Cybersicurezza: i nostri inizi – Ottava parte: 1998-2000 (riorganizzazione, uffici all’estero, conferenze dei partner)

I primi anni dopo la fondazione dell’azienda furono i più duri di tutti, perché dovevamo mettercela tutta sempre, in qualsiasi momento, dedicando ore e ore di lavoro. Era come se stessimo tirando una molla affinché poi si liberasse l’energia che avrebbe portato l’azienda in alto e nella giusta direzione, verso i nostri sogni a occhi aperti (attenzione a ciò che sognate). Dopo la registrazione formale di KL nel 1997, facemmo tanto con molto poco . Non avevamo soldi e quasi nessuna risorsa, ma il treno della cybersecurity non aspettava nessuno: servivano nuove tecnologie e il mercato richiedeva nuovi prodotti. Così lavoravamo la maggior parte dei fine settimana e non prendevamo una vacanza quasi mai. A cosa stavamo lavorando? Ecco un esempio…

Giugno 1998: l’epidemia globale del Virus Chernobyl (CIH). Tutte le altre aziende AV non se ne erano accorte o non se preoccupavano, oppure erano in vacanza; eravamo quasi l’unica azienda ad avere un prodotto che non solo catturava, ma curava anche i sistemi infettati da questo agente patogeno. Il WWW (ormai non solo Runet) era costellato di link al nostro sito. E fu così che ci premiarono per i nostri tempi di reazione davvero veloci alle nuove minacce e anche per la nostra capacità di lanciare aggiornamenti rapidi con procedure per il trattamento di minacce specifiche. Nel frattempo, questa specifica minaccia di virus si installava in modo incredibilmente astuto nella memoria di Windows, agganciava le chiamate di accesso ai file e infettava i file eseguibili, tutto ciò richiedeva un processo di dissezione personalizzato che sarebbe stato impossibile da fornire senza una funzionalità flessibile di aggiornamenti.

Quindi, sì, stavamo ottenendo risultati e stavamo crescendo. E poi, due mesi dopo, ricevemmo un aiuto (del destino?!) e del tipo più inaspettato…

Agosto 1998: ci fu la crisi finanziaria russa, con la svalutazione del rublo, più la Russia inadempiente riguardo al suo debito. Fu un male per la maggior parte dei russi nel complesso ma noi fummo davvero fortunati: tutti i nostri partner stranieri ci pagarono in anticipo in valuta estera. Eravamo esportatori. La nostra moneta, opera/lavoro, un rublo fortemente svalutato; il nostro reddito, dollari, sterline, yen, ecc. Un po’ di tutto!

Ma non rimanemmo a riposarci sugli allori “fortunati” nel mezzo della crisi finanziaria. Sfruttammo questo periodo anche per assumere nuovi manager, dei costosi professionisti! E poco dopo seguirono direttori commerciali, tecnici e finanziari. E poi iniziammo ad assumere anche manager di medio livello. Questa fu la nostra prima  “riorganizzazione” in assoluto, quando il “team” passò ad essere una “società”; quando le relazioni amichevoli e organiche furono sostituite da una struttura organizzativa, una sistema e un livello di responsabilità più formali. Una riorganizzazione che avrebbe potuto essere dolorosa; per fortuna, non lo fu e andammo avanti senza troppa nostalgia dei vecchi tempi famigliari.

// Per tutto ciò che riguarda questo tipo di riorganizzazione-ristrutturazione-“reingegnerizzazione”- consiglio vivamente il libro Reengineering the Corporation di Michael Hammer e James Champy. È davvero un buon libro. Altri libri interessanti, qui.

Nel 1999 aprimmo il nostro primo ufficio all’estero, a Cambridge, nel Regno Unito. Ma come mai, penserete, visto che il mercato britannico è forse uno dei più difficili da conquistare per gli stranieri, perché proprio lì? In realtà, fu un po’ per caso (vi spiegherò poi). Comunque, dovevamo pur iniziare da qualche parte e, ad ogni modo, le nostre prime esperienze, compresi molti errori e lezioni imparate, nel Regno Unito hanno contribuito a rendere lo sviluppo del business in altri paesi molto più agevole…

Il nostro primo tour con la stampa ebbe luogo a Londra, dato che ci trovavamo comunque nella capitale britannica per una conferenza sulla sicurezza informatica (InfoSecurity Europe). Durante il press tour annunciammo con orgoglio l’intenzione di aprire un ufficio nel Regno Unito. Ma i giornalisti semplicemente si chiesero perché, dato che nel Paese c’erano già Sophos, Symantec, McAfee e così via, già ben affermati. Così passammo alla modalità “fanatici”: raccontammo come la nostra azienda fosse davvero innovativa e come, grazie a loro, fossimo migliori di tutta la concorrenza di cui avevano appena parlato. Questo messaggio fu accolto con notevole interesse e sorpresa (e un altro bonus: da allora non ci hanno più fatto domande così sciocche!). A proposito, allInfoSecurity Europe tenni il mio primo discorso in assoluto di fronte a un pubblico di lingua inglese composto da… due giornalisti, che si rivelarono essere dei nostri amici di Virus Bulletin che già sapevano molto su di noi! Comunque, quella fu la prima, e l’ultima, volta che una delle nostre presentazioni non fosse al completo (comunque: dettagli – qui).

Per quanto riguarda la nostra prima conferenza con i partner, ecco come è nata…

Nell’inverno 1998-1999 fummo invitati alla conferenza dei partner del nostro socio OEM F-Secure (Data Fellows). E fu così che venimmo a conoscenza dell’intero sistema di conferenze di partner e della loro unicità: riunirci tutti insieme, condividere le ultime informazioni sulle tecnologie e sui prodotti, ascoltare le preoccupazioni e i problemi dei partner e discutere di nuove idee, perfetto! E nel giro di un anno (nel 1999) organizzammo la nostra conferenza per i partner, invitando a Mosca circa 15 partner dall’Europa, dagli Stati Uniti e dal Messico. Eccoci tutti qui, in Piazza della Rivoluzione, accanto alla Piazza Rossa e al Cremlino:

Continua a leggere:Cybersicurezza: i nostri inizi – Ottava parte: 1998-2000 (riorganizzazione, uffici all’estero, conferenze dei partner)

Giocare a nascondino con i malware fileless

Il codice dannoso… si insinua ovunque…

È un po’ come un gas, che riempirà sempre lo spazio in cui si trova, anche se una differenza c’è: il codice dannoso passerà sempre attraverso i “buchi” (le vulnerabilità) di un sistema informatico. Quindi il nostro lavoro (anzi, uno di questi) è trovare tali falle e chiuderle. Il nostro obiettivo è di farlo in modo proattivo, cioè prima che il malware scopra queste falle. E se ci riesce, siamo lì pronti ad acciuffarlo.

Di fatto, è questa protezione proattiva e la capacità di prevedere le azioni dei cybercriminali e di creare una barriera in anticipo che fa la differenza tra una cybersecurity di qualità e altamente tecnologica dal marketing di paccottiglia.

Oggi voglio parlarvi di un altro modo in cui la nostra protezione proattiva protegge da un tipo di malware, particolarmente astuto. Sì, voglio parlarvi del cosiddetto codice dannoso fileless (o bodiless, senza corpo), un tipo pericoloso di malware-fantasma che ha imparato a usare i difetti dell’architettura di Windows per infettare i computer. E voglio parlarvi anche della nostra tecnologia brevettata che combatte questa particolare cyber-malattia. Lo farò proprio come piace a voi: spiegando problemi complessi in modo semplice, senza nascondere nulla ma in modo avvicente, una sorta di cyber-thriller con elementi di suspense.

Prima di tutto, cosa indica il termine fileless?

Ebbene, il codice fileless, una volta entrato in un sistema informatico, non crea copie di sé stesso sotto forma di file su disco e, in questo modo, evita di essere individuato dalle tecniche tradizionali, utilizzando ad esempio un monitor antivirus.

Come può esistere un tale “malware fantasma” all’interno di un sistema? In realtà, risiede nella memoria di processi affidabili! Ah, sì. Proprio così.

Su Windows (in realtà, non solo Windows), è sempre esistita la possibilità di eseguire un codice dinamico che, in particolare, viene utilizzato per il compilatore just-in-time; cioè, il codice del programma viene trasformato in linguaggio macchina non subito, ma quando è necessario e nel modo in cui è necessario. Questo approccio aumenta la velocità di esecuzione per alcune applicazioni. E per supportare questa funzionalità, Windows permette alle applicazioni di inserire il codice nella memoria del processo (o anche in un’altra memoria di un processo affidabile) e di eseguirlo.

Non è una grande idea dal punto di vista della sicurezza, ma cosa si può fare? Da decenni milioni di applicazioni eseguite su Java, .NET, PHP, Python e altri linguaggi e per altre piattaforme funzionano in questo modo.

Come era facile prevedere, i cybercriminali hanno approfittato della possibilità di utilizzare il codice dinamico, inventando vari metodi per utilizarlo per i propri scopi. E uno dei metodi più comodi e quindi più diffusi è la cosiddetta Reflective PE injection. Che cosa? Lasciate che vi spieghi (in realtà, è un argomento piuttosto interessante, quindi abbiate pazienza)…

Lanciare un’applicazione cliccando su un’icona, un’operazione abbastanza semplice e diretta, giusto? Sembra semplice, ma in realtà, dietro ci sono tante operazioni in ballo: viene richiamato un loader di sistema, che prende il rispettivo file dal disco, lo carica in memoria e lo esegue. E questo processo standard è controllato dai monitor antivirus, che controllano al volo la sicurezza dell’applicazione.

Ora, quando c’è un “riflesso”, il codice viene caricato bypassando il loader del sistema (e quindi anche il monitor antivirus). Il codice viene posto direttamente nella memoria di un processo affidabile, creando un “riflesso” del modulo eseguibile originale. Tale riflesso può essere eseguito come un modulo reale caricato con un metodo standard, ma non è registrato nella lista dei moduli e, come detto sopra, non ha un file sul disco.

Inoltre, a differenza di altre tecniche di iniezione del codice (per esempio, tramite shellcode), le reflected injection consentono di creare un codice funzionalmente avanzato in linguaggi di programmazione ad alto livello e framework di sviluppo standard con quasi nessuna limitazione. Quindi quello che si ottiene è: (i) nessun file, (ii) l’occultamento dietro un processo affidabile, (iii) l’invisibilità alle tradizionali tecnologie di protezione e (iv) via libera per causare un po’ di caos.

Quindi, naturalmente, le reflected injection hanno avuto un grande successo tra gli sviluppatori di codici dannosi: all’inizio apparivano in pacchetti di exploit, poi sono entrati in gioco le cyberspie (per esempio, Lazarus e Turla), i cybercriminali avanzati (perché è un modo utile e legittimo di eseguire un codice complesso!) e infine anche i cybercriminali di poco conto.

Ora, dall’altra parte della barricata, trovare una tale infezione fileless non è una passeggiata nel cyber-parco. Quindi non c’è da stupirsi che la maggior parte dei vendor di sicurezza informatica non sia troppo esperta. Alcune riescono a malapena a individuare il problema.

Continua a leggere:Giocare a nascondino con i malware fileless

Exploring Russia: Turismo ÷ Lockdown x Acceleratore = Vincitori sul podio!

A metà primavera di quest’anno, al culmine del periodo “tutti a casa”, era ovvio che le prospettive per il mondo non  sembravano essere per nulla rosee, e che sarebbero rimaste così per molto tempo. L’economia in generale ne risente e ne risentirà parecchio, per usare un eufemismo, mentre il settore del turismo in particolare ne uscirà devastato, con molte aziende che non supereranno la crisi. Così noi di K abbiamo fatto quello che facciamo spesso sempre, ci abbiamo pensato su e abbiamo deciso… di dare una mano ai settori più colpiti.

All’inizio di maggio ho annunciato il lancio dell’acceleratore per startup del turismo chiamato “Kaspersky Exploring Russia”. Da allora abbiamo iniziato a ricevere richieste ma non avrei mai immaginato che ne sarebbero state inviate più di 500, da 47 paesi (quasi un quarto di tutti i paesi del mondo!) dei cinque continenti (tutti tranne l’Antartide!). E leggendo queste richieste mi sono reso conto di quanto potenziale ci sia nel settore del turismo, tante idee, e tante grandi startup e progetti già esistenti. Non c’erano restrizioni geografiche per le candidature: potevano, e così è stato, provenire da qualsiasi parte del pianeta, ma dovevano descrivere idee turistiche che potessero sfruttare il potenziale del turismo russo o essere applicate in Russia. Abbiamo vagliato tutte le candidature per poi stilare una Top- 10 delle migliori idee, dieci idee che sono rientrate nel programma dell’acceleratore.

Durante due settimane questi 10 progetti hanno partecipato a master class e conferenze online. Ogni team ha avuto una serie di incontri personalizzati con i mentori. Le principali figure del settore hanno condiviso con i partecipanti le loro esperienze e il loro know-how per costruire un business di successo. Fra i mentori c’erano: Vikas Bhola, direttore regionale di Booking.com; Gemma Rubio, fondatrice di Define the Fine; Vadim Mamontov, direttore generale di Russia Discovery e altri professionisti del settore. E in quelle due settimane i partecipanti hanno anche perfezionato le loro presentazioni, che hanno poi sottoposto alla giuria, di cui io facevo parte.

La settimana scorsa i finalisti hanno tenuto le proprie presentazioni e hanno risposto alle nostre domande nella giornata finale. E così abbiamo scelto tre vincitori, ai quali sono stati assegnati deipremi dai nostri partner. Lasciate che vi racconti un po’ di ognuno di loro…

Il primo posto è stato asseganto a 360 Stories. Si tratta di un’applicazione mobile di realtà aumentata con una guida dal vivo. Dicono che la loro mission è quella di “modernizzare l’esperienza turistica tradizionale creando tour interattivi dal vivo con guide in tempo reale”. Con 360 Stories gli utente ora possono visitare da casa le proprie città e attrazioni turistiche preferite iscrivendosi a un’esperienza personalizzata accompagnati da una guida locale in tempo reale.

Continua a leggere:Exploring Russia: Turismo ÷ Lockdown x Acceleratore = Vincitori sul podio!

Cyber-racconti dal lato oscuro: vulnerabilità inaspettate, hacking-as-a-service e sistemi operativi spaziali

Il nostro primo mese d’estate in lockdown si è già concluso. E anche se il mondo sembra aprirsi poco a poco ma in modo costante, noi di K abbiamo deciso di non correre rischi, rimanendo praticamente in piena attività ma da casa. Questo non significa che stiamo lavorando in modo meno efficace, bene come sempre, dal momento che i cybercriminali non rimangono con le mani in mano. In realtà, non ci sono stati grandi cambiamenti nel quadro globale delle minacce degli ultimi tempi. Tuttavia, i cybercriminali, come sempre, hanno tirato fuori dal cilindro dei cyber-trucchi che sono abbastanza stupefacenti. Eccone alcuni del mese scorso.

Una vulnerabilità zero-day sul “super sicuro” Linux Tails

Facebook sa sicuramente come spendere. Si è scoperto che ha speso una somma a sei cifre sponsorizzando la creazione di un exploit zero-day di una vulnerabilità nel sistema operativo Tails (= Linux, appositamente messo a punto per una maggiore privacy) per un’indagine dell’FBI, che ha portato alla cattura di un pedofilo. Si sapeva già da tempo che questo paranoico squilibrato usava questo particolare, particolarmente sicuro, sistema operativo. Il primo passo di FB è stato quello di usare la sua forza nella mappatura degli account per collegare tutti quelli utilizzati dall’hacker. Tuttavia, passare l’idea di passsare da una cyber-vittoria a un indirizzo postale fisico non ha funzionato. A quanto pare, hanno ordinato lo sviluppo di un exploit per un’applicazione video-player. Questa scelta del software aveva senso, poiché il maniaco sessuale chiedeva i video delle sue vittime e probabilmente li guardava sullo stesso computer.

È stato riferito che gli sviluppatori di Tails non erano stati informati della vulnerabilità sfruttata, ma poi si è scoperto che era già stata corretta. I dipendenti dell’azienda stanno mantenendo il silenzio su tutto questo, ma quello che è chiaro è che una vulnerabilità non è la migliore pubblicità. Rimane la speranza che l’exploit sia stato un episodio di una singola persona, particolarmente cattiva, e che questo non si ripeta con un utente normale.

Morale della favola: non importa quanto super-mega-sicuro sia un progetto basato su Linux, non c’è garanzia che non ci siano vulnerabilità. Per essere in grado di garantire una cosa del genere, l’intera architettura e i principi di base del lavoro e la struttura dell’intero sistema operativo hanno bisogno di una revisione. Ehm, sì, in realtà, questa è una sfacciata buona occasione per presentarci).

Hacking-as-a-service

Ecco un’altra storia piuttosto siginificativa. Il gruppo di cybercriminali Dark Basin (che si pensava fosse indiano) è stato catturato con le mani nel cyber-sacco. Questo gruppo è stato responsabile di più di un migliaio di attacchi. Tra gli obiettivi ci sono stati funzionari, giornalisti, candidati politici, attivisti, investitori e uomini d’affari di vari paesi. Curiosamente, gli hacker di Delhi hanno usato strumenti davvero semplici e primitivi: innanzitutto hanno semplicemente creato delle e-mail di phishing che sembravano provenire da un collega o un amico, hanno messo insieme falsi aggiornamenti di Google News su argomenti interessanti per l’utente e hanno inviato simili messaggi privati su Twitter. Poi hanno inviato e-mail ed SMS contenenti link accorciati a siti di phishing davvero ben fatti e sono riusciti a rubare credenziali di accesso ed altro. E questo è tutto! Niente malware o exploit complessi! E comunque, sembra che le informazioni iniziali su ciò che interessa a una vittima provengano sempre da chi ordina il cyber-colpo.

Ora, il cyber-crimine mirato è molto diffuso ed è in circolazione da tempo. In questo caso, però, gli hacker l’hanno portato a un livello completamente diverso, esternalizzando migliaia di colpi.

Fonte

Continua a leggere:Cyber-racconti dal lato oscuro: vulnerabilità inaspettate, hacking-as-a-service e sistemi operativi spaziali

Cybersicurezza: i nostri inizi – sesta parte: il rapporto con i media

La settimana scorsa mi sono reso conto di essere stato in isolamento-lockdown-quarantena per un intero quarto d’anno. Tre mesi seduto a casa, con solo un paio di brevi incursioni nell’ufficio deserto, più ogni fine settimana nella nostra dacia con la famiglia altrettanto isolata. Per tutti, una vita quotidiana davvero straordinaria. Per me, niente aerei/aeroporti, niente alberghi, niente riunioni o discorsi: insomma, pochissimi viaggi.

Ma tutto è relativo: in tre mesi abbiamo viaggiato tutti per oltre 230 milioni di chilometri (un quarto di un’orbita terrestre intorno al Sole)! E questo senza tener conto del fatto che il sistema solare stesso viaggia a una velocità pazzesca. Una cosa che non è cambiata molto da quando è iniziato il lockdown sono gli incontri d’affari, si sono semplicemente tutti spostati online. Ah sì, e tutti i nostri affari in generale si stanno svolgendo in questo modo: come al solito ma senza essere colpiti da virus biologici.

Ma basta parlare di lockdown; probabilmente siete stanchi di sentire questa parola. Meglio continuare con i miei racconti dal fronte del cyber-passato: questa volta parlerò di interviste a giornali, riviste, radio, TV, oltre ad altre presenze in pubblico varie (mi è venuta in mente la mia attività di “media relations” mentre raccontavo della mia settimana di interviste al CeBIT di molto tempo fa, Cybersicurezza: i nostri inizi – quarta parte). Ed è venuto fuori che ho un sacco di cose da raccontarvi sulle esperienze interessanti che ho vissuto parlando con i media e parlando in pubblico e tutto il resto, un sacco di aneddoti divertenti e insoliti, oltre naturalmente ad alcune foto (illuminate e ripulite).

Ci saranno vari tipi di media-racconti di diverse dimensioni e sapori: dai discorsi in sale praticamente vuote agli stadi stracolmi! Dalle minuscole e sconosciute pubblicazioni sui media locali a conglomerati di media globali di altissimo livello dai nomi noti! Dalle conferenze professionali presso le principali università e/o con un pubblico appositamente equipaggiato con il meglio della tecnologia alle conferenze informali sulle meraviglie dell’aritmetica su una nave che navigava verso… l’Antartide con Drake Passage! Eugene è la costante, tutto il resto intorno cambia.

Continua a leggere:Cybersicurezza: i nostri inizi – sesta parte: il rapporto con i media

Cybersicurezza: i nostri inizi – Quinta parte: 1996 (l’anno della svolta)

In questo post continueremo a parlare di come la nostra azienda sia passata da umili origini a ciò che siamo oggi. E questa serie sui nostri inizi nel mondo della cybersicurezza la dobbiamo… al lockdown! Se non fosse stato per questa situazione, non avrei mai trovato il tempo per vagare nei miei ricordi come sto facendo ultimamente…

Nel caso ve le foste perse, ecco le puntate precedenti:

Prima parte
Seconda parte
Terza parte
Quarta parte

E arriviamo alla quinta parte: il 1996. Davvero un anno cruciale, che ha fatto da spartiacque…

Innanzitutto, alla KAMI, dove lavoravo ancora, i proprietari decisero di prendere strade diverse. Come risultato, KAMI fu suddivisa in diverse aziende indipendenti. E l’anno seguente, il 1997, anche noi prendemmo una strada diversa.

In secondo luogo, firmammo un contratto OEM (Original Equipment Manufacturer) con la società tedesca G-Data per la fornitura del nostro motore antivirus. Quel contratto durò per ben 12 anni, fino al 2008, quando diventammo leader del mercato tedesco. Andò proprio così. La nostra abilità tecnica originale era inarrestabile! Ma cosa dovevamo fare? In ogni caso, era stata G-Data ad avvicinarsi a noi (all’epoca non eravamo in grado di cercare attivamente partner tecnologici), offrendo la collaborazione a Remizov, boss di KAMI, che culminò con la firma del contratto al CeBIT, come descritto nella parte 4. E fu così che il nostro business delle licenze tecnologiche decollò.

Dopo i tedeschi (nel 1995) arrivarono i finlandesi, F-Secure (nel 1996), allora conosciuti come Data Fellows. Lasciate che vi racconti come iniziò la nostra collaborazione con loro.

Nell’agosto 1995 arrivò sulla scena il primo macro virus in assoluto, che infettava i documenti di Microsoft Word. Si scoprì che scrivere virus macro era un’operazione molto diretta, e che si stavano diffondendo a ritmi allarmanti tra un gran numero di utenti ignari. Questo fenomeno attirò l’attenzione di altri creatori di virus, e molto rapidamente i macro virus diventarono il più grande grattacapo per il settore. Il loro rilevamento era tutt’altro che facile, poiché il formato di un documento Word è il più complesso (chi lo avrebbe mai detto?). Così per diversi mesi le aziende antivirus giocarono a fare gli sciamani con vari metodi, fino a quando, all’inizio del 1996, McAfee (la compagnia) annunciò il metodo di smantellamento “corretto” per il formato dei documenti Word. Quella notizia fu ripresa dal nostro collega Andrey Krukov (che era entrato a far parte del nostro collettivo nel 1995), ed egli saltò fuori con una soluzione tecnica elegantissima ed efficace. Iniziai a far spargere la voce, e ben presto varie aziende iniziarono a contattarci con offerte per l’acquisto della nostra tecnologia. Dopo aver raccolto diverse offerte di questo tipo, organizzammo un incontro con tutti loro, in occasione della successiva Virus Bulletin Conference a Brighton, nel Regno Unito, dove Andrey ed io ci dirigemmo nell’autunno del 1996.

Continua a leggere:Cybersicurezza: i nostri inizi – Quinta parte: 1996 (l’anno della svolta)

Cybersicurezza: i nostri inizi – Quarta parte: CeBIT

Finalmente è arrivata l’estate. Ce n’è voluto di tempo! Ma non sono sicuro che sia la benedizione che normalmente è, visto che siamo ancora tutti seduti a casa in smart working. Certo, ci sono state “facilitazioni” qua e là in giro per il mondo, ma noi qui a K non abbiamo fretta di… accelerare le cose. Credo che questo valga anche per altre aziende IT che lavoreranno da casa almeno fino all’autunno, mentre altre sono propense a rimanere a casa fino alla fine dell’anno. E naturalmente i viaggi d’affari sono ancora impensabili, così come le fiere di settore e le conferenze, i Giochi Olimpici e il Festival di Cannes e tutta una serie di altri eventi di grande portata. Basti pensare che alcuni paesi hanno ancora le frontiere chiuse.

Quindi sì, siamo ancora tutti in casa, non usciamo molto e ogni giorno che passa siamo un po’ più inquieti. Almeno per molti le cose stanno così, ne sono sicuro. Ci sono altri che approfittano di tutto il tempo a disposizione e fanno più esercizio fisico che mai! Io mi trovo nel mezzo. A volte sono stanco del fatto che i giorni sembrino tutti uguali ma comunque cerco di tenermi occupato. E questo include scavare nei miei archivi per trovare alcune vecchie foto, che portano a ricordi felici (il che mi fa pensare a quanto il mondo stia cambiando velocemente), che portano a questo mio nuovo post!

Sì, questa serie combina molta cyber-nostalgia, oltre a varie intuizioni personali e di business che ho raccolto nel tempo, che spero saranno utili per alcuni, o semplicemente interessanti per altri. Di conseguenza, continuo qui oggi con la quarta parte, e continuo i miei racconti, iniziati nella terza parte, sul CeBIT

Continua a leggere:Cybersicurezza: i nostri inizi – Quarta parte: CeBIT

Quale gruppo di hacker sta attaccando la vostra rete aziendale? Non tirate a indovinare… verificate!

Circa quattro anni fa, la cybersicurezza è diventata una pedina della geopolitica. I politici di tutti i partiti e di tutte le nazionalità si incolpano a vicenda per ostili operazioni di spionaggio informatico e, allo stesso tempo (sembra ironico ma non lo è) gli strumenti informatici (armi) in loro possesso per attaccare altri paesi diventano ogni giorno più potenti. Nel fuoco incrociato delle baruffe geopolitiche ci sono le compagnie indipendenti di sicurezza informatica, che hanno le capacità e il coraggio di smascherare questa pericolosissima buffonata.

Perché tutto ciò? È tutto molto semplice…

In primo luogo, utilizziamo ancora il termine fresco/romantico/sci-fi/Hollywood/glamour “cyber'”, coniato quando è sorto questo fenomeno. Un aggettivo che fa vendere, non solo prodotti ma anche notizie. Ed è popolare, anche tra i politici: una comoda distrazione, data la sua popolarità e il suo essere di moda, quando c’è bisogno di un elemento per sviare l’attenzione su altro, il che può accadere spesso.

In secondo luogo, il mondo “cyber” è molto tecnico, la maggior parte della gente non lo capisce. Di conseguenza i media, quando trattano di qualcosa a riguardo e cercano sempre più click sulle loro storie, sono in grado di pubblicare di tutto, anche quando si tratta di notizie non del tutto vere (o completamente false), pochi lettori se ne accorgono. Quindi. quello che si ottiene sono un sacco di storie sui giornali che affermano che questo o quel gruppo di hacker di questo o quel paese è responsabile di questo o quel cyber attacco imbarazzante, costoso, dannoso e scandaloso. Ma si può credere a tutto questo?

In generale, è difficile capire in cosa credere. Alla luce di quanto detto, è davvero possibile attribuire con precisione la responsabilità di un attacco informatico?

La risposta va divisa in due parti:

Dal punto di vista tecnico, i cyberattacchi possiedono una serie di caratteristiche particolari, ma un’analisi imparziale del sistema può stabilire solamente quanto un attacco sembri opera di questo o quel gruppo hacker.

Tuttavia, che il gruppo hacker possa appartenere alla sotto-unità di intelligence militare 233, al National Advanced Defense Research Projects Group, o alla Joint Strategic Capabilities and Threat Reduction Taskforce (nessuno di questi nomi esiste, potete evitare di cercare su Google), è un aspetto politico, e qui la probabilità di manipolazione dei fatti è vicina al 100%. Si passa da conclusioni tecniche, basate su prove accurate a.… predire il futuro. Ed è un compito che lasciamo alla stampa, ne stiamo alla larga. Nel frattempo, curiosamente, la percentuale di “api politiche” che si immergono nel miele della sicurezza informatica più pura e che si basa sui fatti, cresce a dismisura con l’avvicinarsi di importanti eventi politici, proprio come quello che si terrà tra cinque mesi!

Conoscere l’identità del gruppo hacker responsabile di un attacco rende la lotta molto più facile: si può attuare una risposta agli incidenti adeguata e con dei rischi minimi per il business.

Quindi sì, l’attribuzione politica è qualcosa che noi evitiamo. Ci atteniamo all’aspetto tecnico: è nostro dovere ed è ciò che facciamo come azienda. E lo facciamo meglio di chiunque altro, oserei aggiungere modestamente. Teniamo d’occhio tutti i grandi gruppi di cybercriminali e le loro operazioni (più di 600), e non prestiamo alcuna attenzione a quale potrebbe essere la loro affiliazione politica. Un ladro è un ladro, e dovrebbe andare in carcere sempre. Ora, finalmente, a più di 30 anni da quando mi sono avventurato in questo “gioco”, dopo aver raccolto senza sosta così tanti dati sui crimini digitali, ci sentiamo pronti a condividere quello che abbiamo in mano, a fin di bene.

Abbiamo lanciato un nuovo fantastico servizio rivolto agli esperti di sicurezza informatica. Si chiama Kaspersky Threat Attribution Engine. Analizza i file sospetti e determina da quale gruppo di cybercriminali proviene un determinato attacco informatico. Conoscerne l’identità rende molto più facile la lotta: è possibile prendere decisioni informate sulle contromisure, elaborare un piano d’azione, definire le priorità e, nel complesso, è possibile dare una risposta adeguata all’incidente con un rischio minimo per l’azienda.

Interfaccia di Kaspersky Threat Attribution Engine

 

 

Continua a leggere:Quale gruppo di hacker sta attaccando la vostra rete aziendale? Non tirate a indovinare… verificate!

Notizie dal mondo informatico (in lockdown): 92 marzo 2020

La maggior parte della gente in tutto il mondo è in lockdown da circa tre mesi! E sempre in questi ultimi tre mesi sono sicuro che vi avranno menzionato un famoso film di qualche tempo fa, ma ecco la nuova versione: Ricomincio da capo non è più un film divertente! Poi c’è la questione tempo metereologico “accidenti se fa bello, accidenti se fa freddo”: se il tempo è umido e invernale, tutti sono depressi (oltre al lockdown); se, invece il tempo diventa bello, secco ed estivo, tutti sono depressi perché non si può uscire!

Eppure, credo che forse sia una consolazione che la maggior parte di noi stia vivendo in casa la stessa esperienza. Può darsi. Ma siamo comunque noi, persone buone e con una vita normale. E i cybercriminali? Come se la stanno cavando rinchiusi in casa? Beh, l’altra settimana vi ho dato alcune statistiche e tendenze in merito. Oggi voglio continuare con un aggiornamento, perché, sì, i cybercriminali si muovono in fretta. // Oh, e comunque – se siete interessati ad altre notizie dal lato oscuro, alias I-news, date un’occhiata a questa tag d’archivio.

Prima di tutto, qualche dato in più, dati aggiornati e rassicuranti.

Marzo, e poi ancora di più, aprile, ha visto grandi balzi nell’attività criminale informatica generale; tuttavia, maggio ha poi visto un brusco calo, fino a ritornare ai livelli pre-coronavirus di gennaio-febbraio:

Continua a leggere:Notizie dal mondo informatico (in lockdown): 92 marzo 2020