Periodico delle Tecnologie dell'Informazione e della
Comunicazione per l'Istruzione e la Formazione
A+ A A-

Sicurezza Informatica

Dati persi: chi è il colpevole?

Il 2020 è stato un anno da dimenticare anche per la sicurezza informatica: enti pubblici e privati si sono fatti trovare impreparati, anche se erano già consapevoli dei rischi.

Uno sguardo critico agli utenti del web, spesso colpevoli di non prendere le dovute accortezze per una navigazione sicura.

 ***

Ospedali bloccati, server ministeriali criptati, logistica in tilt: server inaccessibili e milioni di dati indecifrabili. Il 2020 è stato anche questo… eppure c’erano già stati attacchi simili negli anni passati (vedi caso Maersk[1]) da cui si poteva attingere per cercare una soluzione. E già perché le soluzioni ci sono e, quasi ognuno di noi, almeno una volta ha adottato la soluzione più semplice di tutte: il backup! Banalmente copiare i dati in un dispositivo esterno non connesso alla rete, sia esso una pennetta usb o un hard disk di svariati GB o TB poco importa, è la soluzione più semplice, rapida, economica e soprattutto efficace contro gli attacchi informatici (presenti e futuri!) e non solo. Il backup è l’elemento fondamentale nella progettazione del piano di disaster recovery.

Tipologie di backup

Prima di eseguire un backup è opportuno analizzare i dati, ad esempio in termini di dimensione e tipologia, gli strumenti per l’archiviazione e la metodologia per effettuare la copia. Esistono anche svariati software sia gratuiti sia a pagamento che permettono la gestione dei backup periodici (con notifica per verificare il corretto funzionamento, password ti protezione, etc).

Backup completo

Il backup completo prevede la copia di tutti i dati dal dispositivo di origine al dispositivo di destinazione. In termini di funzionalità questo è il più sicuro poiché permette di recuperare i dati allo stato della creazione della copia. Tuttavia ha lo svantaggio di richiedere più tempo e maggior spazio di archiviazione rispetto ai backup riportati di seguito.

Backup incrementale

Partendo da un iniziale backup completo, con questa tecnica, è possibile effettuare le copie soltanto dei dati che sono stati modificati rispetto all’ultimo backup eseguito. Il vantaggio immediato è che si tratta di una procedura abbastanza veloce a discapito, però, dei tempi necessari al ripristino dei dati in caso di emergenza. Non di meno, bisogna considerare anche che se un backup ha un errore esso si ripercuoterà anche sui successivi backup.

Backup differenziale

Partendo dall’ultimo backup effettuato, questa tecnica prevede la copia dei dati modificati. In questo modo, in caso di ripristino verrà utilizzato l’ultimo backup completo migliorando la velocità del ripristino stesso. Con il backup differenziale però si ha la ridondanza dei dati copiati e una mole di dati molto grandi.

Soluzioni hardware

Come già sottolineato in fase introduttiva, affinché il backup abbia senso è fondamentale che i dati vengano archiviati in un dispositivo diverso da quello di origine. A seconda del campo di applicazione è possibile scegliere tra le seguenti soluzioni:

  • Server, utilizzata soprattutto da aziende ed enti pubblici, adottando dispositivi di archiviazione di massa;
  • Dispositivi rimovibili, come hard disk esterni e penne USB, utilizzate per lo più in campo domestico e fortemente sconsigliate in campo aziendale per via della fragilità dei dispositivi stessi e della scarsa protezione contro i malintenzionati;
  • NAS, che sono in grado di comunicare in rete e sono dotati di supporto RAID per garantire la ridondanza dei dati sui dischi installati. Questa soluzione permette di avere una buona velocità sia in fase di backup sia in fase di ripristino;
  • Cloud, con possibilità di creare una copia dei dati in un server remoto. Ciò permette di evitare la perdita di dati causata da rotture o da furti, nonché di avere i dati sempre a disposizione per il ripristino. Usufruire dei servizi in cloud è indispensabile per le aziende (e spesso anche per i singoli utenti) ma è sempre opportuno avere una copia di riserva aggiornata a seconda dell’importanza dei dati. È una strategia che non ha svantaggi, a patto che il backup venga eseguito con determinati criteri (importanza dei dati, periodico, etc.), e presenta almeno due vantaggi immediati:
    • in caso di gravi problemi che impediscano di raggiungere i dati allocati sui server del provider è possibile limitare (o annullare del tutto) i disagi utilizzando i dati presenti sull’ultimo backup locale;
    • è una strategia asincrona, nel senso che può essere utilizzata quando si vuole e/o quando si ha necessità (attacco informatico, provider offline, etc.).

Solitamente, il provider[2] specifica nei propri piani contrattuali informazioni circa la disponibilità del servizio, il numero minimo di data center messi a disposizione e quindi il numero di copie dei dati.

È importante monitorare i backup poiché potrebbero esserci errori tecnici o guasti dei vari dispositivi. In generale, è necessario che si venga a creare un avviso che informi il responsabile del backup di eventuali errori o problemi in fase di copia.

Focalizzandoci sulla problematica dei ransomware, quanto finora esposto ci porta ad una drastica conclusione: oggi nessun ente pubblico né privato può incolpare altri per la perdita irreversibile di grosse quantità di dati. Come visto le soluzioni ci sono, quindi, chi perde i dati oggi senza riuscire a recuperarli o cedendo a ricatti per recuperarne il possesso, è colpevole quanto l’autore dell’attacco informatico.

 

Davide Sorrentino

 

[1] https://digitalguardian.com/blog/cost-malware-infection-maersk-300-million

[2] Il provider è chi fornisce uno o più servizi internet

0
0
0
s2sdefault

Google fuori servizio: abbiamo imparato qualcosa?

Abstract - Tra il 14 ed il 15 dicembre il mondo ha assistito a diverse interruzioni dei servizi offerti dalla Google Corporation: Gmail, Youtube, Meet, Maps ed altre utilità hanno smesso di funzionare per poco meno di un’ora. Un disservizio che ha messo in ginocchio il mondo intero. Abbiamo imparato qualcosa da ciò che è accaduto o in futuro saremo ancora più esposti?

***

È bastata solo un’ora per gettare il mondo informatico nell’oscurità e far riempire i social network di segnalazioni, svelando quanto fragili siano le applicazioni su cui molti servizi aziendali si basano.

Qual è stata la causa dei disservizi? Inizialmente su molti blog e su diversi tweet era stata avanzata l’ipotesi di un attacco informatico contro il colosso di Mountain View, soprattutto perché nelle scorse settimane altre aziende del settore come Microsoft sono state coinvolte in attacchi condotti da gruppi di pirati informatici. A smentire questa ipotesi è stata direttamente Google che, per avvalorare quanto affermato, ha reso pubblici i reports con gli errori che hanno coinvolto l’utenza e che, fondamentalmente, sono sati causati da un bug nell’Identity Management System. Da alcuni mesi, infatti, Google ha adottato un nuovo sistema di archiviazione e, già dai primi giorni di ottobre, ha iniziato la migrazione degli strumenti che consentono di identificare e tracciare gli utenti. Tale processo è incappato in un errore che ha portato all’interruzione dei servizi Google che necessitano di autenticazione e/o localizzazione. Al fine di evitare il riproponimento di errori simili, è stato disabilitato temporaneamente il sistema automatico di gestione quote e, contemporaneamente, si analizza nel dettaglio il bug che si è mostrato il 14 dicembre.

Quali sono state le conseguenze per gli utenti? Dalle informazioni diffuse da Google non sono emerse fughe o furti di dati degli utenti. Tuttavia, nell’ora in cui Google è stata offline, migliaia di persone si sono rese conto della “dipendenza” dai servizi offerti dal colosso multinazionale: non era possibile consultare la posta su Gmail o guardare un video su Youtube nell’attesa che i servizi venissero ripristinati. Anche gli insegnati e gli studenti, coinvolti nella didattica a distanza, hanno avuto molte difficoltà perché Meet non era raggiungibile.

Come detto, non ci sono state conseguenze dirette per gli utenti; tuttavia, il disservizio ha messo sotto la lente di ingrandimento la monopolizzazione dei servizi su cui si basano gran parte dei servizi online, tanto mobili quanto aziendali. Immediatamente si è passati da un ragionamento puramente teorico ad un intervento pratico da sviluppare nel minor tempo possibile per cercare di dare continuità alle attività lavorative e non. Ciò significa che bisogna implementare da subito una soluzione di backup, avente una propria rete ben distinta e protetta, che possa entrare in funzione quando i servizi online e in cloud non sono raggiungibili.

Siamo dipendenti dalla tecnologia e dai servizi online ma è fondamentale valutare strategie di emergenza per garantire la continuità alle nostre attività.

Ing. Davide Sorrentino

0
0
0
s2sdefault

Fenomeno Stalkerware: come gli hacker ci spiano di Davide Sorrentino

 

Abstract - Il lockdown mondiale causato dal Covid-19 ha generato una massiccia diffusione dei dispositivi connessi in rete. Molte aziende sono state costrette a far lavorare i propri dipendenti da remoto, aprendo la rete aziendale ai PC domestici… non è un caso che il 2020 è stato un anno nero anche per la sicurezza informatica. A preoccupare maggiormente è la diffusione degli stalkerware, invisibili “parassiti” in grado di spiare dettagliatamente la povera vittima.

                                                                                                     ***

 Il Covid-19 ha stravolto la società mondiale non solo dal punto di vista sanitario ma anche economico e sociale. Il mondo del lavoro ha subito uno spiccato cambiamento, soprattutto nel settore dei servizi, per via della remotizzazione del lavoro. La pratica dello “smart working” ha costretto molte azienda ad aprire le proprie reti ai computer domestici dei dipendenti. Tanto è bastato agli hacker per trarre nuove opportunità criminose.

Da un recente report di KasperskyThe State of Stalkerware 2020” è emerso che almeno 50 mila utenti sono stati spiati attraverso stalkerware[1]. Già nel 2019 Kaspersky aveva dato indicazioni sul fenomeno stalkerware, mostrando come esso differisce dai classici malware perché non punta al furto di dati per scopo di lucro ma mira a danneggiare direttamente la vittima intesa come individuo.

Come funziona

Chi utilizza uno stalkerware è in grado di conoscere dettagliatamente le abitudini e le preferenze di un utente. Le vittime, quasi sempre ignare, sono spesso utilizzate come vettore di un progetto ancora più grande: ad esempio gli stalkerware possono essere utilizzati per controllare i computer personali dei dipendenti di un’azienda per poi aprirsi la strada nella rete aziendale.

Come ci si infetta

Solitamente lo stalkerware si insedia nei dispositivi sfruttando un’attività di phishing, facendo installare il malware con l’inganno. Una volta avvenuta l’installazione è tutto semplice per l’hacker che potrà connettersi al dispositivo e controllarne i messaggi, le chiamate, il GPS, etc.

In altri casi gli stalkerware si installano attraverso:

  • applicazioni di tracciamento;
  • applicazioni la cui funzione principale consiste nell’estrarre file in background;
  • applicazioni che hanno funzionalità di sorveglianza e spionaggio.

 Attualmente gli stalkerware più diffusi sono: AndroidOS.MobileTracker.a, AndroidOS.Cerberus.a, AndroidOS.Nidb.a

Si nota che non sono presenti nell’elenco voci relative ad iOs e ciò è dovuto principalmente al fatto che le installazioni ingannevoli hanno maggior diffusione nei dispositivi che hanno subito “jailbreak” o “root”. Di fatto lo stalkerware punta sulle debolezze del sistema di sicurezza informatico per far breccia nel dispositivo.

Come scoprire se si è infetti

In generale, i malware sono progettati per essere invisibili ma, attraverso la scansione con un antivirus aggiornato è possibile rimuovere la minaccia. Nel caso specifico in cui venga rilevato uno stalkerware è sempre consigliabile denunciare il fatto agli organi di polizia poiché molti dati personali trafugati potrebbero essere utilizzati per scopi malevoli.

Nel caso in cui lo stalkerware fosse presente su un dispositivo mobile è opportuno:

  1. controllare le autorizzazioni concesse alle app installate. Ad esempio, se l’applicazione “Scacchi” ha accesso alla posizione è potenzialmente sospetta;
  2. disinstallare le app non utilizzate;
  3. controllare la cronologia del browser. Se questa è vuota e non è stato l’utente ad eliminarla potrebbe essere stato un hacker;
  4. utilizzare una valida soluzione di sicurezza informatica.

Nel momento in cui si ha la consapevolezza di essere spiati bisogna valutare quello che l’aggressore ha potuto rubare e quali reazioni potrebbe avere (minacce, cyberviolenza, etc.) nonché denunciare il tutto alle autorità competenti. A tal proposito è conveniente non eliminare lo stalkerware per evitare di eliminare anche eventuali prove.

Per chi ne avesse bisogno o per chi è semplicemente curioso, si segnala il sito StopStalkerware dove è presente una lista di organizzazioni a cui rivolgersi.

Azioni concrete contro la cyberviolenza

Le minacce mostrate dagli stalkerware hanno portato alla fondazione della Coalition against Stalkerware che riunisce aziende di sicurezza, sviluppatori ed ex-vittime e che si pone come scopi quelli di:

  • informare ed educare gli utenti a riconoscere le minacce;
  • condividere le conoscenze tra aziende ed organizzazione;
  • migliorare la raccolta delle segnalazioni e aumentare le tecniche per neutralizzare gli attacchi.

 

Davide Sorrentino

Disegno di Stefano Mantella (Instagram)

 Bibliografia

[1] https://media.kasperskycontenthub.com/wp-content/uploads/sites/100/2020/03/25175212/EN_The-State-of-Stalkerware-2020.pdf

[2] https://www.ictedmagazine.com/index.php/edi2-4/170-lavorare-da-remoto-e-acquistare-dal-divano-i-pericoli-nell-era-del-coronavirus

[3] https://www.zeusnews.it/n.php?c=27704

 

Note

[1] Uno stalkerware è uno spyware più evoluto che permette di spiare un individuo per poi condizionare le scelte attraverso ricatti e altre condotte violente.

0
0
0
s2sdefault

Smart Auto: avanza la digitalizzazione ma quanto sono protette? di Davide Sorrentino

Abstract - L’evoluzione tecnologica e dell’intelligenza artificiale (IA) ha reso possibile avere a disposizione delle auto che possono “guidare da sole”. Inutile elencare i benefici, specie per chi non ama guidare o semplicemente è costretto a stressanti spostamenti ogni giorno. Ma siamo sicuri che tutta questa autonomia non si trasformi in un incubo per l’utilizzatore?

***

Le auto “che si guidano da sole” sono ormai realtà: online è possibile trovare centinaia di video in cui vedere i test dei prototipi costruiti da diversi produttori (Google, Tesla, etc.). I vantaggi sono innumerevoli ma gli svantaggi che si presentano, possono seriamente ostacolarne la diffusione. La presenza di sensori ed altre componentistiche sempre connesse in rete permettono all’utente di usufruire di interfacce che rendono più piacevole il viaggio ma allo stesso tempo possono fornire un accesso al sistema “veicolo” dall’esterno. Non di meno, bisogna pensare che un’auto connessa coinvolge più utenti (cioè i passeggeri) per cui la sua sicurezza deve essere ri-progettata partendo da zero.

Garantire la privacy, nel caso dei trasporti, significa anche tutelare la sicurezza fisica dei passeggeri, dei pedoni, dei ciclisti, delle altre vetture e di tutto quello che può esserci intorno al veicolo. A tal riguardo, il riferimento per i produttori del settore è dettato dalle linee guida (1/2020)[1] formulate dall’ European Data Protection Board, che fornisce indicazioni sul trattamento dei dati personali per i veicoli connessi e per le applicazioni relative alla mobilità.

Sostanzialmente, i quesiti su cui si dibatte animosamente sono due, uno giuridico ed uno tecnico.

Quesito Giuridico. In caso di incidente, indipendentemente dalla gravità, a chi è imputabile la responsabilità? Alla vettura, quindi al costruttore, o al conducente, che non è stato vigile?

Le normative statunitensi hanno cercato di rimediare fornire una risposta a tale quesito indicando come unico responsabile di eventuali incidenti il conducente. Avere un veicolo autonomo, infatti, prevede che vi sia a bordo sempre un conducente vigile ed attento a cosa accade intorno. (Anche se chi scrive ha molti dubbi a riguardo…)

Quesito Tecnico. Se si parla di vetture autonome significa che queste devono necessariamente essere connesse ed interconnesse con il mondo reale e digitale in tempo reale. Ma cosa accadrebbe se un malintenzionato prendesse il controllo del veicolo tramite un codice malevolo?

Costruire un veicolo immune agli attacchi informatici è un’utopia. La paura che l’auto possa essere controllata da una persona diversa dal conducente a bordo ha spinto tutti i produttori di vetture autonome ad enormi investimenti in sicurezza digitale. La presenza massiccia di sensori e di centraline necessarie per controllare ogni componente della vettura (ad. esempio lo sterzo, i freni, i fari, la chiusura di finestrini e portiere, etc.), rende il veicolo altamente esposto ad un possibile attacco cibernetico. Uno scenario altamente probabile potrebbe essere, ad esempio, il blocco totale dell’auto causato da un attacco ransomware[2] con la successiva richiesta di riscatto per poter accedere al veicolo stesso.

Ad avere i migliori risultati, attualmente, sono le grandi aziende innovative, in grado di sviluppare sistemi in grado di garantire la protezione prima dei dati e dei macchinari in fase di costruzione e poi del software presente a bordo dell’automobile. In ogni caso è fondamentale non limitarsi alla sicurezza presente su altri dispositivi, come smartphone e pc, ma riflettere sulle conseguenze causate da una falla nel sistema.

 

Davide Sorrentino

Ingegnere Elettronico

 

 

Sitografia

https://unsplash.com/photos/JdJrqv7BzhM

 

Note

[1] https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/guidelines-12020-processing-personal-data-context_en

[2] https://www.ictedmagazine.com/index.php/edi2-4/49-l-infezione-del-nuovo-millennio-il-ransomware

0
0
0
s2sdefault

Argomento