Oh-oh Cyber News: infettare un amico, riavviare i Boeing, errori di non autenticazione e molto altro.

Ciao gente!

Ecco una nuova puntata della mia colonna Cyber News (quella in cui vi aggiorno di tutte le cose spaventose nel mondo digitale).

Da quando ho scritto l’ultimo post della colonna, si sono accumulate tante cose a cui è importante fare attenzione. Sì, gli “oh-oh” sono passati dall’essere un piccolo ruscello di montagna ad essere le cascate del Niagara. E stanno aumentando in maniera esponenziale…

Come veterano della protezione informatica, posso dirvi che in passato si parlò per quasi un anno dei cataclismi a livello mondiale. Adesso invece i messaggi sono come un salmone nella stagione della deposizione delle uova: sono troppi! Quindi molti non vale la pena menzionarli dal momento che diventano notizie vecchie ancor prima che si possa dire “over-DDoSe digitale”. “Ho sentito dire che l’altro giorno hanno hackerato la Mega-Corporation X e che hanno rubato tutto: anche il criceto del capo è stato portato via da un drone!”…

Ad ogni modo, dal momendo che i flusso di cyberscandali cresce velocemente, cresce anche il numero di scandali simili di cui vi parlerò a breve. In passato erano tre o quattro per post. Oggi sono sette!

Popcorn/caffè/birra a portata di mano? Partiamo…

1) Infetta un amico e sblocca i tuoi file gratuitamente

I cibercriminali svolgono da tanto tempo attività illegali e lo fanno come lavoro. Abbiamo sentito parlare recentemente di un nuovo modo con cui si avvicinano alla legalità (hanno avuto una conferenza con i partner in cui si sono riuniti tutti per discutere della cooperazione e della strategia da adottare). Scommetto che anche loro leggono libri sul marketing e sul management. È tutto logico: come si mette in piedi una società? Pensate ai prodotti, ai servizi, ai miglioramenti, alla struttura organizzativa, ai canali e a tutto il resto.

Quindi immagino sia logico assistere a questa novità. Qualcuno ha inventato un nuovo strumento di espansione nel mercato per i ransomware: “Infetta due persone che conosci con il malware con cui ti abbiamo infettato e ti daremo la chiave per aprire gratuitamente i tuoi file”! Sono davvero tanto gentili.

Ogni vittima di questo ransomware starà pensando: “Ho cliccato o ho aperto qualcosa che non avrei dovuto? Sono io a non essere abbastanza protetto? O posso dare la colpa a qualche brutto ceffo?

Per fortuna, questo ransomware non è ancora venuto alla luce (o perlomeno non sono state trovate tracce); per adesso è un progetto di ricerca trovato nelle torbide acque del Dark Web.

2) Caccia agli hacker

Un serio problema per ogni organizzazione: come trovare le persone giuste e motivarle affinché lavorino in maniera efficiente? In linea con le tendenze del business moderno, alcuni creatori di attacchi DDoS provenienti dalla Turchia hanno costruito una piattaforma di gamification per gli attacchi DDoS in cui i partecipanti competono tra di loro per guadagnare punti. I punti possono essere poi convertiti in strumenti per hacker e software di truffa dei click.

La piattaforma è patriottica e suggerisce come vittime dei DDoS i “nemici della Turchia”, dal Partito dei Lavoratori del Kurdistan ad Angela Merkel. I partecipanti vengono arruolati sui forum clandestini sul Dark Web. Crowdsourcing dei DDoS con motivazioni politiche sono già avvenute, ma adesso gli hacker si sono spostati su una piattaforma con un sistema di motivazione dei partecipanti già stabilito. Penso ad un laureato MBA come il responsabile di tutto questo…

3) Il ritorno di Shamoon e le difficoltà nell’attribuzione dei cyberattacchi

Si è detto che gli hacker abbiano attaccato la banca centrale dell’Arabia Saudita, altri enti ufficiali ed organizzazioni con l’aiuto del vecchio e cattivo Shamoon. Apparentemente, l’agenzia d’aviazione civile saudita ha subito una battuta d’arresto per diversi giorni, anche se gli aeroporti erano rimasti aperti.

Fatemi ricordare come questo malware abbia già causato problemi in Arabia Saudita. Nel 2012 con il suo aiuto, alcuni brutti ceffi informatici hanno eliminato tutti i dati e tutti i backup di Saudi Aramco (la più grande società petrolifera del mondo). Ovviamente potete immaginarvi quanto grande possa esser stato il danno. Ed eccolo di nuovo, quattro anni dopo nello stesso paese. Si punta il dito ancora una volta sull’Iran come possibile organizzatore dell’attacco.

Ma il punto è che si potrebbe puntare il dito su chiunque; non hanno prove. E questa è una cosa tipica di molti se non tutti i cyberattacchi, abbiano essi un livello avanzato o basico: raramente si può sapere al 100% chi c’è dietro agli attacchi. In questo caso, non ci sono prove, solo congetture. Beh, ci potrebbero essere prove, ma sicuramente non è stato reso pubblico per qualche motivo.

Lo stesso è accaduto con il cyberattacco contro la Sony Pictures: non tutti credono alla versione “ufficiale” della colpevolezza della Corea del Nord, e ci sono un paio di versioni alternative. È la stessa cosa oggi: non tutti credono al fatto che ci sia l’Iran dietro all’ultima missione di Shamoon. Un articolo mediorientale, ad esempio, ha avanzato l’idea che dietro potesse esserci Israele, per rovinare i rapporti tra Iran e Arabia Saudita. Tutto questo era negli interessi di Israele, non in quelli dell’Iran. Un romanzo di spionaggio, anche se probabilmente non scopriremo mai il vero responsabile.

Attribuzione. Una parola bella ma necessaria nel settore della cybersicurezza. È estremamente difficile attribuire in maniera accurata un cyberattacco, ad esempio, determinare chi ci sia davvero dietro. Le prove lasciate dopo un attacco sono scarse, ma relativamente facili da falsificare. Vuol dire che si possono fare solo ipotesi sull’attribuzione. Non c’è nulla di concreto. E questo è proprio il motivo per cui non puntiamo mai il dito sul possibile colpevole. Questo atteggiamento non piace ai giornalisti che ovviamente cercano lo scoop, ma questo è normale. Lo faremmo solo se fossimo sicuri al 100%, cioè mai.

La successiva notizia riguarda i problemi informatici relativi all’hardware…

4) Non dimenticatevi di riavviare…il vostro Boeing!

Cosa succede se non riavviate il vostro computer per settimane? La tipica risposta: inizierà a rallentarsi. Ma cosa succede se non riavviate un Boeing 787 Dreamliner? Sembra non lo si sia potuto controllare per un breve periodo di tempo! Questo è il motivo per cui adesso la Federal Aviation Administration degli Stati Uniti esige che tutti i Dreamliners vengano riavviati ogni tre settimane. Se così non fosse, “tutti i tre moduli di controllo del volo sul 787 verrebbero resettati contemporaneamente se fossero sempre attivi per 22 giorni…e i piloti potrebbero perdere il controllo di un Dreamliner”.

Source

Bene, ho volato su uno di questi grandi volatili e sono atterrato senza problemi, quindi immagino che fossero stati riavviati in tempo.

È interessante vedere come la magia del computer stia sostituendo i meccanismi tradizionali. In passato le prime cose da fare per sistemare una macchina rotta erano meccaniche (controllare i livelli dei liquidi e integrarli se necessario, stringere questa o quella parte della macchina che si sono allentate). In questi giorni si spegne e poi si riaccende di nuovo per riavviarlo e aggiustare le cose (inclusi gli aerei di linea)! È la nuova realtà cyber-fisica (dove la protezione fisica di tanta gente dipenda dalla stabilità dei computer. Benvenuti nel nuovo mondo, gente!

5) Altoforno tedesco vittima di un cyberattacco

È triste che notizie del genere stiano iniziando ad essere prese sempre meno in considerazione, dal momento che avviene così spesso: gli hacker del gruppo Winnti hanno hackerato il colosso tedesco ThyssenKrupp per rubare informazioni private della sua divisione d’ingegneria. Quindi questa è un’altra grande azienda ad essere inclusa nella lunga lista degli “hackerati”. “Non è la prima e non sarà sicuramente l’ultima, quindi non è un gran problema” diranno i lettori.

È un gran problema. Bisognerebbe allarmarsi nel momento in cui iniziano a rubare informazioni private di grandi aziende, dal momento che è possibile che ci si stia preparando a cyberattacchi simili ancora più pericolosi.

Inoltre, in questo caso si vociferava che questo attacco informatico fosse quello che era stato segnalato in maniera anonima in cui nel 2015 un grande altoforno era stato hackerato e danneggiato. ThyssenKrupp nega tutto questo. Non so bene se i dettagli della storia fossero stati resi pubblici. Ma si può dire che è stato un grave cyberattacco (infatti è stato il secondo a causare danni fisici). E non dovrebbero preoccuparsi solo gli impiegati dell’altoforno…

6) Contatori non così intelligenti

Ancora una volta, questo attacco riguarda l’hardware e le sue vulnerabilità. Un produttore di pannelli solari ha aggiornato i suoi contatori. Senza questo aggiornamento, i cybercriminai potevano prendere il controllo del sistema e manipolarlo, ad esempio comunicando dati sbagliati sull’energia fornita alla rete generale. In più potevano utilizzare i pannelli solari affinché una botnet prendesse parte agli attacchi DDoS. L’articolo dal titolo “telecamere di sicurezza DDoS per i pannelli solari, rispondono al fuoco dai router di casa” sta diventando una realtà sempre più vicina giorno dopo giorno…

Source

E qual era la vulnerabilità? La password d’amministratore predefinita su tutti i dispositivi è la stessa e potete scoprirlo guardando il video di istruzioni su YouTube per i pannelli solari. Davvero una cosa molto intelligente.

Non dimenticatevi di riavviare il vostro contatore dopo aver avviato l’aggiornamento!

7) Ancora Internet delle cose dannose: ma questa è davvero stupida

La tristemente nota storia della botnet Mirai continua, dopo essersi guadagnata la nomea di attacco DDoS più potente della storia. La caratteristica di Mirai è che in genere non infetta i computer, i server, i tablet e cose dimili. Non è interessata a quella parte del mondo informatico. È come una buona startup: orientata ad una nuova realtà; in questo caso, l’Internet delle cose.

L’ultimo scandalo di Mirai ha lasciato senza Internet quasi un milione di clienti della Deutsche Telekon, dopo che erano stati “murati” i loro router. Successivamente, ha fatto lo stesso con quasi 100.000 utenti nel Regno Unito. Il worm utilizza la porta Wan connessa a Internet, attraverso la quale é possibile controllare il dispositivo in maniera remota SENZA AVER BISOGNO DI LOG IN O DI PASSWORD! Quando modelli sono stati attaccati nel mondo? Hmmmm, le cifre. Vi fa venir voglia di darvi un pizzicotto per controllare che non stiate sognando. COME può essere possibile? NESSUNA AUTENTICAZIONE? Non serve nemmeno la cara password “12345678”!!!

Un’assenza di sicurezza del genere vi fa pensare: quanto bisogna impegnarsi per sistemare queste vulnerabilità? Ci pensate un po’ di più…ma poi c’è la vulnerabilità meno ovvia, quella nascosta, furtiva che è ugualmente se non più seria delle altre. Quanto bisognerà impegnarsi per sistemare quelle vulnerabilità? Risposta breve: tanto. Quindi se siete in quel periodo della vita in cui state pensando a che lavoro fare, puntate sulla cybersicurezza: il lavoro non vi mancherà. 😉

Questo è tutto, gente. Questo era l’ultimo oh-oh dell’anno. Spero vi siano piaciuti o che vi abbiano scosso un po’. Non che mi piaccia far preoccupare le persone con notizie del genere, ma vedete…qualcuno dovrà pur farlo.

Rimanete connessi: ci saranno altri oh-oh con il nuovo anno, potete contarci…

LEGGI I COMMENTI 0
Scrivi un commento