Giocare a nascondino con i malware fileless

Il codice dannoso… si insinua ovunque…

È un po’ come un gas, che riempirà sempre lo spazio in cui si trova, anche se una differenza c’è: il codice dannoso passerà sempre attraverso i “buchi” (le vulnerabilità) di un sistema informatico. Quindi il nostro lavoro (anzi, uno di questi) è trovare tali falle e chiuderle. Il nostro obiettivo è di farlo in modo proattivo, cioè prima che il malware scopra queste falle. E se ci riesce, siamo lì pronti ad acciuffarlo.

Di fatto, è questa protezione proattiva e la capacità di prevedere le azioni dei cybercriminali e di creare una barriera in anticipo che fa la differenza tra una cybersecurity di qualità e altamente tecnologica dal marketing di paccottiglia.

Oggi voglio parlarvi di un altro modo in cui la nostra protezione proattiva protegge da un tipo di malware, particolarmente astuto. Sì, voglio parlarvi del cosiddetto codice dannoso fileless (o bodiless, senza corpo), un tipo pericoloso di malware-fantasma che ha imparato a usare i difetti dell’architettura di Windows per infettare i computer. E voglio parlarvi anche della nostra tecnologia brevettata che combatte questa particolare cyber-malattia. Lo farò proprio come piace a voi: spiegando problemi complessi in modo semplice, senza nascondere nulla ma in modo avvicente, una sorta di cyber-thriller con elementi di suspense.

Prima di tutto, cosa indica il termine fileless?

Ebbene, il codice fileless, una volta entrato in un sistema informatico, non crea copie di sé stesso sotto forma di file su disco e, in questo modo, evita di essere individuato dalle tecniche tradizionali, utilizzando ad esempio un monitor antivirus.

Come può esistere un tale “malware fantasma” all’interno di un sistema? In realtà, risiede nella memoria di processi affidabili! Ah, sì. Proprio così.

Su Windows (in realtà, non solo Windows), è sempre esistita la possibilità di eseguire un codice dinamico che, in particolare, viene utilizzato per il compilatore just-in-time; cioè, il codice del programma viene trasformato in linguaggio macchina non subito, ma quando è necessario e nel modo in cui è necessario. Questo approccio aumenta la velocità di esecuzione per alcune applicazioni. E per supportare questa funzionalità, Windows permette alle applicazioni di inserire il codice nella memoria del processo (o anche in un’altra memoria di un processo affidabile) e di eseguirlo.

Non è una grande idea dal punto di vista della sicurezza, ma cosa si può fare? Da decenni milioni di applicazioni eseguite su Java, .NET, PHP, Python e altri linguaggi e per altre piattaforme funzionano in questo modo.

Come era facile prevedere, i cybercriminali hanno approfittato della possibilità di utilizzare il codice dinamico, inventando vari metodi per utilizarlo per i propri scopi. E uno dei metodi più comodi e quindi più diffusi è la cosiddetta Reflective PE injection. Che cosa? Lasciate che vi spieghi (in realtà, è un argomento piuttosto interessante, quindi abbiate pazienza)…

Lanciare un’applicazione cliccando su un’icona, un’operazione abbastanza semplice e diretta, giusto? Sembra semplice, ma in realtà, dietro ci sono tante operazioni in ballo: viene richiamato un loader di sistema, che prende il rispettivo file dal disco, lo carica in memoria e lo esegue. E questo processo standard è controllato dai monitor antivirus, che controllano al volo la sicurezza dell’applicazione.

Ora, quando c’è un “riflesso”, il codice viene caricato bypassando il loader del sistema (e quindi anche il monitor antivirus). Il codice viene posto direttamente nella memoria di un processo affidabile, creando un “riflesso” del modulo eseguibile originale. Tale riflesso può essere eseguito come un modulo reale caricato con un metodo standard, ma non è registrato nella lista dei moduli e, come detto sopra, non ha un file sul disco.

Inoltre, a differenza di altre tecniche di iniezione del codice (per esempio, tramite shellcode), le reflected injection consentono di creare un codice funzionalmente avanzato in linguaggi di programmazione ad alto livello e framework di sviluppo standard con quasi nessuna limitazione. Quindi quello che si ottiene è: (i) nessun file, (ii) l’occultamento dietro un processo affidabile, (iii) l’invisibilità alle tradizionali tecnologie di protezione e (iv) via libera per causare un po’ di caos.

Quindi, naturalmente, le reflected injection hanno avuto un grande successo tra gli sviluppatori di codici dannosi: all’inizio apparivano in pacchetti di exploit, poi sono entrati in gioco le cyberspie (per esempio, Lazarus e Turla), i cybercriminali avanzati (perché è un modo utile e legittimo di eseguire un codice complesso!) e infine anche i cybercriminali di poco conto.

Ora, dall’altra parte della barricata, trovare una tale infezione fileless non è una passeggiata nel cyber-parco. Quindi non c’è da stupirsi che la maggior parte dei vendor di sicurezza informatica non sia troppo esperta. Alcune riescono a malapena a individuare il problema.

Continua a leggere:Giocare a nascondino con i malware fileless

Exploring Russia: Turismo ÷ Lockdown x Acceleratore = Vincitori sul podio!

A metà primavera di quest’anno, al culmine del periodo “tutti a casa”, era ovvio che le prospettive per il mondo non  sembravano essere per nulla rosee, e che sarebbero rimaste così per molto tempo. L’economia in generale ne risente e ne risentirà parecchio, per usare un eufemismo, mentre il settore del turismo in particolare ne uscirà devastato, con molte aziende che non supereranno la crisi. Così noi di K abbiamo fatto quello che facciamo spesso sempre, ci abbiamo pensato su e abbiamo deciso… di dare una mano ai settori più colpiti.

All’inizio di maggio ho annunciato il lancio dell’acceleratore per startup del turismo chiamato “Kaspersky Exploring Russia”. Da allora abbiamo iniziato a ricevere richieste ma non avrei mai immaginato che ne sarebbero state inviate più di 500, da 47 paesi (quasi un quarto di tutti i paesi del mondo!) dei cinque continenti (tutti tranne l’Antartide!). E leggendo queste richieste mi sono reso conto di quanto potenziale ci sia nel settore del turismo, tante idee, e tante grandi startup e progetti già esistenti. Non c’erano restrizioni geografiche per le candidature: potevano, e così è stato, provenire da qualsiasi parte del pianeta, ma dovevano descrivere idee turistiche che potessero sfruttare il potenziale del turismo russo o essere applicate in Russia. Abbiamo vagliato tutte le candidature per poi stilare una Top- 10 delle migliori idee, dieci idee che sono rientrate nel programma dell’acceleratore.

Durante due settimane questi 10 progetti hanno partecipato a master class e conferenze online. Ogni team ha avuto una serie di incontri personalizzati con i mentori. Le principali figure del settore hanno condiviso con i partecipanti le loro esperienze e il loro know-how per costruire un business di successo. Fra i mentori c’erano: Vikas Bhola, direttore regionale di Booking.com; Gemma Rubio, fondatrice di Define the Fine; Vadim Mamontov, direttore generale di Russia Discovery e altri professionisti del settore. E in quelle due settimane i partecipanti hanno anche perfezionato le loro presentazioni, che hanno poi sottoposto alla giuria, di cui io facevo parte.

La settimana scorsa i finalisti hanno tenuto le proprie presentazioni e hanno risposto alle nostre domande nella giornata finale. E così abbiamo scelto tre vincitori, ai quali sono stati assegnati deipremi dai nostri partner. Lasciate che vi racconti un po’ di ognuno di loro…

Il primo posto è stato asseganto a 360 Stories. Si tratta di un’applicazione mobile di realtà aumentata con una guida dal vivo. Dicono che la loro mission è quella di “modernizzare l’esperienza turistica tradizionale creando tour interattivi dal vivo con guide in tempo reale”. Con 360 Stories gli utente ora possono visitare da casa le proprie città e attrazioni turistiche preferite iscrivendosi a un’esperienza personalizzata accompagnati da una guida locale in tempo reale.

Continua a leggere:Exploring Russia: Turismo ÷ Lockdown x Acceleratore = Vincitori sul podio!

Cyber-racconti dal lato oscuro: vulnerabilità inaspettate, hacking-as-a-service e sistemi operativi spaziali

Il nostro primo mese d’estate in lockdown si è già concluso. E anche se il mondo sembra aprirsi poco a poco ma in modo costante, noi di K abbiamo deciso di non correre rischi, rimanendo praticamente in piena attività ma da casa. Questo non significa che stiamo lavorando in modo meno efficace, bene come sempre, dal momento che i cybercriminali non rimangono con le mani in mano. In realtà, non ci sono stati grandi cambiamenti nel quadro globale delle minacce degli ultimi tempi. Tuttavia, i cybercriminali, come sempre, hanno tirato fuori dal cilindro dei cyber-trucchi che sono abbastanza stupefacenti. Eccone alcuni del mese scorso.

Una vulnerabilità zero-day sul “super sicuro” Linux Tails

Facebook sa sicuramente come spendere. Si è scoperto che ha speso una somma a sei cifre sponsorizzando la creazione di un exploit zero-day di una vulnerabilità nel sistema operativo Tails (= Linux, appositamente messo a punto per una maggiore privacy) per un’indagine dell’FBI, che ha portato alla cattura di un pedofilo. Si sapeva già da tempo che questo paranoico squilibrato usava questo particolare, particolarmente sicuro, sistema operativo. Il primo passo di FB è stato quello di usare la sua forza nella mappatura degli account per collegare tutti quelli utilizzati dall’hacker. Tuttavia, passare l’idea di passsare da una cyber-vittoria a un indirizzo postale fisico non ha funzionato. A quanto pare, hanno ordinato lo sviluppo di un exploit per un’applicazione video-player. Questa scelta del software aveva senso, poiché il maniaco sessuale chiedeva i video delle sue vittime e probabilmente li guardava sullo stesso computer.

È stato riferito che gli sviluppatori di Tails non erano stati informati della vulnerabilità sfruttata, ma poi si è scoperto che era già stata corretta. I dipendenti dell’azienda stanno mantenendo il silenzio su tutto questo, ma quello che è chiaro è che una vulnerabilità non è la migliore pubblicità. Rimane la speranza che l’exploit sia stato un episodio di una singola persona, particolarmente cattiva, e che questo non si ripeta con un utente normale.

Morale della favola: non importa quanto super-mega-sicuro sia un progetto basato su Linux, non c’è garanzia che non ci siano vulnerabilità. Per essere in grado di garantire una cosa del genere, l’intera architettura e i principi di base del lavoro e la struttura dell’intero sistema operativo hanno bisogno di una revisione. Ehm, sì, in realtà, questa è una sfacciata buona occasione per presentarci).

Hacking-as-a-service

Ecco un’altra storia piuttosto siginificativa. Il gruppo di cybercriminali Dark Basin (che si pensava fosse indiano) è stato catturato con le mani nel cyber-sacco. Questo gruppo è stato responsabile di più di un migliaio di attacchi. Tra gli obiettivi ci sono stati funzionari, giornalisti, candidati politici, attivisti, investitori e uomini d’affari di vari paesi. Curiosamente, gli hacker di Delhi hanno usato strumenti davvero semplici e primitivi: innanzitutto hanno semplicemente creato delle e-mail di phishing che sembravano provenire da un collega o un amico, hanno messo insieme falsi aggiornamenti di Google News su argomenti interessanti per l’utente e hanno inviato simili messaggi privati su Twitter. Poi hanno inviato e-mail ed SMS contenenti link accorciati a siti di phishing davvero ben fatti e sono riusciti a rubare credenziali di accesso ed altro. E questo è tutto! Niente malware o exploit complessi! E comunque, sembra che le informazioni iniziali su ciò che interessa a una vittima provengano sempre da chi ordina il cyber-colpo.

Ora, il cyber-crimine mirato è molto diffuso ed è in circolazione da tempo. In questo caso, però, gli hacker l’hanno portato a un livello completamente diverso, esternalizzando migliaia di colpi.

Fonte

Continua a leggere:Cyber-racconti dal lato oscuro: vulnerabilità inaspettate, hacking-as-a-service e sistemi operativi spaziali

Cybersicurezza: i nostri inizi – sesta parte: il rapporto con i media

La settimana scorsa mi sono reso conto di essere stato in isolamento-lockdown-quarantena per un intero quarto d’anno. Tre mesi seduto a casa, con solo un paio di brevi incursioni nell’ufficio deserto, più ogni fine settimana nella nostra dacia con la famiglia altrettanto isolata. Per tutti, una vita quotidiana davvero straordinaria. Per me, niente aerei/aeroporti, niente alberghi, niente riunioni o discorsi: insomma, pochissimi viaggi.

Ma tutto è relativo: in tre mesi abbiamo viaggiato tutti per oltre 230 milioni di chilometri (un quarto di un’orbita terrestre intorno al Sole)! E questo senza tener conto del fatto che il sistema solare stesso viaggia a una velocità pazzesca. Una cosa che non è cambiata molto da quando è iniziato il lockdown sono gli incontri d’affari, si sono semplicemente tutti spostati online. Ah sì, e tutti i nostri affari in generale si stanno svolgendo in questo modo: come al solito ma senza essere colpiti da virus biologici.

Ma basta parlare di lockdown; probabilmente siete stanchi di sentire questa parola. Meglio continuare con i miei racconti dal fronte del cyber-passato: questa volta parlerò di interviste a giornali, riviste, radio, TV, oltre ad altre presenze in pubblico varie (mi è venuta in mente la mia attività di “media relations” mentre raccontavo della mia settimana di interviste al CeBIT di molto tempo fa, Cybersicurezza: i nostri inizi – quarta parte). Ed è venuto fuori che ho un sacco di cose da raccontarvi sulle esperienze interessanti che ho vissuto parlando con i media e parlando in pubblico e tutto il resto, un sacco di aneddoti divertenti e insoliti, oltre naturalmente ad alcune foto (illuminate e ripulite).

Ci saranno vari tipi di media-racconti di diverse dimensioni e sapori: dai discorsi in sale praticamente vuote agli stadi stracolmi! Dalle minuscole e sconosciute pubblicazioni sui media locali a conglomerati di media globali di altissimo livello dai nomi noti! Dalle conferenze professionali presso le principali università e/o con un pubblico appositamente equipaggiato con il meglio della tecnologia alle conferenze informali sulle meraviglie dell’aritmetica su una nave che navigava verso… l’Antartide con Drake Passage! Eugene è la costante, tutto il resto intorno cambia.

Continua a leggere:Cybersicurezza: i nostri inizi – sesta parte: il rapporto con i media

Cybersicurezza: i nostri inizi – Quinta parte: 1996 (l’anno della svolta)

In questo post continueremo a parlare di come la nostra azienda sia passata da umili origini a ciò che siamo oggi. E questa serie sui nostri inizi nel mondo della cybersicurezza la dobbiamo… al lockdown! Se non fosse stato per questa situazione, non avrei mai trovato il tempo per vagare nei miei ricordi come sto facendo ultimamente…

Nel caso ve le foste perse, ecco le puntate precedenti:

Prima parte
Seconda parte
Terza parte
Quarta parte

E arriviamo alla quinta parte: il 1996. Davvero un anno cruciale, che ha fatto da spartiacque…

Innanzitutto, alla KAMI, dove lavoravo ancora, i proprietari decisero di prendere strade diverse. Come risultato, KAMI fu suddivisa in diverse aziende indipendenti. E l’anno seguente, il 1997, anche noi prendemmo una strada diversa.

In secondo luogo, firmammo un contratto OEM (Original Equipment Manufacturer) con la società tedesca G-Data per la fornitura del nostro motore antivirus. Quel contratto durò per ben 12 anni, fino al 2008, quando diventammo leader del mercato tedesco. Andò proprio così. La nostra abilità tecnica originale era inarrestabile! Ma cosa dovevamo fare? In ogni caso, era stata G-Data ad avvicinarsi a noi (all’epoca non eravamo in grado di cercare attivamente partner tecnologici), offrendo la collaborazione a Remizov, boss di KAMI, che culminò con la firma del contratto al CeBIT, come descritto nella parte 4. E fu così che il nostro business delle licenze tecnologiche decollò.

Dopo i tedeschi (nel 1995) arrivarono i finlandesi, F-Secure (nel 1996), allora conosciuti come Data Fellows. Lasciate che vi racconti come iniziò la nostra collaborazione con loro.

Nell’agosto 1995 arrivò sulla scena il primo macro virus in assoluto, che infettava i documenti di Microsoft Word. Si scoprì che scrivere virus macro era un’operazione molto diretta, e che si stavano diffondendo a ritmi allarmanti tra un gran numero di utenti ignari. Questo fenomeno attirò l’attenzione di altri creatori di virus, e molto rapidamente i macro virus diventarono il più grande grattacapo per il settore. Il loro rilevamento era tutt’altro che facile, poiché il formato di un documento Word è il più complesso (chi lo avrebbe mai detto?). Così per diversi mesi le aziende antivirus giocarono a fare gli sciamani con vari metodi, fino a quando, all’inizio del 1996, McAfee (la compagnia) annunciò il metodo di smantellamento “corretto” per il formato dei documenti Word. Quella notizia fu ripresa dal nostro collega Andrey Krukov (che era entrato a far parte del nostro collettivo nel 1995), ed egli saltò fuori con una soluzione tecnica elegantissima ed efficace. Iniziai a far spargere la voce, e ben presto varie aziende iniziarono a contattarci con offerte per l’acquisto della nostra tecnologia. Dopo aver raccolto diverse offerte di questo tipo, organizzammo un incontro con tutti loro, in occasione della successiva Virus Bulletin Conference a Brighton, nel Regno Unito, dove Andrey ed io ci dirigemmo nell’autunno del 1996.

Continua a leggere:Cybersicurezza: i nostri inizi – Quinta parte: 1996 (l’anno della svolta)

Notizie dal mondo informatico (in lockdown): 92 marzo 2020

La maggior parte della gente in tutto il mondo è in lockdown da circa tre mesi! E sempre in questi ultimi tre mesi sono sicuro che vi avranno menzionato un famoso film di qualche tempo fa, ma ecco la nuova versione: Ricomincio da capo non è più un film divertente! Poi c’è la questione tempo metereologico “accidenti se fa bello, accidenti se fa freddo”: se il tempo è umido e invernale, tutti sono depressi (oltre al lockdown); se, invece il tempo diventa bello, secco ed estivo, tutti sono depressi perché non si può uscire!

Eppure, credo che forse sia una consolazione che la maggior parte di noi stia vivendo in casa la stessa esperienza. Può darsi. Ma siamo comunque noi, persone buone e con una vita normale. E i cybercriminali? Come se la stanno cavando rinchiusi in casa? Beh, l’altra settimana vi ho dato alcune statistiche e tendenze in merito. Oggi voglio continuare con un aggiornamento, perché, sì, i cybercriminali si muovono in fretta. // Oh, e comunque – se siete interessati ad altre notizie dal lato oscuro, alias I-news, date un’occhiata a questa tag d’archivio.

Prima di tutto, qualche dato in più, dati aggiornati e rassicuranti.

Marzo, e poi ancora di più, aprile, ha visto grandi balzi nell’attività criminale informatica generale; tuttavia, maggio ha poi visto un brusco calo, fino a ritornare ai livelli pre-coronavirus di gennaio-febbraio:

Continua a leggere:Notizie dal mondo informatico (in lockdown): 92 marzo 2020

Cybersicurezza: i nostri inizi – Terza parte: 1992-199x

Nel caso vi foste persi le prime due, siamo arrivati alla terza puntata sui miei inizi nel mondo dell’informatica. Dato che sono in lockdown come la maggior parte delle persone, ho più tempo a disposizione per poter fare una piacevole passeggiata nel viale dei ricordi della cyberseKurity. Normalmente adesso sarei su un aereo destinazione chissà dove, un po’ per affari e un po’ per turismo, di solito i viaggi occupano la maggior parte del mio tempo. Ma dato che niente di tutto ciò almeno offline/di persona è possibile al momento, sto usando una parte di quel tempo libero per poggiare le dita sulla tastiera e per buttare giù un flusso continuo di ricordi nostalgici dalla sfera personale / dal mondo Kaspersky Lab /o semplicemente aneddoti cyber-storici: in questo post, coprirò il periodo che vai dai primi anni alla metà degli anni Novanta.

Quando un errore di battitura si trasforma in un brand

All’inizio, tutte le nostre utility antivirus erano state denominate secondo il template “-*.EXE”. Ad esempio, “-V.EXE’2(antivirus scanner), “-D.EXE” (residente monitor), “-U.EXE” (utility). Il prefisso “-” fu usato per assicurarsi che i nostri programmi si trovassero in cima alla lista di programmi in un file manager (quando il lato tecnico si incontra fin da subito con le tattiche da PR).

Più tardi, quando rilasciammo il nostro primo prodotto completo, prese il nome di “Antiviral Toolkit Pro”, la cui abbreviazione logica avrebbe dovuto essere “ATP”, ma non fu così…

Verso la fine del 1993 o all’inizio del 1994, Vesselin Bontchev, che avevo incontrato in precedenti occasioni (vedete Cybersicurezza – pt. 1), mi chiese una copia del nostro prodotto da testare presso il Virus Test Center dell’Università di Amburgo, dove lavorava all’epoca. Naturalmente accettai e, mentre salvavo i file, per errore chiamai l’archivio AVP.ZIP (invece di ATP.ZIP), per poi spedirlo così a Vesselin senza rendermene conto. Qualche tempo dopo, Vesselin mi chiese il permesso di mettere l’archivio su un server FTP (in modo che fosse disponibile per tutti) e accettai di nuovo. Una settimana o due dopo mi disse: “Il tuo AVP sta diventando davvero popolare sull’FTP!”

“Quale AVP?”, chiesi.

“Cosa intendi con ‘Quale AVP’? I file che mi hai mandato tu, ovviamente!”

“COSA?! Cambiate subito il nome all’archivio, si è trattato di un errore!”

“Troppo tardi. È già in circolazione e si chiama AVP!”

E questo è quanto: AVP fu! Per fortuna, l’abbiamo fatta franca (più o meno) visto che il prodotto si chiamava Anti-Viral toolkit Pro (come ho detto, più o meno). Fatto trenta, facemmo trentuno: dopo di ciò, cambiammo il nome di tutte le nostre utility lasciando cadere il prefisso “-” e mettendo “AVP” al suo posto e ancora oggi lo usiamo nei nomi di alcuni moduli.

Primi viaggi d’affari in Germania per il CeBIT

Nel 1992, Alexey Remizov (il mio capo alla KAMI, dove prima lavoravo), mi aiutò a ottenere il mio primo passaporto per i viaggi all’estero e mi portò con lui alla fiera CeBIT di Hannover, in Germania. Lì avevamo uno stand modesto, condiviso con poche altre aziende russe. Il nostro tavolo era per metà occupato dal transputer KAMI, mentre l’altra metà con le nostre offerte di antivirus. Fummo ricompensati con un po’ di nuovi affari, ma niente di eccezionale. Comunque sia, fu un viaggio molto utile…

Le nostre impressioni sul CeBIT di allora erano di totale stupore. Una fiera enorme! E non era passato molto tempo da quando la Germania era stata riunificata, ci ricordava la Germania dell’Ovest, capitalismo informatico sfrenato! In effetti, uno shock culturale (seguito da un secondo shock culturale quando tornammo a Mosca, ma parlerò di questo più avanti).

Data l’enormità del CeBIT, il nostro piccolo stand condiviso non venne praticamente preso in considerazione. Tuttavia, fu il proverbiale “primo passo” (il più difficile) per entrare in questo mondo. Passo che fu seguito da una seconda visita al CeBIT quattro anni dopo, quella volta per iniziare a costruire la nostra rete di partner europei (e poi globali). Ma questo è un argomento per un altro giorno post (che penso potrebbe essere interessante soprattutto per chi inizia il proprio lungo viaggio professionale).

Comunque, anche allora, avevo capito che il nostro progetto aveva un disperato bisogno di un qualche tipo di supporto di PR/marketing. Ma dato che avevamo, tipo, appena due rubli da mettere insieme, più il fatto che i giornalisti non avevano mai sentito parlare di noi, fu difficile ottenerne uno. Tuttavia, come risultato diretto del nostro primo viaggio al CeBIT, riuscimmo a ottenere un pezzo su di noi (e scritto da noi) sulla rivista russa di tecnologia ComputerPress nel maggio 1992: PR casalingo!

Ucci Ucci, sento odor di dollarucci (degli inglesi)!

Il mio secondo viaggio d’affari avvenne nel giugno-luglio di quello stesso anno, nel Regno Unito. Il risultato di questo viaggio fu un altro articolo, questa volta su Virus Bulletin, intitolato The Russians Are Coming, la nostra prima pubblicazione all’estero. Comunque, nell’articolo si parlava di “18 programmatori”. Probabilmente c’erano 18 persone in totale che lavoravano alla KAMI, ma nella nostra divisione AV c’eravamo solo noi tre.

Londra, giugno 1992

Continua a leggere:Cybersicurezza: i nostri inizi – Terza parte: 1992-199x

Le minacce informatiche nel mondo durante la pandemia

Tra le domande che mi vengono poste in questi tempi difficili, una delle più frequenti è come sia cambiata la situazione delle minacce informatiche per via del coronavirus e in che modo la sicurezza informatica sia stata influenzata in generale dal passaggio in massa allo smart working (purtroppo c’è anche chi è rimasto senza lavoro e che si ritrova a rimanere a casa anche per questo motivo). Nello specifico, quali nuovi e astuti trucchi hanno escogitato i cybercriminali e cosa bisogna fare per difendersi?

Permettetemi di riassumere il tutto in questo post…

Come sempre i criminali in generale, compresi i criminali informatici, monitorano attentamente la situazione e poi si adattano alle condizioni in continuo mutamento, in modo da massimizzare i loro introiti. Così, quando la maggior parte del mondo passa improvvisamente a un regime di permanenza in casa praticamente totale (lavoro da casa, intrattenimento domestico, shopping online, interazione sociale e quant’altro tutto da casa) i cybercriminali modificano le proprie tattiche.

Ora, per quanto riguarda i cybercriminali, il fenomeno principale di cui si sono accorti è che, per via del lockdown, è aumentato notevolmente il tempo trascorso su Internet. Ciò significa per loro avere a disposizione una “superficie d’attacco” generale più ampia per portare a termine i propri intenti criminali.

In particolare, molte persone che ora lavorano da casa, ahimè, non dispongono di una protezione informatica affidabile e di qualità, protezione che i datori di lavoro avrebbero dovuto fornire. Ciò significa che ora ci sono più opportunità per i cybercriminali di hackerare le reti aziendali alle quali si collegano i dipendenti, occasioni vantaggiose per portare a termine con successo i propri stratagemmi criminali.

I cybercriminali, ovviamente, non vogliono lasciarsi scappare nessuna di queste occasioni. A dimostrarlo c’è il forte aumento degli attacchi di forza bruta ai server dei database e agli RDP (servizi che permette, ad esempio, a un dipendente di avere pieno accesso da remoto al suo computer di lavoro, ai file etc.).

Continua a leggere:Le minacce informatiche nel mondo durante la pandemia

Anche i bancomat non sicuri dovrebbero essere messi in quarantena!

Ogni anno, insieme ai mie compagni di viaggio, sono solito prendere più di cento voli in tutto il mondo.

Al giorno d’oggi paghiamo sempre con la carta o il telefono praticamente ovunque, e per lo più in modalità contactless grazie a Apple o Google Pay. In Cina si può anche pagare via WeChat quando si è al mercato a comprare frutta e verdura. E il tristemente famoso biovirus ha reso l’uso del denaro virtuale ancora più popolare.

A volte, però, si hanno strane sorprese: proprio a Hong Kong è necessario pagare in contanti per prendere un taxi, sempre! A Francoforte, tra tutti i posti nel mondo, l’anno scorso due ristoranti diversi hanno accettato solo pagamento in contanti. EH?! Abbiamo dovuto fare una lunga ricerca per trovare un bancomat e prelevare dei soldi invece di goderci il nostro brandy dopo cena. È disumano! 🙂 Comunque, tutto questo dimostra che, nonostante ci siano sistemi di pagamento moderni in tutto il mondo, sembra che ci sia ancora bisogno del buon vecchio bancomat ovunque, e sembra che questa necessità non svanirà così presto.

Dove volevo arrivare? Ah, certo, la sicurezza informatica!

Bancomat = soldi ⇒ che sono stati hackerati, che vengono hackerati e che continueranno a esserlo. In effetti, la situazione in questo senso non fa altro che peggiorare: le ricerche dimostrano come dal 2017 al 2019 il numero di bancomat attaccati dal malware sia più che raddoppiato (di un fattore pari a ~2,5).

Domanda: è possibile monitorare costantemente l’interno e l’esterno di un bancomat? Sicuramente sì, potrebbe essere stata la vostra risposta. In realtà, non è così…

Ci sono ancora molti sportelli bancomat nelle strade, nei negozi, nei sottopassaggi, nelle stazioni della metropolitana/treni con un collegamento molto lento. Hanno a malapena la banda larga sufficiente per gestire le transazioni e a malapena riescono a tenere d’occhio anche quello che succede intorno a loro.

Quindi, data questa mancanza di monitoraggio a causa della connessione di rete, siamo intervenuti per colmare questa lacuna e aumentare il livello di sicurezza degli sportelli automatici. Abbiamo applicato le best practices di ottimizzazione (di cui siamo esperti, con 25 anni di attività), e abbiamo anche ridotto radicalmente la quantità di traffico necessaria per la nostra “dose di vaccino” specifica contro le minacce ai bancomat: parliamo di Kaspersky Embedded Systems Security, o KESS.

Continua a leggere:Anche i bancomat non sicuri dovrebbero essere messi in quarantena!