Tag Archives: cybersecurity

Cellebrite vs Signal: la surreale lotta tra David&Golia tech

0

Il giornalista Raffaele Angius, che segue con passione i meandri della cybersecurity, ci racconta in questa intervista come una delle massime aziende di analisi forensi, l’israeliana Cellebrite, sia stata ‘presa in giro’ dalla piccola ma reattiva Signal, app rivale di WhatsApp e Telegram

Se vi piacciono le spy story con hacker incappucciati, codici bucati e valigette smarrite, questa è davvero avvincente. Protagonisti, da una parte, Cellebrite,  notissima azienda di analisi forensi in grado di scardinare ogni tipo di software o quasi, che fornisce servizi a intelligence e polizie di mezzo mondo. Dall’altra, la piattaforma chat Signal, piccola e relativamente poco conosciuta rivale di Whatsapp e Telegram, molto fiera creatura di un esperto di sicurezza informatica..

La ‘disfifa ha inizio qualche mese fa, quando Cellebrite affermava di aver trovato ‘falle’ nella sicurezza di Signal, che è un’app open source per lo scambio di messaggi. Una notizia che ha fatto il giro del mondo, e che nasce da un ‘cortocircuito della comunicazione’, racconta Angius, innescato da una notizia della Bbc
>>>>>>>>(Raffaele Angius – giornalista Wired)<<<<<<<<<

Punta nel vivo, Signal ha negato di essere stata bucata, mentre Cellebrite ha fatto parziale marcia indietro.

Pochi mesi dopo, siamo a metà aprile di quest’anno,, scatta la vendetta. Con una sfida quasi surreale partita dal ‘ritrovamento’ di uno zaino misterioso contenente strumenti tecnologici dell’azienda israeliana.

Moxie Marlinspike, il fondatore di Signal, ha affermato che, grazie a quel materiale, sarebbe possibile far eseguire dei codici sugli scanner di Cellebrite semplicemente includendo un file in qualsiasi applicazione per cellulare collegata all’apparecchiatura dell’azienda. Le conseguenze potrebbero essere assai compromettenti per le analisi forensi.

Schermaglie a fini pubblicitari, hacker contro hacker o Davide contro Golia, una cosa è certa, ancora questa volta è Signal a capitalizzare e a guadagnare utenti, proprio come era successo mesi fa quando Whatsapp aveva annunciato modifiche nelle norme d’uso. La migrazione di nuovi adepti all’open source gratuito continua.

Celia Guimaraes @viperaviola

Per il presidente Joe Biden è il momento di pedalare. Senza internet, però

0

Insediamento e festeggiamenti finiti, per il presidente americano Joe Biden è ora di rimboccarsi le maniche e trasferirsi, armi e bagagli, al 1600 di Pennsylvannia Avenue. Ma tra le sue cose personali c’è un oggetto che non potrà varcare la soglia della Casa Bianca: la cyclette connessa a internet.

 

Come oltre tre milioni di suoi concittadini, infatti, anche Biden si allena con una bicicletta statica connessa al web,  dotata di telecamera e microfono, che gli consente di interagire e gareggiare con altri riders da salotto. Una soluzione comoda e divertente, che però per gli esperti di cybersecurity, mette in gioco persino la sicurezza nazionale.

Come spiega Pierluigi Paganini, esperto di cybersecurity del board Enisa, l’Agenzia dell’Unione europea per la sicurezza informatica, è rischioso aver qualsiasi cosa non ‘customizzata’ connessa a internet se sei il presidente degli Stati Uniti d’America: “Un attaccante, ad esempio, può agire in modo ‘collaterale‘, attraverso la cyclette entrare nella rete in uso e da lì accedere persino ad un computer”.

Il presidente Biden è stato quindi avvertito dai suoi Men in Black: senza modifiche, niente cyclette. Il modello in questione, molto popolare,  ha un software proprietario basato su sistema operativo Android, può accedere alla rete domestica via cavo o wifi. E’ lo stesso di un’altra utente celebre, la ex first lady Michelle Obama, che però venne modificato tre anni fa, nonostante non fosse più alla Casa Bianca: via microfono, via telecamera e zero rete. Poco interattivo, ma molto più sicuro, per indiretta ammissione della stessa casa produttrice.

I rischi di avere tutto sempre connesso

La cybersecurity è, oggi più che mai, una priorità e la stessa amministrazione Biden ha già provveduto alla nomina di sette esperti di altissimo livello per occuparsi della questione a tutto tondo, dai satelliti agli attacchi hacker.

Nel mondo di IoT, internet delle cose, gli oggetti dialogano con noi ma anche tra di loro. Tv, frigorifero, robot da cucina, gadget, lampadine, assistenti vocali e ovviamente smartphone. Un chiacchiericcio continuo, in lingua digitale, che genera una massa enorme di dati.

E sempre secondo Paganini, anche se non siamo celebrità o presidenti, dobbiamo stare particolarmente attenti: “L’impronta digitale generata da questi devices connessi genera dati sensibili importanti che riguardano la nostra salute, la nostra privacy, il nostro conto in banca”.

Secondo la società di ricerche Gartner, l’anno scorso, a causa della pandemia, abbiamo speso quasi 70 miliardi di dollari in dispositivi indossabili, soprattutto smartwatch e braccialetti fitness, spesso per per tenere sotto controllo i parametri della salute. Un mercato in crescita veloce (sempre secondo Gartner, arriverà a 85 miliardi di dollari nel 2021 e 93 nel 2022). Il che apre non pochi interrogativi sulla gestione dei dati personali.

 

Celia Guimaraes @viperaviola

Riuscirà la Cybersecurity a diventare un Festival di Sanremo?

0

Proteggere la sicurezza informatica è diventata una lotta senza quartiere e spesso una corsa contro il tempo. Tutti siamo vulnerabili, ancor di più a causa dell’uso spesso distratto della rete e degli smartphone. Tra Safer Internet Day, iniziativa pensata per i più piccoli, e Itasec 18, conferenza per esperti informatici, emerge un dato comune: bisogna adottare le ‘best practice’ quando si usa internet, far conoscere e rispettare le regole del gioco. La cybersecurity, insomma, deve diventare argomento popolare e trasversale come il Festival di Sanremo

Compie 15 anni Safer Internet Day (#SID2018), la Giornata mondiale per la sicurezza in Rete, con 140 Paesi uniti con l’obiettivo di creare un ambiente online migliore e più sicuro. L’iniziativa, sostenuta dalla direzione Digital della Commissione Europea, serve però a ricordare quanto ancora ci sia da fare in termini di sensibilizzazione. Create, connect and share respect: A better internet starts with you è lo slogan del quindicinale, guardando ai più giovani. Da Strasburgo, il Commissario Gabriel annuncia nel corso del 2018 le iniziative di #SaferInternet4EU.

Uno dei progetti italiani nell’ambito di SID18 è Digito Ergo Sumus, finanziato dal Ministero delle politiche sociali, nato in Liguria con i volontari dell’Anpas per portare nelle scuole alcune buone pratiche contro l’abuso di social, contro cyberbullismo, sexting e magari un uso più consapevole quando c’è un’emergenza come un terremoto o un’alluvione.

Itasec18, la ‘Sanremo della cybersecurity’

Sono crescenti e trasversali attacchi cyber, che oltre a suscitare allarme nella popolazione, causano danni ingenti all’economia e mettono a rischio persino le reti di distribuzione di servizi essenziali come la sanità, l’energia, i trasporti, le infrastrutture critiche della società.

Si stima che nel 2016 il cybercrime sia costato all’economia mondiale 450 miliardi di dollari, cifra analoga al Pil di un Paese come l’Austria. E’ quanto emerge dal libro bianco sul tema presentato al Politecnico di Milano: “Il futuro della cybersecurity in Italia: Ambiti progettuali strategici”, curato dai professori Roberto Baldoni, oggi vicedirettore generale del Dis con delega alla cybersecurity, Rocco De Nicola dell’Imt di Lucca e Paolo Prinetto del Politecnico di Torino.

 

 

Erano anche loro tra i partecipanti alla seconda conferenza nazionale sulla sicurezza informatica organizzata dal Laboratorio Nazionale di Cybersecurity del Cini, che ha riunito circa 900 tra ricercatori e professionisti provenienti dal mondo accademico, industriale e governativo per parlare di sicurezza informatica, con importanti speaker istituzionali.Una conferenza per massimi esperti, tanto che uno di loro ha definito l’evento ‘la Sanremo della Cybersecurity”. Che però, in assenza di volti noti al grande pubblico, avrebbe lo stesso bisogno di attenzione e visibilità.

Non ‘se’ ma ‘quando’
Secondo dati della Banca d’Italia, il 45,2 % delle aziende italiane ha subito un attacco informatico tra il 2015 e il 2016. E la percentuale sale al 62,8 %  tra le aziende con più di 500 dipendenti.  L’unica risposta possibile, sottolinea il Cini,  è lo sviluppo di una buona difesa, all’interno di un quadro normativo chiaro.

L’osservatorio del  Politecnico di Milano dal canto suo evidenzia come il 2017 sia stato l’anno nero del cybercrime.  La buona notizia è che crescono la consapevolezza e  la spesa delle imprese, soprattutto quelle grandi, per la sicurezza informatica. Le risorse stanziate per prevenire gli attacchi in Italia toccano 1,09 miliardi di euro, un aumento del 12% rispetto al 2016. Molti si sono missi spinti dall’esigenza di adeguarsi al nuovo regolamento dell’Unione europea sul trattamento dei dati personali, in vigore dal prossimo 25 maggio, che introduce norme stringenti e omogenee in tutta l’Ue, con multe salate e l’obbligo di segnalare le violazioni.

Come evitare un attacco alla sicurezza informatica? Impossibile. Non c’è alcun sistema intrinsecamente inattaccabile, bisogna rendere il lavoro dei cybercriminali talmente costoso da scoraggiarli, sottolinea il giornalista-hacker Arturo Di Corinto:

 

 

Sappiamo cosa fare, confrontiamoci

“Sappiamo cosa fare, ma il confronto arricchisce. Qui oggi è presente una comunità coesa abituata a collaborare” ha detto Roberto Baldoni ai partecipanti a Itasec 18. “Dobbiamo stimolare un dibattito per distinguere che cosa è buono e che cosa è cattivo nel cyberspazio. E dobbiamo perseguire chi commette reati ma anche chi, con i sistemi obsoleti, mette a rischio i dati”.Il vicedirettore del Dis ha voluto così toccare anche il tema degli ‘hacker bianchi’, cioè di coloro che segnalano le vulnerabilità di software e sistemi senza trarne vantaggio.

Picco storico di attacchi, perdite per 100 mila di dollari 

Secondo il report Arbor, gli attacchi DDoS nel 2017 sono stati potenziati: in sintesi ecco quanto è stato rilevato dagli esperti in sicurezza

  • Il 57% delle aziende e il 45% degli operatori di data center intervistati nel report di quest’anno ha subito la saturazione della propria banda Internet a causa degli attacchi DDoS (Distributed Denial-of-Service).
  • Nel 2017, oltre ad essere impiegate per realizzare attacchi di grande volume, le botnet IoT sono state sfruttate anche per colpire applicazioni, servizi e dispositivi di infrastruttura come i firewall.
  • Nel 2017 sono aumentate del 30% le aziende che hanno subito attacchi mirati alle applicazioni. Il 73% degli attacchi era rivolto ai servizi http, Il 69% era rivolto ai servizi dns, Il 68% era rivolto ai servizi https.
  • Crittografia: A fronte della crescente diffusione dei servizi dipendenti dalla crittografia, nel 2017 sono aumentati anche gli attacchi DDoS contro questo tipo di servizi (53%  contro un servizio crittografato a livello del layer applicativo, 42% attacchi mirati contro il protocollo SSL/TLS).
  • Servizi: Nel 2017, alcuni popolari servizi di posta elettronica e VoIP sono stati colpiti con maggiore frequenza, lasciando supporre un aumentato interesse degli aggressori DDoS nei confronti dei servizi più vulnerabili.
  • Nel 2017, con un aumento del 70% rispetto all’anno precedente, il 77% delle aziende ha riferito che gli attacchi DDoS sono stati inclusi nelle valutazioni dei rischi commerciali o informatici.
  • Il numero di organizzazioni che ha dichiarato di aver subito perdite a causa dell’impatto aziendale degli attacchi DDoS è quasi raddoppiato nel 2017. Nel 2017, il 10% delle  aziende ha stimato costi superiori a 100.000 dollari per un grande attacco DDoS, con un aumento di cinque volte rispetto alle cifre osservate in precedenza.

 

Basta anelli deboli

Tutti concordi, come Eset: Nel 2017 il numero di vulnerabilità segnalate ha raggiunto il suo picco storico, spazzando via i record registrati negli anni precedenti: 14.600, rispetto alle 6.447 del 2016. Non solo, ma anche il numero di vulnerabilità identificate come critiche è cresciuto in maniera esponenziale. Secondo Luca Sambucci, Operations Manager di Eset Italia, è del tutto naturale che questo tipo di minaccia aumenti.  Basta pensare al numero di app che un utente medio aveva sullo smartphone nel 2016, a quelle che ha aggiunto nel 2017 e a quelle che ha oggi. Il software aumenta, si diffonde e viene utilizzato per fare sempre più cose mentre i siti web dipendono sempre più da script e da plug-in di terze parti. Ogni singolo programma o app può essere vulnerabile e ogni singolo aggiornamento può portare nuove vulnerabilità.

Lo conferma CybSec: Il rapporto realizzato dai loro esperti, a firma di Pierluigi Paganini, dipinge gli scenari foschi, tra cybercriminali e furti di criptomonete, attacchi ai dispositivi mobili e ai dispositivi collegati via Internet delle Cose. Per Marco Castaldo, Ceo di CybSec, “i software malevoli entreranno con maggiore pervasività nella vita di tutti i giorni dei cittadini, l’allarme è alto”.

Gli attacchi informatici, è opinione comune tra gli addetti ai lavori, spesso dipendono proprio da un anello debole identificabile: il fattore umano. Capita ancora spesso che le persone cadano nel tranello del phishing, cliccando senza pensarci  su un link all’interno di una mail, aprendo la porta ai virus nei computer. Per non parlare di quanti  usano password non sicure come 123456, il nome del gatto o del consorte, altri ancora che lasciano lo smartphone  in mano ai figli per farli giocare e poi accedono dallo stesso dispositivo alla rete aziendale. Un click sbagliato, insomma, può  compromettere la miglior difesa tecnologica non solo personale ma di un’organizzazione, di una infrastruttura, di un governo.

Celia Guimaraes @viperaviola

 

Cybersecurity, l’Ue deve correre ai ripari

0

La cybersecurity si conferma argomento top del 2017, non solo per le questioni legate alla privacy ma anche per i costi economici degli attacchi informatici (anche per oltre un milione di dollari). I consulenti scientifici dell’Ue raccomandano di rendere i sistemi più sicuri con un ‘no’ alle backdoor e la garanzia per gli utenti dell’uso limitato dei loro dati da parte di terzi

Pagine: 1 2