Marco Poeta

NIS2: La tua Azienda è pronta? Ignorare questa direttiva potrebbe costarti Molto Caro

NIS2: Una Nuova Frontiera per la Sicurezza Informatica – Sei Pronto per la Scadenza del 18 Ottobre?

La scadenza del 18 ottobre per la direttiva NIS2 si avvicina rapidamente e le aziende europee devono adeguarsi per non incorrere in sanzioni. A differenza di normative come il GDPR, che si concentrano sulla protezione dei dati personali, la NIS2 ha una portata decisamente più ampia. Questa direttiva impone alle organizzazioni di proteggere l’intero ecosistema IT, adottando misure preventive per garantire la continuità operativa e rafforzare la resilienza contro potenziali incidenti e attacchi cibernetici.

Cos’è la Direttiva NIS2?

La direttiva NIS2 (Network and Information Security) è un aggiornamento della precedente NIS1, ma con requisiti molto più stringenti. Include nuovi settori industriali e richiede alle aziende di adottare un approccio globale e ben pianificato alla gestione della sicurezza informatica. Non si tratta semplicemente di implementare qualche strumento di sicurezza in più, ma di ripensare completamente la gestione dei rischi informatici in modo coordinato e strategico.

La Differenza Fondamentale tra NIS2 e GDPR

Mentre il GDPR si focalizza esclusivamente sulla protezione dei dati personali degli utenti, imponendo restrizioni severe sull’utilizzo e la conservazione delle informazioni sensibili, la NIS2 va oltre. Chiede alle aziende di proteggere ogni aspetto del loro ecosistema digitale. La protezione non è limitata ai dati personali, ma si estende a tutti i sistemi e le reti che supportano le attività aziendali. Questo significa implementare misure per garantire la resilienza delle operazioni, prevenire l’interruzione dei servizi e prepararsi a rispondere in modo efficace a qualsiasi tipo di minaccia cibernetica.

Quali Aziende Devono Adeguarsi alla NIS2?

La direttiva NIS2 si applica a un ampio numero di settori e aziende, che sono stati suddivisi in due categorie principali:

Settori Essenziali

1. Energia: Elettricità, petrolio, gas, idrogeno e teleriscaldamento.
2. Acqua Potabile e Acque Reflue: Gestione e distribuzione dell'acqua potabile e dei sistemi di depurazione.
3. Sanitario: Ospedali, laboratori, ricerca e sviluppo, case farmaceutiche e produttori di dispositivi medici.
4. Bancario e Finanziario: Banche, infrastrutture dei mercati finanziari e fornitori di servizi di pagamento.
5. Trasporti: Compagnie aeree, ferroviarie, trasporti su strada e vie d'acqua.
6. Infrastrutture Digitali: Provider di data center, IXPs, fornitori di servizi di comunicazione elettronica.
7. Gestione Servizi ICT B2B: Fornitori di servizi informatici per altre aziende.
8. Spazio: Gestione e monitoraggio delle infrastrutture spaziali.
9. Pubblica Amministrazione: Strutture governative centrali e regionali.

Settori Importanti

1. Servizi Postali e di Corriere.
2. Gestione dei Rifiuti: Smaltimento e gestione dei rifiuti urbani e industriali.
3. Prodotti Chimici: Fabbricazione, produzione e distribuzione di sostanze chimiche.
4. Prodotti Alimentari: Produzione, trasformazione e distribuzione di alimenti.
5. Industrie di Trasformazione/Produzione: Produzione di dispositivi medici, elettronica, macchinari e veicoli.

Questa suddivisione non solo amplia il campo di applicazione rispetto alla precedente direttiva NIS, ma introduce anche nuovi obblighi per tutte le aziende coinvolte, inclusi fornitori di servizi critici e connessi alla supply chain​.

Obiettivi Principali della Direttiva NIS2

1. Protezione Completa dell’Ecosistema IT: Le aziende devono garantire che tutte le infrastrutture IT siano protette, comprese quelle non direttamente legate ai dati personali, ma critiche per la continuità operativa.
2. Adozione di Misure Preventive: Non basta più reagire agli incidenti; le organizzazioni devono essere in grado di prevenirli con misure avanzate di monitoraggio e difesa.
3. Continuità Operativa: Le aziende devono essere in grado di mantenere i servizi anche in caso di attacco, minimizzando i tempi di interruzione e l’impatto sui clienti.
4. Resilienza Informatica: Migliorare la capacità di resistere, adattarsi e riprendersi da incidenti informatici.

Come Adeguarsi alla NIS2?

Le aziende devono adottare un approccio globale e strategico alla gestione della sicurezza, che includa:

1. Valutazione dei Rischi a Livello Aziendale: Ogni aspetto dell’ecosistema digitale deve essere analizzato per identificare potenziali vulnerabilità.
2. Implementazione di Tecnologie Avanzate: Sistemi di rilevamento delle minacce basati su intelligenza artificiale, monitoraggio continuo delle reti e soluzioni di sicurezza avanzate per proteggere l’infrastruttura IT.
3. Piano di Gestione degli Incidenti: Sviluppare piani dettagliati per rispondere rapidamente ed efficacemente a qualsiasi minaccia, minimizzando l’impatto sugli utenti e sulla continuità operativa.
4. Formazione e Sensibilizzazione: Educare i dipendenti sulle minacce informatiche e le migliori pratiche di sicurezza, poiché l’anello più debole è spesso rappresentato dall’errore umano.

Conclusioni

Adeguarsi alla direttiva NIS2 non è solo un obbligo normativo, ma una necessità per proteggere il proprio business e garantire la fiducia dei clienti. Non si tratta solo di evitare sanzioni, ma di costruire una struttura aziendale resiliente e sicura, capace di affrontare le sfide del futuro. Con la crescente complessità delle minacce informatiche, un approccio coordinato e pianificato alla sicurezza non è più opzionale, ma essenziale.

Assicurati che la tua azienda sia pronta per il 18 ottobre. La sicurezza dell’intero ecosistema IT è fondamentale per la protezione delle tue operazioni e dei tuoi clienti.
Per maggiori dettagli, consulta le fonti ufficiali o contattataci per una consulenza preliminare.

---

by Marco Poeta

5 Motivi per Introdurre l'Intelligenza Artificiale in Azienda

L'intelligenza artificiale (IA) sta rivoluzionando il modo in cui le aziende operano e competono. Sempre più organizzazioni stanno adottando soluzioni IA per migliorare l'efficienza, ridurre i costi e offrire un vantaggio competitivo. Ecco i 5 principali motivi per cui dovresti considerare di introdurre l'IA nella tua azienda:

### 1. Automazione dei processi

L'IA può automatizzare attività ripetitive e a basso valore aggiunto, liberando i dipendenti per compiti più strategici e creativi. Questo aumenta la produttività e riduce gli errori umani.

### 2. Analisi dei dati avanzata

L'IA può analizzare grandi quantità di dati in tempo reale, identificando tendenze e intuizioni nascoste che guidano processi decisionali più informati. Questo è particolarmente utile per previsioni di vendita, ottimizzazione della supply chain e personalizzazione del cliente.

### 3. Miglioramento dell'esperienza del cliente

Chatbot e assistenti virtuali basati su IA possono fornire supporto clienti 24/7, rispondendo rapidamente a domande e risolvendo problemi in modo efficiente. Ciò migliora la soddisfazione e la fedeltà dei clienti.

### 4. Innovazione di prodotto

L'IA può accelerare lo sviluppo di nuovi prodotti e servizi, ottimizzando il processo di R&S. Ad esempio, l'IA può generare idee innovative, testare ipotesi e simulare scenari in modo rapido ed economico.

### 5. Vantaggi competitivi

Le aziende che adottano per prime l'IA possono ottenere un vantaggio competitivo significativo, aumentando la produttività, riducendo i costi e offrendo prodotti e servizi migliori. Ciò può portare a maggiori ricavi e quote di mercato.

In conclusione, l'intelligenza artificiale offre numerosi vantaggi strategici per le aziende di ogni settore. Le organizzazioni che investono nell'IA oggi saranno meglio posizionate per il successo futuro in un mondo sempre più guidato dai dati e dall'automazione. È il momento di iniziare a esplorare come l'IA può trasformare la tua attività.

Per approfondire questi temi, ti invitiamo a leggere l'articolo completo su BitMat.

---

by Marco Poeta

Account Microsoft 365 e Gmail nel mirino di Tycoon 2FA: come proteggersi dal phishing

Nuova ondata di attacchi phishing con il kit Tycoon 2FA: ecco come difendersi

Un nuovo aggiornamento del kit di phishing Tycoon 2FA sta prendendo di mira gli account Microsoft 365 e Gmail. Le nuove tecniche utilizzate dai cybercriminali sono più sofisticate e mirano a bypassare l'autenticazione a due fattori (2FA), rendendo l'attacco ancora più pericoloso.

Come funziona l'attacco:

1. Email di phishing: L'utente riceve un'email che sembra provenire da Microsoft o Google, con un messaggio che richiede di aggiornare le informazioni di sicurezza dell'account.
2. Link malevolo: L'email contiene un link che, se cliccato, reindirizza l'utente a una pagina di login falsa che imita quella ufficiale di Microsoft o Google.
3. Richiesta di credenziali: Nella pagina falsa, l'utente viene invitato a inserire le proprie credenziali di accesso e il codice 2FA.
4. Furto di dati: Se l'utente inserisce i propri dati, i cybercriminali li rubano e li utilizzano per accedere al suo account Microsoft 365 o Gmail.

Cosa fare per proteggersi:

• Non cliccare su link sospetti: Presta attenzione all'indirizzo del mittente e al contenuto dell'email. Se hai dubbi, non cliccare sul link e contatta direttamente Microsoft o Google.
• Controlla l'URL: Assicurati che l'URL della pagina di login sia quello ufficiale di Microsoft o Google.
• Utilizza una password complessa e diversa per ogni account.
• Attiva l'autenticazione a due fattori (2FA): Anche se i cybercriminali di Tycoon 2FA stanno diventando più abili nel bypassare la 2FA, è comunque una misura di sicurezza importante che può rendere l'accesso al tuo account più difficile per i criminali.
• Aggiorna regolarmente il tuo software e i tuoi sistemi di sicurezza.
• Installa un antivirus e un antispyware affidabili.
• Fai attenzione a quali email e link clicchi.
• Non condividere mai le tue informazioni personali con persone che non conosci.

Se pensi di essere stato vittima di un attacco di phishing:

• Cambia immediatamente la password del tuo account.
• Contatta Microsoft o Google per segnalare l'attacco.
• Monitora il tuo account per eventuali attività sospette.

Per maggiori informazioni:

• Microsoft: https://www.microsoft.com/en-us/security
• Google: https://myaccount.google.com/intro/security

Sottolineiamo l'importanza di rimanere vigili e di adottare le dovute precauzioni per proteggersi dalle minacce informatiche in continua evoluzione.

Condividi questo articolo con i tuoi amici e familiari per aiutarli a proteggersi dal phishing!

---

by Marco Poeta

Fast Company svela le carte: ecco le 10 aziende più innovative del nuovo anno

---

by Marco Poeta

Le Nostre Impronte Digitali: Un Tesoro per il Mercato Nero

“Proprio come ogni fiocco di neve è unico, così è ogni impronta digitale”, afferma l’esperto di tecnologia di ZenShield, Steffan Black. Ma questa unicità potrebbe far finire le tue impronte digitali sul mercato nero.

La Sicurezza Digitale in un’Epoca Digitale

La sicurezza digitale è più importante che mai in quest’epoca digitale, e potresti scambiare inconsapevolmente le tue preziose impronte digitali per comodità. Ignorare le proprie preoccupazioni e dire: “Chi mai potrebbe essere interessato alle mie impronte digitali?” è un atteggiamento pericoloso.

A differenza delle password, i dati biometrici non possono essere cambiati una volta che sono stati rubati. Per questo le impronte digitali sono una miniera d’oro in un’epoca guidata dai dati.

Un Attacco Recente

Un recente attacco a un database biometrico ha esposto 28 milioni di record, tra cui le impronte digitali di oltre 1 milione di persone. Questo incidente sottolinea la necessità di una maggiore consapevolezza e di misure di sicurezza più forti quando si tratta di proteggere i nostri dati biometrici.

Conclusione

In conclusione, è fondamentale essere consapevoli dei rischi associati alla sicurezza digitale e fare tutto il possibile per proteggere le nostre impronte digitali. Dobbiamo ricordare che una volta che i dati biometrici sono stati rubati, non possono essere cambiati come una password. Quindi, proteggiamo le nostre impronte digitali come proteggeremmo un tesoro.

Per saperne di più, visita il link: [Articolo completo]

---

by Marco Poeta

Log4Shell: ecco come funziona l’exploit della vulnerabilità di Log4j

Log4Shell è la vulnerabilità “più critica dell’ultimo decennio” emersa in Log4j, il framework per logging molto diffuso e utilizzato da numerosi prodotti software, servizi cloud e altre applicazioni. Ecco come funziona il suo exploit e i consigli per mettere in sicurezza le applicazioni aziendali sviluppate internamente

La vulnerabilità emersa all’interno di Log4j, l’utility di Apache per il logging scritta in linguaggio Java (CVE-2021-44228), è stata definita come “la vulnerabilità più critica dell’ultimo decennio”: conosciuta anche come Log4Shell, questa criticità ha costretto gli sviluppatori di numerosi prodotti software a rilasciare aggiornamenti o mitigazioni ai loro clienti. E da quando è stata scoperta la vulnerabilità, i maintainer di Log4j hanno pubblicato due nuove versioni – la seconda della quale ha completamente rimosso la funzione che aveva originariamente reso possibile l’exploit.

Come è già stato fatto notare, Log4Shell è un exploit legato alla funzione di “sostituzione messaggi” di Log4j, che permette(va) di modificare programmaticamente il log degli eventi inserendo stringhe formattate in modo da richiamare contenuti esterni. Il codice alla base di questa funzione consentiva anche di effettuare ricerche o “lookup” usando URL JNDI (Java Naming and Directory Interface).

Questa funzione ha tuttavia dato inavvertitamente la possibilità a un attaccante di inserire testo contenente URL JNDI pericolosi all’interno delle richieste inviate al software che utilizza Log4j, con la conseguenza di far caricare ed eseguire il codice remoto dal logger. Per renderci meglio conto della pericolosità degli exploit di questa funzione analizzeremo ora il codice che li rende possibili.

Come funziona Log4j

Log4j produce gli eventi di logging usando TTCCLayout: orario, thread, categoria e informazioni di contesto. Per default utilizza il seguente pattern:

%r [%t] %-5p %c %x – %m%n

In questo caso %r stampa il tempo in millisecondi trascorso dal momento dell’avvio del programma; %t indica il thread, %p la priorità dell’evento, %c la categoria, %x il contesto diagnostico associato al thread che ha generato l’evento e %m è riservato al messaggio associato all’evento, fornito dall’applicazione.

È proprio in quest’ultimo campo che entra in gioco la vulnerabilità.

La vulnerabilità può essere sfruttata quando la funzione logger.error() viene chiamata passando come parametro un messaggio comprendente un URL JNDI (jndi:dns://, jndi:ldap:// o una qualunque delle altre interfacce JNDI discusse nel nostro post precedente). Nel momento in cui viene passato l’URL, il software esegue un “lookup” JNDI che può provocare l’esecuzione di codice remoto.

Per replicare questa vulnerabilità possiamo vedere uno dei numerosi PoC (Proof of Concept) pubblicati, che dimostra come molte applicazioni interagiscono con Log4j. Nel codice logger/src/main/java/logger/App.java usato in questo PoC, notiamo come logger.error() venga chiamato con un parametro di tipo messaggio:

package logger;

import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.logger;

public class App {
     private static final Logger logger = LogManager.getLogger(App.class);
     public static void main(String[] args) {
          String msg = (args.length > 0 ? args [0] : “”);
          logger.error(msg);
     }

}

A scopo di debugging abbiamo cambiato il messaggio con un URL di test (creato con il tool Interactsh) che utilizza DNS con JNDI per passarlo come parametro alla funzione logger.error(), seguendo quindi lo svolgere passo passo del programma:

Possiamo notare come, dopo aver chiamato il metodo logger.error() della classe AbstractLogger con l’URL creato apposta, venga chiamato un altro metodo, logMessage:

Il metodo log.message crea un oggetto messaggio con l’URL che gli è stato passato:

Dopodiché chiama processLogEvent dalla classe LoggerConfig per registrare l’evento:

La chiamata successiva riguarda il metodo append della classe AbstractOutputStreamAppender, che aggiunge il messaggio al log:

Ecco dove si verifica il problema

A sua volta, questo metodo chiama il metodo directEncodeEvent:

E il metodo directEncodeEvent chiama il metodo getLayout().Encode, che formatta il messaggio per il log aggiungendovi il parametro che gli è stato passato – che, in questo caso, non è altro che l’URL che avevamo creato per sfruttare la vulnerabilità:

Viene quindi creato un nuovo oggetto StringBuilder:

StringBuilder chiama il metodo format della classe MessagePatternConvert ed esegue il parsing dell’URL fornito alla ricerca dei caratteri ‘$’ e ‘{’ per identificare l’URL effettivo:

Dopodiché prova a identificare svariati nomi e valori separati da ‘:’ o ‘-’:

La successiva chiamata al metodo resolveVariable della classe StrSubstitutor identifica le variabili, che possono essere una o più delle seguenti:

{date, java, marker, ctx, lower, upper, jndi, main, jvmrunargs, sys, env, log4j}

A questo punto, il codice chiama il metodo lookup della classe Interpolator per controllare il servizio associato alla variabile (che in questo caso è jndi):

Avendo trovato jndi, il codice chiama il metodo lookup della classe jndiManager, che valuta quanto contenuto nella risorse JNDI:

Dopodiché viene chiamato il metodo getURLOrDefaultInitCtx della classe IntialContext. Qui viene creata la richiesta che sarà successivamente inviata all’interfaccia JNDI per recuperare le informazioni di contesto, a seconda dell’URL che è stato passato. In questo esatto punto inizia a prendere forma l’exploit. Nel nostro caso, l’URL riguarda il servizio DNS:

Specificando un URL del genere, con Wireshark possiamo vedere che viene inviata una query DNS all’URL che avevamo fornito (i tratta di un URL di test, non pericoloso):

Qualora l’URL sia jndi:ldap://, viene chiamato un altro metodo della classe ldapURLConext per verificare la possibilità che l’URL abbia queryComponents:

Dopo aver chiamato il metodo lookup della classe ldapURLContext, la variabile name contiene l’URL ldap:

Per connettersi quindi all’URL ldap fornito:

Viene chiamato il metodo flushBuffer della classe OutputStreamManager, qui buf contiene i dati restituiti dal server LDAP, in questo caso la stringa mmm…. che possiamo osservare qui sotto:

Osservando i pacchetti catturati con Wireshark, possiamo constatare come la richiesta sia composta dai seguenti bytes:

Si tratta dei dati serializzati che verranno visualizzati dal client, come possiamo vedere qui sotto dove la vulnerabilità è stata messa a frutto: si noti la stringa [main] ERROR logger.App all’interno del messaggio seguita da dati:

Problema risolto

Tutto questo è stato possibile perché in tutte le versioni di Log4j 2 fino alla 2.14 (escludendo la release di sicurezza 2.12.2), il supporto di JNDI non era limitato in termini di nomi che potevano essere risolti. Alcuni protocolli non erano sicuri o rendevano possibile l’esecuzione di codice remoto. Log4j 2.15.0 limita JNDI ai soli lookup LDAP, e tali ricerche sono ulteriormente limitate per default a connettersi agli oggetti primitivi Java residenti sull’host locale.

La versione 2.15.0 ha tuttavia lasciato parzialmente irrisolta la vulnerabilità, perché per le implementazioni dotate di “certi layout pattern non di default” per Log4j, come quelli con lookup di contesto (come “$${ctx:loginId}”) o con un pattern Thread Context Map (“%X”, “%mdc” o “%MDC”), era ancora possibile definire dati di input mediante un pattern JNDI Lookup tale da provocare un attacco Denial of Service (DoS).

Nelle ultime release tutti i lookup sono stati disabilitati per default. In questo modo la funzione JNDI è stata interamente rimossa, ma ciò evita che Log4j possa essere utilizzato per exploit remoti.

In conclusione

Log4j è un framework per logging molto diffuso e utilizzato da numerosi prodotti software, servizi cloud e altre applicazioni.

Le vulnerabilità presenti nelle versioni precedenti la 2.15.0 permettono a un malintenzionato di recuperare i dati da un’applicazione o dal relativo sistema operativo sottostante, piuttosto che eseguire codice Java che gira con lo stesso livello di autorizzazioni attribuito al runtime Java stesso (Java.exe sui sistemi Windows).

Questo codice può eseguire comandi e script sul sistema operativo locale scaricando quindi ulteriore codice pericoloso e spianando la strada all’elevazione dei privilegi e ad accessi remoti persistenti.

Sebbene la versione 2.15.0 di Log4j, rilasciata nel momento in cui la vulnerabilità è divenuta di pubblico dominio, risolva questi problemi, essa lascia tuttavia aperta la porta ad exploit e attacchi Denial of Service (situazione risolta almeno parzialmente dalla versione 2.16.0).

Il 18 dicembre è stata rilasciata una terza versione, la 2.17.0, che previene possibili attacchi ricorsivi che potrebbero provocare un Denial of Service.

Le aziende dovrebbero verificare le versioni di Log4j presenti nelle applicazioni sviluppate internamente e provvedere a passare alle versioni più recenti (2.12.2 per Java 7 e 2.17.0 per Java 8), nonché applicare le patch software non appena vengono rilasciate dai rispettivi vendor.

Fonte dell'Articolo: https://bit.ly/3FEkTcK

---

by Marco Poeta

Nasce l’Agenzia per la Cybersicurezza Nazionale e non solo: il decreto è stato approvato

Difendersi dagli attacchi informatici e dalle minacce alla sicurezza è oggi una priorità non solo delle PMI o delle agenzie, bensì dell’intera nazione. Al contempo, sensibilizzare la popolazione su questo problema sempre più dilagante ed innovare le nostre istituzioni sono cardini essenziali per una nazione al passo con i tempi e vicina ai propri cittadini. Questi, infatti, alcuni dei temi trattati dal decreto-legge n.82 pubblicato sulla Gazzetta Ufficiale n.140 del 14 giugno 2021, contenente 19 articoli, approvato dal Consiglio dei Ministri. Tra le altre misure, istituisce la nascita del dell’Agenzia per la Cyber Sicurezza Nazionale (Acn) e il Comitato interministeriale per la cybersicurezza (CIC).

AGENZIA PER LA CYBER SICUREZZA NAZIONALE

L’agenzia è stata istituita a tutela degli interessi nazionali nel campo della cybersicurezza e della “resilienza dei servizi e delle funzioni essenziali dello Stato da minacce cibernetiche“. Essa sarà la massima autorità nazionale in materia di cybersicurezza.

Sarà composta da una squadra di 300 esperti, fino a raggiungere 800 unità nel 2027, con una dotazione totale di circa 530 milioni di euro per proteggere l’Italia dal rischio cyber. Particolare attenzione viene posta sui talenti italiani, con sforzi per scongiurare fughe all’estero o che il pubblico rimanga indietro. Ecco perché è previsto che i contratti siano equiparati a quelli della Banca d’Italia. L’Agenzia farà anche formazione con la Cyber Defence Academy, la “struttura di formazione delle risorse che farà da apripista per gli esperti di domani”.

Per adeguarsi tempestivamente alla normativa europea, il Governo ha individuato l’Agenzia come Centro nazionale di coordinamento italiano, che si interfaccerà con il “Centro europeo di competenza per la cybersicurezza nell’ambito industriale, tecnologico e della ricerca” di recente istituzione, concorrendo ad aumentare l’autonomia strategica europea nel settore.

Le funzioni del’Acn

• sviluppare capacità nazionali di prevenzione, monitoraggio, rilevamento e mitigazione per far fronte agli incidenti di sicurezza informatica e agli attacchi informatici, anche attraverso il Computer Security Incident Response Team (CSIRT) italiano;
• contribuire all’innalzamento della sicurezza dei sistemi di Information and communications technology (ICT) dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica, delle pubbliche amministrazioni, degli operatori di servizi essenziali (OSE) e dei fornitori di servizi digitali (FSD);
• essenziale anche la formazione con cui si punta a supportare lo sviluppo di competenze industriali, tecnologiche e scientifiche, promuovendo progetti per l’innovazione e lo sviluppo e mirando a stimolare la crescita di una solida forza di lavoro nazionale nel campo della cybersecurity in un’ottica di autonomia strategica nazionale nel settore;
• assumere le funzioni di interlocutore unico nazionale con il compito di verifica, per i soggetti pubblici e privati in materia di misure di sicurezza e attività ispettive negli ambiti del perimetro di sicurezza nazionale cibernetica, della sicurezza delle reti e dei sistemi informativi (direttiva NIS), e della sicurezza delle reti di comunicazione elettronica;
• partecipare alle esercitazioni nazionali e internazionali che riguardano la simulazione di eventi di natura cibernetica al fine di innalzare la resilienza del Paese.

COMITATO INTERMINISTERIALE PER LA CYBERSICUREZZA

Il Comitato interministeriale per la cybersicurezza (CIC) avrà invece funzioni di consulenza, proposta e vigilanza in materia di politiche di cybersicurezza, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico. Avrà dunque l’incarico di:

• propone al Presidente del Consiglio dei ministri gli indirizzi generali da perseguire nel quadro delle politiche di cybersicurezza nazionale;
• esercita l’alta sorveglianza sull’attuazione della strategia nazionale di cybersicurezza;
• promuove l’adozione delle iniziative necessarie per favorire l’efficace collaborazione, a livello nazionale e internazionale, tra i soggetti istituzionali e gli operatori privati interessati alla cybersicurezza, nonché per la condivisione delle informazioni e per l’adozione di migliori pratiche e di misure rivolte all’obiettivo della cybersicurezza e allo sviluppo industriale, tecnologico e scientifico in materia di cybersicurezza;
• esprime il parere sul bilancio preventivo e sul bilancio consuntivo dell’Agenzia per la cybersicurezza nazionale.

Fonte dell'Articolo: https://bit.ly/39fqlCF

---

by Marco Poeta

Attacchi Whailing: la “caccia informatica alle balene” che minaccia CEO, CFO e tutti i C-Level

Si chiama whaling la pericolosa variante del phishing che, basandosi sempre su tecniche di ingegneria sociale, prende di mira i dirigenti e i vertici aziendali inducendoli a compiere azioni dannose per l’azienda ma remunerative per l’attaccante.

Il whaling, o whale phishing, è una recente e ambiziosa tecnica di attacco informatico che prende di mira dirigenti e vertici aziendali quali CEO, CFO, CIO e in generale tutti quei profili, comunemente identificabili come C-Level, che all’interno di un’azienda sono in possesso sia di informazioni strettamente riservate che di elevati poteri decisionali e di spesa.

L’obiettivo è quello di manipolare la vittima inducendola con l’inganno a divulgare informazioni in suo possesso o a fargli compiere specifiche azioni dannose per l’azienda ma remunerative per l’attaccante, come ad esempio autorizzare un bonifico a beneficio di quest’ultimo.

Le logiche e le dinamiche di tale tipologia di attacco sono sostanzialmente le stesse del phishing, minaccia informatica particolarmente diffusa di cui il whaling rappresenta la forma più recente, evoluta e sofisticata.

La cura meticolosa dei dettagli e la forte personalizzazione rendono gli attacchi di whaling estremamente difficili da rilevare.

In che modo, dunque, aziende e professionisti possono difendersi da tale minaccia? Di seguito sono riportati alcuni suggerimenti pratici per ridurre il rischio di cadere vittime del whaling.

Suggerimenti per le aziende:

• creare consapevolezza sul fenomeno, prevedendo formazione e sensibilizzazione specifica per i profili C-Level;
• organizzare e simulare periodiche campagne interne di whaling, così da affinare le capacità di difesa dei propri C-Level. Proprio da tali campagne, spesso, scaturiscono lesson learned estremamente formative;
• incoraggiare i dipendenti di tutti i livelli a verificare, attraverso un secondo canale, le fonti di eventuali richieste urgenti pervenute via e-mail, ad esempio chiedendo conferma di persona al mittente o contattando proattivamente quest’ultimo via telefono o SMS;
• limitare il più possibile la condivisione di informazioni sui propri C-Level, ad esempio tramite il sito web o gli account social aziendali.

Suggerimenti per i C-Level:

• imparare a mettere in dubbio, per impostazione predefinita, anche le e-mail dall’aspetto più familiare, soprattutto se ricevute da un superiore e se contenenti richieste a carattere d’urgenza. Bisogna sempre ricordare che tale tipologia di attacco presuppone una preventiva ed approfondita raccolta di informazioni sulle vittime;
• esattamente come per le aziende, cercare di limitare la condivisione di informazioni personali e professionali, in particolare attraverso i vari social network.

 

Fonte dell'Articolo: https://bit.ly/39fqlCF

---

by Marco Poeta

Lo human firewall: cos’è e perché è importante per la sicurezza aziendale

Lo human firewall è un dipendente opportunamente educato, istruito e formato per riconoscere gli attacchi che sfruttano le persone e le loro lacune in ambito cyber security prima ancora che le falle tecnologiche dei sistemi informatici. Ecco perché una tale formazione è importante per tutte le aziende.

Al giorno d’oggi uno dei termini che spesso si usano all’interno di un’azienda nell’ambito della sicurezza informatica è “human firewall”: ma di preciso, che cosa s’intende con tale espressione?

Con questa terminologia si intende un essere umano che viene opportunamente educato, istruito e formato al fine di riconoscere gli attacchi che sfruttano, prima ancora che le falle tecnologiche di un sistema informatico, la persona e le sue lacune in ambito di security, così da poter evitare di cadere nelle trappole dei malintenzionati e non compromettere il proprio perimetro aziendale.

Ci si potrebbe chiedere: ma una tale formazione, essendo ad ogni modo una forma d’investimento, è una spesa necessaria da inserire all’interno del budget? La risposta è decisamente sì e i motivi sono lampanti.

Human firewall: un valido investimento per le aziende

Una ditta che investe non solo sull’infrastruttura, ma anche sulle conoscenze dei propri dipendenti in merito, diminuisce sensibilmente le possibilità di vedere i propri dati finire in mano ai criminali che intendono sfruttarli per i loro scopi.

Un dipendente formato a riguardo si sentirà più sicuro e meno soggetto a sbagli potenzialmente fatali, aumentando quindi la produttività intesa sia come qualità che come quantità.

L’investimento iniziale si rivela prezioso sul lungo termine: un dipendente formato e opportunamente aggiornato sulle tecniche di human firewalling renderà costantemente maggiore il livello di sicurezza generale dell’infrastruttura e della ditta alla quale appartiene.

La domanda che sorge spontanea a questo punto è: come si diventa human firewall? Per rispondere occorre precisare che ci sono due elementi da considerare: l’insegnante e il processo.

Diventare uno human firewall: struttura formativa

Parlando dell’insegnante, esistono svariati professionisti del settore che tra i loro servizi offrono corsi ad hoc per istruire i dipendenti delle ditte sul tema dello human firewall; proprio perché il problema è di notevole importanza, ci si è subito allineati per offrire alle aziende servizi di formazione adeguati.

L’importante è rivolgersi a professionisti seri e di comprovata qualità, non a persone che s’improvvisano esperti del settore senza averne una concreta e reale conoscenza. Tale punto sembra scontato e banale ma sottolinearlo su un tema così delicato è essenziale.

Relativamente al processo, s’intende invece delineare i passi che vanno seguiti al fine di fornire un servizio efficace ai dipendenti e mantenerli costantemente aggiornati nel tempo. In linea di massima possiamo definire tale prassi composta da 7 punti, e cioè:

1. policy dettagliate, chiare ma senza sovraccarico: quando i dipendenti vengono istruiti sul tema dello human firewall, hanno bisogno di istruzioni chiare, dettagliate, che coprano tutti i punti del tema specifico che si sta affrontando. Occorre ricordare però che i dipendenti hanno anche altri temi su cui formarsi ed altre informazioni da immagazzinare durante la loro giornata lavorativa: bombardarli di concetti senza sosta non è il modo migliore per aiutarli. La fretta non deve essere cattiva consigliera ma anzi i tempi di apprendimento delle persone vanno rispettati e tenuti in considerazione;
2. la continuità è importante: spesso, con prodotti specifici o affini, si considera di effettuare l’aggiornamento dei dipendenti una o due volte l’anno. Con lo human firewall non è così: i pirati informatici sono sempre all’opera per sperimentare nuovi modi per ingannare le loro vittime, pertanto è importante stare al passo ed aggiornare costantemente i propri dipendenti;
3. motivare i dipendenti: riuscire a far sentire apprezzati ed importanti i propri collaboratori è un passo fondamentale per riuscire a sviluppare uno human firewalling. Ad esempio, premiare un dipendente con un encomio visibile a tutti i suoi colleghi per aver riconosciuto una mail di phishing motiverà ancor di più l’autore dell’opera e sarà di sprono per gli altri ed emularlo in impegno e dedizione all’opera;
4. nessuna esclusione: bisogna esortare tutti i membri dell’azienda ad istruirsi sul tema e diventare human firewall. Occorre valutare le paure dei dipendenti, aiutarli a superarle ma al contempo non pensare che vi siano persone che possono restare escluse; anzi, spesso cono i cosiddetti “intoccabili” ad essere il bersaglio preferito dei pirati, come i C level, poiché rubando le loro credenziali si da inizio a campagne di spear phishing;
5. condivisione: coloro che vengono formati sul tema dovrebbero condividere cosa hanno appreso con i collegi e mostrarsi disponibili ad aiutarli in caso di dubbi o domande. Lavorare in comparti stagni, quando si formano gli human firewall, non è produttivo ma anzi ampiamente dannoso;
6. continua sorveglianza: non basta formare i propri dipendenti. Non si può attendere un reale attacco e pagarne le conseguenze in caso di persone non formate/che non hanno compreso pienamente i concetti trasmessi. Può essere utile simulare un attacco e vederne i risultati: ad esempio, mettere in piedi una campagna di phishing gestito dalla ditta stessa ed inviare un membro esperto in human firewalling a parlare con un dipendente che è caduto nella trappola ed ha cliccato sui link delle mail, per spiegargli dove ha sbagliato e perché;
7. proattività: tutti devono essere formati sullo human firewalling, ma è bene che esista un team dedicato specificatamente a questo e che sviluppi costantemente le proprie competenze in maniera come attività primaria. Tale team dovrebbe costantemente cercare le nuove minacce, proporre una soluzione e portare entrambi gli aspetti all’attenzione dei piani decisionali.

Gli effetti di tale formazione sono evidenti e riconosciuti dai dati registrati dalle aziende: secondo il rapporto State of the Pish di Proofpoint, le ditte che hanno provveduto a formare i propri dipendenti in tale arte hanno registrato sensibili miglioramenti nel riconoscimento delle minacce.

In particolare, circa il 60% degli intervistati ha dimostrato una migliorata capacità nel riconoscere gli attacchi in questione e di essere in grado di evitarli.

Human firewall: le conoscenze di base

Un’ultima domanda che potrebbe sorgere è: quanto è complicato formare degli human firewall?

Le conoscenze di base, in realtà, constano di punti molto semplici che non sono particolarmente complicati da seguire. A dimostrazione di ciò, sono di seguito illustrate alcune tecniche fondamentali con tre dei principali attacchi diretti oggi alle ditte: phishing, social engineering, malware.

• Phishing: il principale mezzo per veicolare tale attacco è la mail. L’attaccante si affida a varie componenti: un utente ansioso, che si spaventa quando vede una comunicazione dalla sua banca o da un qualsiasi istituto di credito è portato a cliccare frettolosamente sul link fornito e a commettere l’errore su cui il pirata fa affidamento.

Anzitutto occorre mantenere la calma e non farsi prendere dal panico. Poi occorre esaminare per bene la mail: spesso vi sono errori che provano come questa sia un falso.

Ad esempio, l’italiano è corretto? Frequentemente vi sono attacchi da parte di stranieri che non curano la lingua e/o si affidano alle traduzioni automatiche di alcuni traduttori online. Questo è già un primo indizio della falsità della mail.

Altro possibile indizio: il logo dell’ente. Molte volte non è riprodotto fedelmente, vi sono delle diversità nel colore, nella forma o anche nella posizione rispetto a dove viene comunemente collocato dall’ente di credito vero e proprio.

Ancora: l’ente stesso. Più di quanto non si pensi, gli utente che non hanno un conto con una data banca ricevono una mail apparentemente a nome di questa e cliccano sul link. Se non si è clienti di un istituto di credito, perché se ne dovrebbero ricevere comunicazioni?

Se tutti questi controlli sono “superati”, perché il pirata ha fatto un lavoro molto curato e preciso, ricordiamo sempre che un istituto di credito serio non chiede ai suoi utenti di cliccare su link inviati via mail con la precisa istruzione di inserire le proprie credenziali. La maggior parte delle volte invitano a visitare il proprio sito inserendo il link manualmente nel browser web e, solo se necessario, una volta giunti sul sito autentico, allora si possono inserire le credenziali. C’è da aggiungere che tutti gli istituti di credito installano sui propri siti dei certificati di sicurezza che ne attestano l’autenticità: per visualizzarli, è sufficiente cliccare sul lucchetto in alto a sinistra all’inizio della barra degli indirizzi.

Se nonostante questo dovessero ancora persistere dei dubbi, si potrebbe sempre chiamare il call center della propria banca e chiedere delucidazioni riguardo alle mail ricevute, per accertarne l’autenticità o smentirla.

• Social Engineering: diffidare da chi invita ad introdurre nei nostri sistemi lavorativi determinati strumenti non meglio specificati.

Un normale processo di selezione del software e dei modi di veicolarlo avvengono attraverso procedimenti ben precisi e strutturati: in maniera molto semplificata possiamo dire che in primis sono i commerciali a valutare l’acquisto di una risorsa o meno. Successivamente gli strumenti vengono testati da team appositamente predisposti, in ambienti sicuri ed isolati rispetto a quelli di produzione, per verificarne genuinità e funzionamento.

Solo dopo queste fasi parte il processo di installazione sui PC dei dipendenti, tra l’altro opportunamente annunciato con i vari strumenti a disposizione della ditta. Se qualcuno viene da noi per convincerci ad installare una qualsiasi risorsa sul PC e noi non abbiamo alcun ruolo nella decisione degli strumenti da impiegare, allora è bene non fidarsi.

• Malware: una minaccia spesso veicolata come un file eseguibile che chiede di installare un software sul nostro PC. Le accortezze sono le seguenti: se non siamo sicuri dell’origine del file, non facciamo partire l’installazione; se, peggio ancora, non sappiamo cosa stiamo installando, non installiamo! I vari eseguibili hanno inoltre vari meccanismi di verifica, che svolgono funzioni simili ai certificati per i siti web, come l’MDA5.

Conclusioni

Possiamo quindi affermare che il tempo speso per formarci e imparare quali siano le minacce che cercano di sfruttare le nostre scarse conoscenze in ambito i sicurezza informatica è sicuramente un investimento importate da effettuare, che ci aiuta a proteggerci ulteriormente dai rischi presenti sulla rete.

Fonte dell'articolo: https://bit.ly/2kLXEcm

---

by Marco Poeta

Smishing e Vishing: che cosa sono e come evitarli

Smishing e vishing sono tipi di attacchi di phishing the cercano di adescare le proprie vittime tramite sms e chiamate vocali. Entrambi si affidano allo stesso richiamo emozionale utilizzato nelle tradizionali truffe di phishing e sono progettati per indurti ad agire con urgenza. L’unica differenza sta nel canale tramite cui vengono portati avanti.

Che cos’è lo smishing?

Definizione di smishing: lo smishing (SMS phishing) è un tipo di attacco di phishing condotto utilizzando SMS. Proprio come le truffe via email di phishing, i messaggi di smishing includono tipicamente una minaccia o una lusinga tendenti a far cliccare su un link o chiamare un numero e fornire informazioni confidenziali. A volte potrebbero suggerire di installare un qualche software di sicurezza che si rivelerebbe poi malware.

Un esempio di smishing:  un messaggio di smishing tipico potrebbe dire qualcosa del genere “Il tuo conto della banca ABC è stato sospeso. Per sbloccarlo, clicca qui: https://bit.ly/2LsaPLdaU” e il link fornito scaricherà  malware nel tuo cellulare. I truffatori sono anche abili ad adeguarsi al medium che stanno usando. Così, potresti ricevere un messaggio di testo che dice: “E’ veramente una tua foto? https://bit.ly/2LsaePLdaU” e se clicchi sul link per scoprire se è vero, ecco che di nuovo ti trovi a scaricare malware.

Che cos’è il vishing?

Definizione di vishing: il vishing (voice phishing) è un tipo di attacco di phishing che è condotto usando il telefono e spesso diretto ad utenti di servizi VoIP come Skype.

E’ facile per i truffatori simulare un caller ID così da sembrare che stiano chiamando da un area locale o perfino da un’organizzazione che conosci. Se non rispondi, ti lasciano un messaggio in segreteria chiedendo di richiamarli. A volte questo tipo di truffe può persino utilizzare un call center che è inconsapevole del crimine che viene perpetrato.

Ancora una volta, lo scopo è di ottenere dettagli di carte di credito, date di compleanno, credenziali di accesso e talora semplicemente raccogliere i numeri di telefono della tua rubrica. Se rispondi o richiami, ci può essere un messaggio automatico che ti sollecita a fornire questi dati e molta gente non mette in discussione una tal cosa perché accettano i sistemi di telefonia automatici come parte delle loro vite.

Come evitare smishing e vishing

Stiamo un po’ più in guardia quando si tratta di email attualmente perché siamo abituati a ricevere spam e le truffe sono molto comuni, ma i messaggi di testo e le chiamate vocali vengono ancora percepite come legittime da molta gente. Dal momento che facciamo acquisti, accediamo alla banca e facciamo altre cose con i nostri telefoni, le opportunità proliferano per i truffatori. Per evitare di diventare una vittima, bisogna fermarsi e pensare.

“Il senso comune è una buona pratica generale e dovrebbe essere una prima linea difensiva contro le frodi online o telefoniche”

Sebbene i consigli su come evitare di venire presi all’amo dalle truffe di phishing siano stati scritti considerando le truffe via email, si applicano anche a queste nuove forme di phishing. Alla base, fidarsi di nessuno è un buon punto di partenza. Non dare alcuna informazione ad un interlocutore a meno che tu non sia sicuro che sia legittimo – puoi sempre richiamarlo.

Prevenire è meglio che curare, pertanto è sempre meglio eccedere in cautela. Nessuna organizzazione ti rimprovererà per aver chiuso il telefono ed averli poi chiamati direttamente (avendo controllato da te il numero di telefono) per assicurarti che sono effettivamente chi dicono di essere.

FONTE: https://www.digitree.it/smishing-e-vishing-come-evitarli/

---

by Marco Poeta