestione dei dati

· Il 59% si preoccupa delle fughe di dati legati all’IA, ma solo il 22% pensa di regolamentarne l’uso

· Il 44% utilizza l’IA per ottimizzare i processi, colmare le lacune di competenza (40%) o migliorare lo sviluppo della forza lavoro

· Il 26% utilizza l’IA per promuovere l’innovazione, mentre la metà utilizza l’IA per automatizzare le attività

· Il 24% individua nell’IT e nella cybersecurity i principali fattori per l’automazione

· Il 22% ha discusso le normative sull’IA.

I leader aziendali accolgono con favore l’uso di assistenti digitali per i clienti e l’automazione per semplificare le operazioni, ma non sono ancora pienamente consapevoli dei rischi informatici e delle normative globali imminenti. Un nuovo report di Kaspersky indica che, pur conoscendo la trasformazione apportata dall’IA (95% dei dirigenti C-Suite), solo il 59% è preoccupato per le fughe di dati legate all’IA e meno di un quarto (22%) ha discusso in consiglio di amministrazione delle regolamentazioni, come l’IA Act dell’UE.

Le aziende devono allocare le risorse di cybersecurity in modo efficace e prepararsi subito. CEO, CISO e dipendenti riconoscono i pericoli delle violazioni della sicurezza informatica. Nonostante i continui richiami, i leader aziendali sono sopraffatti dall’esigenza di proteggere le loro aziende dai continui attacchi digitali. Il report Kaspersky mostra che il 64% degli incidenti informatici degli ultimi due anni è stato causato da un errore umano. Gli errori del personale interno sono, infatti, la causa più comune: il 15% è riconducibile ai professionisti IT, 14% agli addetti IT senior e il 16% a lavoratori che non operano nel settore IT.

Come diventare un esperto di IA

Poiché il panorama della cybersecurity dell’IA continua a essere sempre più impegnativo per le aziende, con minacce nuove ed esistenti, per affrontare questo problema sia ora che in futuro, i leader aziendali e le organizzazioni devono adottare le seguenti misure:

· Investire in corsi di formazione e in iniziative di cybersecurity e sensibilizzazione per tutti i livelli del personale in modo da rispondere a esigenze specifiche di sicurezza e ridurre al minimo il rischio di incidenti interni di cybersecurity.

· Aggiornare e informare tutti i dipendenti, compresi i professionisti IT e InfoSec, sulle minacce informatiche più diffuse e sulle misure proattive per contrastarle

· Prepararsi ai prossimi regolamenti come WP 29, NIS-2, EU RCE (resilienza), EU Supply Chain Act e EU AI Act.

· Utilizzare la simulazione interattiva per valutare le competenze e le capacità decisionali dei singoli in situazioni critiche. Esplorare le opzioni di giochi didattici interattivi per osservare e rispondere ad attacchi simulati.

· Integrare e coltivare una cultura della resilienza della cybersecurity e permettere alla forza lavoro di mitigare efficacemente le minacce emergenti.

· Considerare l’utilizzo di servizi di Threat Intelligence con soluzioni EDR, MDR e XDR all’avanguardia, come Kaspersky Next.

Per informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

27 Settembre 2024

SambaSpy, un nuovo trojan che prende di mira gli utenti italiani

Il Global Research and Analysis Team (GReAT) di Kaspersky ha scoperto una sofisticata campagna di distribuzione malware rivolta esclusivamente agli utenti italiani

Il Global Research and Analysis Team (GReAT) di Kaspersky ha scoperto una sofisticata campagna di distribuzione malware rivolta esclusivamente agli utenti italiani. La campagna prevede la distribuzione di un nuovo Remote Access Trojan (RAT), chiamato dai ricercatori SambaSpy, con funzionalità quali il file system management, il controllo della webcam, il furto di password e la gestione del desktop da remoto.

A differenza della maggior parte degli attacchi malware che mirano a più Paesi e utilizzano diverse lingue, la campagna SambaSpy si distingue per la precisione dei suoi obiettivi. Il malware è stato progettato per colpire solo gli utenti i cui sistemi sono impostati in italiano, garantendo la massima probabilità di successo in questa regione. Secondo la telemetria di Kaspersky, questa campagna è iniziata nel maggio 2024 e non mostra segni di rallentamento.

Kaspersky ha identificato due catene di infezione leggermente diverse utilizzate nella campagna. Un metodo di infezione particolarmente elaborato inizia con un’email di phishing, che sembra provenire da una società immobiliare italiana legittima. L’email invita gli utenti a visualizzare una fattura cliccando su un link, che reindirizza gli utenti a un servizio cloud italiano legittimo utilizzato per la gestione delle fatture.

Tuttavia, alcuni utenti vengono invece reindirizzati a un server Web dannoso, in cui il malware convalida le impostazioni del browser e della lingua. Se l’utente utilizza Edge, Firefox o Chrome in lingua italiana, viene indirizzato a un URL OneDrive contenente un PDF dannoso. In questo modo viene avviato il download di un dropper o di un downloader, entrambi in grado di scaricare il RAT SambaSpy.

SambaSpy è un RAT completo scritto in Java e nascosto utilizzando Zelix KlassMaster. Questo malware avanzato può eseguire una serie di attività dannose, tra cui:

· Gestione del file system e dei processi

· Registrazione dei tasti e manipolazione della clipboard

· Gestione del desktop da remoto

· Furto di password dai principali browser come Chrome, Edge e Opera

· Caricamento e download di file

· Possibilità di caricare plugin aggiuntivi in fase di esecuzione

Il meccanismo di caricamento dei plugin di SambaSpy e l’uso di library come JNativeHook dimostrano il livello di sofisticatezza impiegato dagli aggressori.

Sebbene l’obiettivo principale siano gli utenti italiani, i ricercatori di Kaspersky hanno individuati forti collegamenti con il Brasile. I commenti e i messaggi di errore all’interno del codice maligno sono scritti in portoghese brasiliano, suggerendo che l’attore della minaccia dietro gli attacchi potrebbe essere brasiliano. Inoltre, l’infrastruttura utilizzata nella campagna è stata collegata ad altri attacchi in Brasile e Spagna, anche se gli strumenti di infezione in queste regioni differiscono leggermente da quelli utilizzati in Italia.

19 Settembre 2024

Password: la compromissione è un gioco da ragazzi per i cybercriminali

Gli algoritmi di smart guessing aiutano i cybercriminali a compromettere le password deboli

Attraverso un nuovo studio, a giugno 2024 Kaspersky ha analizzato 193 milioni di password, che sono state trovate nel dominio pubblico su varie risorse darknet. I risultati dimostrano che la maggior parte delle chiavi d’accesso analizzate non erano sufficientemente forti e potevano essere facilmente compromesse utilizzando algoritmi di smart guessing. Ecco come capire la velocità con cui ciò può accadere:

  • 45% (87 milioni) in meno di 1 minuto.
  • 14% (27 milioni) – da 1 minuto a 1 ora.
  • 8% (15 milioni) – da 1 ora a 1 giorno.
  • 6% (12 milioni) – da 1 giorno a 1 mese.
  • 4% (8 milioni) – da 1 mese a 1 anno.

Gli esperti hanno ritenuto resistenti solo il 23% (44 milioni) delle chiavi d’accesso e per comprometterle ci vorrebbe più di un anno.

Inoltre, la maggior parte delle chiavi d’accesso esaminate (57%) contiene una parola del dizionario, il che ne riduce significativamente la forza. Tra le sequenze di vocaboli più popolari, si possono distinguere diversi gruppi:

  • Nomi: “ahmed”, “nguyen”, “kumar”, “kevin”, “daniel”.
  • Parole ricorrenti: “per sempre”, “amore”, “google”, “hacker”, “gamer”.
  • Password standard: “password”, “qwerty12345”, “admin”, “12345”, “team”.

L’analisi ha mostrato che solo il 19% di tutte le password contiene gli elementi di una combinazione forte e difficile da decifrare: lettere minuscole e maiuscole, numeri e simboli e non contiene parole standard del dizionario. Allo stesso tempo, lo studio ha rivelato che il 39% di queste chiavi d’accesso potrebbe essere indovinato con algoritmi intelligenti in meno di un’ora.

L’aspetto più preoccupante è che gli aggressori non hanno bisogno di conoscenze approfondite o di attrezzature costose per decifrare le chiavi d’accesso. Ad esempio, un potente processore di un computer portatile è in grado di trovare la combinazione corretta per una password di 8 lettere minuscole o cifre utilizzando la forza bruta in soli 7 minuti. Inoltre, le moderne schede video sono in grado di svolgere lo stesso compito in 17 secondi. Inoltre, gli algoritmi intelligenti per indovinare le password considerano le sostituzioni di caratteri (“e” con “3”, “1” con “!” o “a” con “@”) e le sequenze più diffuse (“qwerty”, “12345”, “asdfg”).

Alcuni consigli da Kaspersky

Per migliorare la policy in materia di password, gli utenti possono utilizzare i seguenti semplici consigli:

  • È quasi impossibile memorizzare chiavi d’accesso lunghe e uniche per tutti i servizi utilizzati, ma con un password manager è possibile memorizzare una sola password principale.
  • Utilizzare una password diversa per ogni servizio, in questo modo, anche se uno dei propri account venisse rubato, gli altri non sarebbero coinvolti.
  • Le passphrase possono essere più sicure quando si usano parole inaspettate. Anche se si utilizzano parole comuni, è possibile disporle in un ordine insolito e assicurarsi che non siano correlate. Esistono anche servizi online che aiuteranno a verificare se una password è abbastanza forte.
  • È meglio non utilizzare chiavi d’accesso che possano essere facilmente indovinate a partire da informazioni personali, come date di nascita, nomi di familiari, animali domestici o il proprio nome. Questi sono spesso i primi tentativi che compie un aggressore per indovinare la password.
  • Attivare l’autenticazione a due fattori (2FA). Nonostante non sia direttamente correlata alla forza delle password, l’attivazione della 2FA aggiunge un ulteriore livello di sicurezza. Anche se qualcuno scoprisse la password, avrebbe comunque bisogno di una seconda forma di verifica per accedere all’ account. I moderni gestori di password memorizzano le chiavi 2FA e le proteggono con i più recenti algoritmi di crittografia.
  • L’utilizzo di una soluzione di sicurezza affidabile aumenta il livello di protezione. Monitora Internet e il Dark Web e avvisa se le password devono essere modificate.

Informazioni sullo studio della vulnerabilità delle password

La ricerca è stata condotta sulla base di 193 milioni di password pubblicamente disponibili su varie risorse della darknet.

Nell’ambito del sondaggio, gli esperti Kaspersky hanno utilizzato i seguenti algoritmi per indovinare le chiavi d’accesso:

  • Bruteforce: è un metodo per indovinare una password che consiste nel provare sistematicamente tutte le possibili combinazioni di caratteri fino a trovare quella corretta.
  • Zxcvbn: è un algoritmo di punteggio avanzato disponibile su GitHub. Per una password esistente, l’algoritmo ne determina lo schema. Successivamente, l’algoritmo conta il numero di iterazioni di ricerca necessarie per ogni elemento dello schema. Quindi, se la chiave d’accesso contiene una parola, la sua ricerca richiederà un numero di iterazioni pari alla lunghezza del dizionario. Avendo a disposizione il tempo di ricerca per ogni elemento dello schema, possiamo contare la forza della password.
  • Algoritmo di smart guessing: è un algoritmo di apprendimento. Basandosi sul set di dati delle password degli utenti, può calcolare la frequenza delle varie combinazioni di caratteri. Quindi può generare prove a partire dalle varianti più frequenti e dalle loro combinazioni a quelle meno ricorrenti.

26 Giugno 2024

Scoperto codice dannoso nelle distribuzioni Linux

Una backdoor impiantata in XZ Utils è riuscita a insinuarsi in alcune distribuzioni Linux molto popolari

Alcuni cybercriminali sconosciuti hanno impiantato codice dannoso nelle versioni 5.6.0 e 5.6.1 di XZ Utils, un insieme di strumenti software open source progettati per la compressione dei file. A peggiorare le cose, le utility troianizzate sono riuscite a insinuarsi in diverse build popolari di Linux rilasciate a marzo, per cui questo incidente potrebbe essere considerato un attacco alla supply-chain. Questa vulnerabilità è stata denominata CVE-2024-3094.

Cosa rende questo impianto dannoso così pericoloso?

Inizialmente, diversi ricercatori hanno affermato che questa backdoor consentiva agli hacker di bypassare l’autenticazione sshd (il processo del server OpenSSH) e di ottenere da remoto un accesso non autorizzato al sistema operativo. Tuttavia, a giudicare dalle ultime informazioni, questa vulnerabilità non dovrebbe essere classificata come “bypass dell’autenticazione”, ma come “esecuzione di codice remoto” (RCE). La backdoor intercetta la funzione RSA_public_decrypt, verifica la firma dell’host utilizzando la chiave fissa Ed448 e, se la verifica ha esito positivo, esegue il codice dannoso passato dall’host tramite la funzione system(), senza lasciare tracce nei log di sshd.

Quali distribuzioni Linux contengono utility dannose e quali sono sicure?

Si sa che le versioni 5.6.0 e 5.6.1 di XZ Utils sono state incluse nelle build di marzo delle seguenti distribuzioni Linux:

  • Kali Linux, ma, secondo il blog ufficiale, solo quelli disponibili tra il 26 e il 29 marzo (il blog include anche le istruzioni per verificare la presenza di versioni vulnerabili delle utility);
  • openSUSE Tumbleweed e openSUSE MicroOS, disponibili dal 7 al 28 marzo;
  • Fedora 41, Fedora Rawhide e Fedora Linux 40 beta;
  • Debian (distribuzioni di testing instabili e sperimentali);
  • Arch Linux, immagini container disponibili dal 29 febbraio al 29 marzo. Il sito org afferma però che, a causa delle specificità legate all’implementazione, questo vettore di attacco non funzionerà in Arch Linux, ma raccomanda comunque vivamente di aggiornare il sistema.

Secondo le informazioni ufficiali, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise, openSUSE Leap e Debian Stable non sono vulnerabili. Per quanto riguarda le altre distribuzioni, si consiglia di verificare manualmente la presenza di versioni troianizzate di XZ Utils.

Come è stato possibile impiantare il codice dannoso in XZ Utils?

A quanto pare, si tratta di un caso atipico di trasferimento del controllo. La persona che inizialmente ha mantenuto il progetto XZ Libs su GitHub ha passato il controllo del repository a un account che ha contribuito a una serie di repository relative alla compressione dei dati per diversi anni. E a un certo punto, qualcuno che si nascondeva dietro a quest’altro account ha impiantato una backdoor nel codice del progetto.

L’epidemia sfiorata che non si è mai verificata

Secondo Igor Kuznetsov, responsabile del nostro Global Research and Analysis Team (GReAT), lo sfruttamento di CVE-2024-3094 avrebbe potuto potenzialmente diventare il più grande attacco su larga scala all’ecosistema Linux in tutta la sua storia. Questo perché era rivolto principalmente ai server SSH, il principale strumento di gestione remota di tutti i server Linux su Internet. Se fosse finito nelle distribuzioni stabili, probabilmente avremmo assistito a un gran numero di attacchi ai server. Tuttavia, fortunatamente, la CVE-2024-3094 è stata rilevata nelle distribuzioni di testing e rolling, in cui vengono utilizzati i pacchetti software più recenti. In altre parole, la maggior parte degli utenti Linux è  al sicuro. Finora non abbiamo rilevato nessun caso di sfruttamento di CVE-2024-3094.

Come proteggersi?

La U.S. Cybersecurity and Infrastructure Security Agency (CISA) raccomanda a tutti coloro che hanno installato o aggiornato i sistemi operativi colpiti nel mese di marzo di eseguire immediatamente il downgrade di XZ Utils a una versione precedente (ad esempio, la versione 5.4.6). E di avviare anche una scansione alla ricerca di attività dannose.

Se avete installato una distribuzione con una versione vulnerabile di XZ Utils, è opportuno inoltre cambiare tutte le credenziali che potrebbero venire sottratte al sistema da parte degli autori delle minacce.

È possibile individuare la presenza di una vulnerabilità utilizzando la regola Yara per CVE-2024-3094.

Se si sospetta che un cybercriminale possa aver avuto accesso all’infrastruttura aziendale, è possibile utilizzare il servizio Kaspersky Compromise Assessment per scoprire eventuali attacchi passati o in corso.

Per ulteriori informazioni: dircom@argonavis.it

9 Aprile 2024

Che cos’è lo Shadow IT, quali sono i rischi e come proteggersi

 
 

Autore: Redazione Argonavis

 

Un recente studio di Kaspersky ha dimostrato che, negli ultimi due anni, l’11% delle aziende di tutto il mondo ha subito incidenti informatici causati dallo Shadow IT o “IT Ombra”.

La diffusione di questo fenomeno è incrementata con la consumerizzazione dell’IT e, più recentemente, con la crescita del lavoro in remoto.

Si presume che lo Shadow IT possa diventare una delle principali minacce alla sicurezza informatica aziendale entro il 2025.

Ma che cos’è lo Shadow IT?

Si parla di Shadow IT ogni volta che qualche dipendente utilizza servizi di information technology all’insaputa del responsabile IT.

Le attività incluse nello Shadow IT possono essere:

  • la sincronizzazione e la condivisione dei dati (ad esempio le email sincronizzate tra i dispositivi mobili personali del dipendente e il client desktop utilizzato in azienda);
  • l’utilizzo di piattaforme di backup alternative a quelle implementate dall’azienda (chiavette, dischi USB o servizi cloud);
  • l’utilizzo di dispositivi hardware dismessi dopo la modernizzazione o la riorganizzazione dell’infrastruttura IT che possono essere utilizzati “in the shadow” da altri dipendenti;
  • programmi su misura creati dagli specialisti e dai programmatori IT per ottimizzare il lavoro all’interno di un team/reparto o per risolvere problemi interni;
  • progetti di business che prevedono la condivisione di file, tramite allegati, con alcuni clienti.

I dipendenti e i team IT, di norma, impiegano l’IT Ombra perché consente loro di non attendere l’approvazione da parte del reparto IT o perché ritengono che offra migliori funzionalità per i loro scopi rispetto alle alternative offerte dall’IT.

Lo Shadow IT comporta significativi rischi di sicurezza per le aziende.

Poiché il team IT non è a conoscenza delle attività dell’IT Ombra, non le monitora, non ne controlla gli asset e non impiega contromisure alle loro vulnerabilità. Lo Shadow IT è quindi particolarmente suscettibile alle violazioni da parte degli hacker. 

Anche la protezione dei dati aziendali diventa problematica per gli IT manager perché gli utenti sono abituati a utilizzare strumenti e applicazioni al di fuori del processo di protezione definito dall’azienda.

I dati infatti, che entrano ed escono dall’azienda, possono essere creati, modificati, salvati e condivisi senza che questi passino da un file server sotto la supervisione dell’IT manager; il backup di tali dati non viene eseguito perché non se ne conosce l’esistenza. Ne consegue che gli IT manager non sono in grado di recuperare tali dati in caso di cancellazione accidentale o di accedere ai dati se il dipendente lascia l’azienda.

Per risolvere il buco di dati creati dallo Shadow IT ci sono alcune contromisure efficaci.

La prima è dare agli utenti gli strumenti di cui hanno bisogno per la protezione degli endpoint e per la sincronizzazione e condivisione dei dati in modo che non cerchino soluzioni alternative al di fuori delle soluzioni utilizzate dall’azienda.

Un’altra strategia efficace è quella di eseguire il backup in-house dei dati delle applicazioni cloud-based per la protezione contro la perdita accidentale di tali dati o, peggio, la cancellazione intenzionale di questi dati. Sarebbe preferibile limitare il lavoro dei dipendenti che utilizzano servizi esterni di terze parti e, se possibile, bloccare l’accesso alle risorse di scambio di informazioni cloud più diffuse.

I rischi legati all’utilizzo dello Shadow IT in un’organizzazione si possono ridurre anche eseguendo regolarmente un inventario delle risorse IT e scansionando la rete interna per evitare la comparsa di hardware e servizi non controllati.

Fonti:

https://www.zerounoweb.it/cloud-computing/shadow-it-protezione-sicurezza/

https://www.lineaedp.it/featured/shadow-it-ancora-un-rischio-reale-per-le-aziende/

19 Febbraio 2024