Categoria: Cyber security

Siamo (quasi) tutti abituati a condividere molto con gli altri. Naturalmente parliamo di condivisione di informazioni su social e affini. Gran parte del merito di questo va alla facilità di condivisione che ci viene offerta dagli strumenti “informatici”: con qualsiasi smartphone è un attimo fare una foto e pubblicarla su uno dei social a cui siamo affezionati.

Ciò a cui facciamo meno attenzione è quali possono essere le conseguenze delle nostre condivisioni: capita sempre più spesso che ci siano casi di post rimossi perché hanno scatenato grandi reazioni critiche. Ed in questo caso è la fretta di condividere ad esserne la causa.

Capita anche a personalità importanti, come riportato da La Stampa del 20 novembre scorso. Durante una riunione online dei ministri della difesa dell’UE (ministri della difesa, non la proloco del paese), tra i partecipanti è comparso un giornalista olandese (Daniel Verlaan di RTL): redarguito pesantemente (si tratterebbe di un reato penale), si è scollegato subito, ma l’incursione era avvenuta con successo.

Daniel ha poi spiegato che il ministro della difesa olandese Ank Bijleveld, aveva pubblicato una foto del suo computer durante il vertice, da cui si potevano leggere il link della riunione e 5 caratteri su 6 del codice di accesso alla riunione. Dopo alcuni tentativi il giornalista è riuscito ad accedere e salutare tutti i ministri della difesa dell’Unione Europea.

Quindi, condividiamo ciò che ci fa piacere, ma prima di pubblicare buttiamoci un’occhio per evitare di mettere “in piazza” ciò che potrebbe essere segreto o anche solo imbarazzante.

E tutti vissero felici e contenti.

Non si sentono più molte notizie al telegiornale, ma gli attacchi informatici non si fermano mai. Nel 2018, ci sono stati 1552 (*) attacchi informatici gravi, il 37,7% in più rispetto al 2017 e del 77,8% in più rispetto al 2014 !

Gli hacker non sono più quegli eroi romantici che combattono i crimini ed i soprusi delle multinazionali (gli attacchi informatici di “attivisti” sono diminuiti del 22,8% (**)), ma sono cyber criminali che mirano solo a fare soldi (in aumento del 43,8%).

Oppure tecnici specializzati nel rubare informazioni o sabotare governi o aziende (spionaggio e sabotaggio governativo o industriale) che hanno aumentato la loro attività del 57,4%.

Il 38% degli attacchi del 2018 è stato eseguito sfruttando i malware, software malevoli di varia natura. Questo significa che più di un terzo degli incidenti poteva essere evitato con l’uso di strumenti antimalware ed una corretta formazione degli utilizzatori, siano essi pubblici, privati o aziendali.

L’elemento più importante nel processo della cyber-sicurezza è … l’uomo! Una corretta formazione degli utenti ed una aumentata consapevolezza dei cyber-rischi possono contribuire in modo determinante a ridurre la gravità dell’impatto degli attacchi.

Il fattore umano è ancora la vulnerabilità maggiore, per questo è importante aumentare la diffusione di informazioni utili a comprendere quali sono i rischi e come migliorare la cyber-sicurezza. Questo è l’obiettivo del SecuritySummit, organizzato a Verona da Clusit (***) il prossimo 3 ottobre.

Imparare a conoscere i rischi e le minacce, contribuisce a ridurre gli incidenti di cyber-sicurezza: informiamoci e formiamoci.

(*) Attacchi gravi di dominio pubblico italiani ed internazionali, analizzati da Clusit

(**) Tutte le percentuali si riferiscono a dati del 2018 sul 2017

(***) Clusit: Associazione Italiana per la Sicurezza Informatica, attiva dal 2000

Nella prima parte dedicata ai Cryptovirus, abbiamo descritto di cosa si tratta, come agiscono e quali danni possono causare i ransomware.

Nel corso del 2016, i ransomware hanno causato perdite economiche notevoli non solo ai privati o alle aziende, ma anche ad enti e strutture pubbliche: sono stati colpiti infrastrutture di trasporti, istituti universitari, strutture ospedaliere. Immaginate cosa può significare per un ospedale non poter più accedere a tutte le informazioni sanitarie, le analisi, i referti memorizzati nel sistema informatico! A febbraio 2016, l’Hollywood Presbyterian Medical Center di Los Angeles ha dovuto gestire tutta la propria attività su carta per quasi una settimana, prima di vedere sbloccato il proprio sistema informatico, dopo il pagamento di 17.000 dollari agli hackers.

Ecco quindi, alcune linee guida da seguire al fine di ridurre il rischio di attacco da ransomware e da minacce in generale: usiamo il termine ridurre e non annullare, perché il rischio di essere colpiti da un malware non potrà mai essere a zero. Tuttavia, possiamo rendere la vita un po’ più difficile a coloro che vorrebbero colpirci con questi attacchi.

• usare strumenti informatici che proteggano il nostro sistema: firewall che blocchi accessi da web, software antivirus efficace e sempre aggiornato (qui bisognerebbe aprire una parentesi sugli antivirus gratuiti che non sempre sono la soluzione migliore per i privati, quasi mai per le aziende)
• disattivare le funzionalità di accesso dall’esterno che non sono necessarie: configurazione da eseguire sul firewall
• configurare correttamente il software antivirus perchè esegua una scansione dei messaggi email in arrivo e si integri al browser internet per verificare l’attendibilità dei siti web acceduti
• utilizzo del controllo genitori per i dispositivi utilizzati dai minori
• mantenere il software presente nei dispositivi (server, PC, Smartphone, tablet, etc) sempre aggiornati: gli hacker sfruttano falle nella sicurezza dei software, per poter attaccare i sistemi informatici; aggiornare costantemente i propri sistemi, significa chiudere queste falle per tempo
• utilizzare password di accesso complesse e non banali (almeno 10 caratteri, tra cui numeri e simboli)
• utilizzare password diverse per accessi a siti web diversi
• in caso di accessi ai propri sistemi da remoto, disattivare gli utenti e le porte standard ed utilizzare utenti e porte specifici
• bloccare l’accesso ai dispositivi in caso di 5 tentativi di accesso falliti
• monitorare i sistemi in modo da individuare eventuali situazioni anomale

Pur adottando tutte le precauzioni possibili, si può comunque essere colpiti da attacchi che distruggono i nostri sistemi informatici: per questo motivo è fondamentale adottare una buona politica di backup dei propri dati:

• la frequenza di esecuzione dei backup deve essere la più elevata possibile, almeno giornaliera
• i supporti sui quali si effettua il backup, non devono rimanere nello stesso luogo fisico dove si trovano i dati di cui si sono eseguite le copie: se dovesse verificarsi un evento distruttivo (ransomware, incendio, allagamento, scarica elettrica, esplosione, furto, etc) avremmo perso sia i dati normalmente utilizzati, che le copie di backup
• monitorare il risultato dei backup con report che ne attestino la corretta esecuzione
• verificare periodicamente (almeno una volta al mese) che i dati presenti sui supporti di backup siano realmente utilizzabili per un ripristino

Alla fine di questo lungo elenco di “best practices” , rimane un’ultima cosa da dire: l’elemento più importante che fa la differenza è … l’utente che utilizza i sistemi informatici. E’ fondamentale che l’utilizzatore sia a conoscenza dei rischi che si possono correre non adottando comportamenti corretti:

• evitare di aprire qualsiasi email ci arrivi, compresi gli allegati
• controllare se stiamo attendendo un messaggio da quell’indirizzo (magari non apro un email di Telecom che dice di inviarmi la fattura, se io ho il contratto con  Fastweb)
• quando navighiamo su internet, cerchiamo di evitare link e siti web che ci invitano a scaricare gratuitamente ciò che normalmente si dovrebbe pagare: nessuno ci regala niente su internet
• quando si installa un nuovo programma sul nostro PC, leggiamo attentamente ciò che viene riportato in tutte le fasi di installazione: spesso vengono installati software “secondari” indesiderati
• non divulgare le credenziali di accesso dei PC

Consideriamo il nostro PC come qualsiasi altro strumento di lavoro: dobbiamo sapere come si usa ed evitare di usarlo nel modo sbagliato, perché altrimenti potremmo farci male. Facciamo finta che sia una motosega: se non ho imparato ad usarla, corro il rischio di tagliarmi le dita!

Dall’exploit del 2013, quando venne alla ribalta Cryptolocker, i cosiddetti “ransomware” hanno avuto una diffusione sempre maggiore, divenendo il rischio maggiore per la sicurezza informatica delle aziende. A giugno 2016, da un’analisi di Computer Crime and Intellectual Property Section (CCIPS), risultano 4000 attacchi di ransomware al giorno, con un incremento del 300%  rispetto ai 1000 attacchi al giorno del 2015.

Ma di cosa si tratta? E’ un software che viene installato sul dispositivo che viene attaccato, che procede poi a crittografare tutti i file di tipo applicativo e  office. L’operazione di crittografia non avviene solo sui file del dispositivo infettato, ma anche su tutte le risorse di rete a cui il dispositivo ha accesso: in questo modo vengono interessati anche i file che si trovano su altri dispositivi, server, storage presenti nella LAN. Completata la crittografia, l’utente viene avvertito che se vuole poter utilizzare nuovamente i propri file, deve procedere al pagamento di un importo, di norma definito in bitcoin: una valuta virtuale, utilizzabile solo in rete, che permette di non essere facilmente tracciati.

I file crittografati non possono essere utilizzati, in quanto il loro contenuto è stato modificato completamente: l’unico modo per poterli riavere funzionanti è di ricevere un programma specifico, che contiene la “chiave privata” con la quale poter decrittografare i file.

Alcune chiavi crittografiche sono state individuate, ma sono relative ad infezioni ransomware “datate”, non recenti.

Se si viene attaccati da virus recenti e si sceglie di non pagare il riscatto, i file crittografati vanno considerati definitivamente persi: l’unica salvezza è nelle copie di backup.

L’infezione può arrivare da link presenti su siti non “ufficiali”, da software scaricati da internet, da allegati o link contenuti nelle email, tramite supporti di memoria come usb key. Una delle ultime modalità sfruttate dagli hacker è l’utilizzo di accessi remoti a dispositivi della rete aziendale.

Come difendersi? E’ necessario ridurre al minimo il rischio di essere infettati e, nello stesso tempo, essere preparati in caso di infezione: ciò che vedremo nel prossimo post sui cryptovirus.

Stay tuned.