attacchi informatici – Pagina 2

Iran, attacco informatico ad acciaieria ha conseguenze molto reali

Questo articolo è disponibile anche in versione podcast audio.

Il 27 giugno scorso una delle più grandi acciaierie in Iran, la
Mobarakeh Steel Company (info su Wikipedia), ha vissuto momenti drammatici: stando a vari video non confermati ma
ritenuti attendibili, poco dopo che alcuni operai si erano allontanati da una
zona dell’impianto nella quale si lavorano grandi quantità di metallo fuso, si
è formata una enorme fiammata e il metallo incandescente si è riversato fuori
dai suoi contenitori, spandendosi nelle vicinanze in una luminosissima,
rovente cascata di scintille.

L’incidente merita attenzione perché tutto indica che si sia trattato di un
sabotaggio effettuato tramite un attacco informatico: un caso piuttosto raro
di conseguenze molto concrete, e potenzialmente fatali, di crimine digitale
che agisce direttamente sulle cose del mondo reale invece di limitarsi, si fa
per dire, a cancellare e danneggiare dati.

L’attacco è stato
rivendicato
su Telegram e Twitter da un gruppo che si fa chiamare
Predatory Sparrow (passero predatore). Il gruppo ha presentato come conferma
i video tratti dalle telecamere di sorveglianza interna dell’acciaieria e ha anche
pubblicato
una ventina di gigabyte di dati che dice di aver trafugato da questa e altre
due acciaierie iraniane che ha preso di mira. I media di stato iraniani hanno
fornito
conferme indirette
degli attacchi, ma hanno
dichiarato
che non ci sarebbero stati danni alle linee di produzione (Cyberscoop.com).

L’idea che un attacco informatico possa causare la fuoriuscita di colate di
metallo fuso dove lavorano gli operai è decisamente inquietante, ma non è la
prima volta che ci sono conseguenze fisiche molto gravi a seguito di
un’incursione digitale.

Sempre in Iran, nel 2010, il malware Stuxnet danneggiò
o distrusse le centrifughe dell’impianto di arricchimento dell’uranio di
Natanz (come ho raccontato in dettaglio nel
podcast del 9 luglio 2021). Nel 2014 l’autorità tedesca per la sicurezza informatica, la BSI, parlò di
gravi danni a un’acciaieria nazionale
causati da un attacco informatico basato sul phishing, senza però fornire
molti dettagli. E nel 2015 in Ucraina un’azienda che gestiva la rete elettrica
per la maggior parte del paese fu colpita da un attacco informatico che tolse
la corrente a 200.000 persone per varie ore.

Questi attacchi così devastanti avvengono raramente, per fortuna, ma sono gli
effetti più sensazionali di una tecnica di attacco molto diffusa ai danni
delle industrie: quella che consiste nel prendere il controllo dei sistemi di
comando remoto che gestiscono i grandi impianti e sabotarli in modo che questi
impianti vadano in avaria o causino danni.

I sistemi di controllo industriale
sono sempre più diffusi, perché costano meno e sono più precisi rispetto a una
squadra di addetti, che oltretutto spesso rischierebbero la propria
incolumità, e perché a volte non c’è altro modo per comandare gli impianti:
basti pensare ai macchinari che operano in condizioni che sarebbero fatali per
un operatore umano o che sono difficilmente accessibili, come le pale eoliche
o i ripetitori cellulari o radiotelevisivi in alta montagna. In questi casi il
controllo remoto è indispensabile.

Il problema nasce quando questi sistemi di controllo remoto non sono ben
protetti e vengono installati disinvoltamente, senza pensare troppo alle loro
implicazioni di sicurezza. Infatti se un impianto è accessibile da remoto da
parte dei suoi addetti, potrebbe essere accessibile tramite la stessa via
anche da parte di malintenzionati. Questi sistemi di controllo sono spesso
connessi via Internet, e molte aziende non si rendono conto che oggi esistono
motori di ricerca appositi, come
Shodan,
Binaryedge,
Zoomeye o
Censys, che permettono a chiunque di trovare
tipi specifici di dispositivi accessibili via Internet e di ottenere
informazioni sul loro funzionamento. Questi motori di ricerca esistono per
segnalare o prevenire violazioni di sicurezza, ma ovviamente sono utilizzabili
anche per trovare bersagli per attacchi.

Incidenti come quello iraniano sono spesso di matrice politica, e si sospetta
che dietro il gruppo Predatory Sparrow ci sia un governo che lo appoggia o
addirittura lo dirige. Questo sospetto è avvalorato, secondo alcuni addetti ai
lavori, dal fatto che il gruppo è stato molto attento a causare la fiammata
nell’acciaieria in un momento nel quale non c’erano addetti nelle vicinanze e
ha ribadito questa sua attenzione nelle rivendicazioni, e questo tipo di
scrupolo è caratteristico di organizzazioni che devono rispettare delle linee
guida politiche o governative, per esempio per causare danni strategici senza
essere viste negativamente perché hanno colpito degli innocenti.

Sia come sia, episodi drammatici come quello dell’acciaieria iraniana sono un
rumoroso campanello d’allarme per qualunque azienda che abbia sistemi gestiti da
remoto, in qualunque paese: è opportuno irrobustire le proprie difese, invece
di fare quello che fanno molti, ossia usare semplicemente Teamviewer senza
password perché tanto è comodo e si ritiene che se nessuno sa l’indirizzo IP
dell’impianto nessuno lo troverà mai. Shodan esiste proprio per questo, e ho
vissuto personalmente due casi nei quali un
generatore elettrico italiano
e una
mini-centrale elettrica francese
erano comandabili da remoto da chiunque, perché i loro gestori non si curavano
della sicurezza. Non è stato uno spettacolo rincuorante.

E anche se pensate che la vostra azienda non sia nel mirino dei gruppi
politici internazionali, esistono sempre il sottobosco del crimine
informatico, che è ben contento di chiedere riscatti per non sabotare i vostri
impianti, e anche il sotto-sottobosco, quello dei semplici vandali, quelli che causano
sabotaggi
for the lulz, ossia per puro, asociale divertimento. Forse è il caso di approfittare
della pausa estiva per fermarsi un momento a ragionare sulle proprie procedure
di accesso remoto e rinforzarle un pochino.

Fonti aggiuntive:
BBC,
The Cyberwire.

Vasche da bagno a rischio attacco informatico

2022-06-26
di Paolo Attivissimo
attacchi informatici, Internet delle cose, PodcastRSI, privacy

Di tutte le cose che possono essere prese di mira da un attacco informatico, la
vasca da bagno con idromassaggio sembrerebbe essere proprio l’ultima, ma è quello
che è successo di recente. Un ricercatore californiano di sicurezza informatica,
Eaton Zveare, ha trovato il modo di accedere via Internet ai dati personali
degli utenti delle vasche “smart” commercializzate da Jacuzzi e da altre marche
molto note del settore e prenderne il controllo.

Pochi giorni fa il ricercatore ha raccontato la bizzarra vicenda nel suo
sito: ha ordinato per sé una di queste vasche aggiungendo l’opzione, denominata
SmartTub, che aggiunge alla vasca un modulo ricetrasmettitore che usa
la rete cellulare per mandare informazioni a un’app che permette di comandare
a distanza la vasca, accendendo le luci, regolando i getti e la temperatura
dell’acqua, e così via. Lo so, può sembrare una funzione extralusso, ma sono oltre
10.000 le persone che hanno scaricato l’app
da Google Play e quindi, si presume, la usano.

Durante la configurazione dell’app, il ricercatore ha visto comparire sul suo
schermo per un attimo una tabella piena di dati. L’ha catturata usando uno
screen recorder per registrare quell’immagine fugace e ha scoperto che
si trattava di un pannello di controllo per amministratori, strapieno di dati di
utenti di vasche con idromassaggio di varie marche.

Da bravo informatico, ha approfondito l’indagine e ha scoperto che il pannello
di controllo era accessibile a chiunque senza immettere credenziali e
consentiva di vedere e modificare i dettagli dei proprietari delle vasche, con
nomi, cognomi e indirizzi di mail, e anche di disabilitare
completamente gli account.

In maniera molto responsabile, Eaton Zveare ha contattato il supporto tecnico
dell’app di Jacuzzi per avvisare l’azienda del problema. Ha ricevuto risposta
e ha fornito tutti i dettagli tecnici, ma poi non ha sentito più nulla per
mesi, mentre la falla rimaneva aperta. Ha dovuto tentare vari altri indirizzi
di contatto e infine rivolgersi alla società di sicurezza informatica Auth0,
che gestisce il sistema di accesso alle vasche da bagno “smart”, prima di
ottenere risposta. Un copione che chiunque lavori nella sicurezza informatica
ha già vissuto tante volte.

Ma alla fine, dopo sei mesi, la falla è stata chiusa, senza neppure un cenno
di riconoscimento o ringraziamento da parte della casa produttrice di vasche,
alla quale il ricercatore ha risolto gratuitamente un guaio che avrebbe potuto avere
conseguenze legali molto onerose. Anche questo silenzio fa parte del copione.

C’è di più. Secondo le leggi della California, dove ha sede la Jacuzzi, questa
fuga di dati dei clienti dovrebbe essere annunciata ai clienti stessi e
segnalata
alle autorità, ma finora non risulta che ci sia stato alcun annuncio o
segnalazione. Se questo è il modo in cui si gestiscono i dati degli utenti e i
comandi remoti dei loro elettrodomestici, forse conviene cercare
elettrodomestici che non siano così tanto “smart”.

Il misterioso attacco a Viasat finalmente spiegato in dettaglio da Viasat

All’inizio dell’invasione russa dell’Ucraina, il 24 febbraio scorso, una parte significativa delle comunicazioni militari ucraine è diventata impossibile a causa di un attacco informatico al sistema di telecomunicazioni satellitari di Viasat usato appunto dalle forze militari del paese. L’attacco ha avuto ripercussioni anche in altri paesi che usano Viasat, dal Regno Unito alla Repubblica Ceca al Marocco. Fra i sistemi colpiti dagli effetti collaterali dell’attacco ci sono anche circa 2000 pale eoliche in Germania. Non risultano interessate le compagnie aeree che usano i sistemi Viasat o i clienti Viasat del governo statunitense. I modem degli utenti colpiti sono stati resi inservibili.

ℹ️ Commercial satellite operator Viasat is investigating a suspected cyberattack that caused a partial outage of its KA-SAT network in Europe.

Network data indicate that the incident began on 24 February ~4 a.m. UTC and is currently ongoing 📉

📰 https://t.co/vsg9NA2V03 pic.twitter.com/vW8qQwF5TF

— NetBlocks (@netblocks) February 28, 2022

La vicenda è stata raccontata inizialmente dal Washington Post, da The Hill e in dettaglio da Ars Technica. Anche Wired.it ne ha parlato in questo articolo, indicando che sarebbero stati colpiti dall’attacco circa 27.000 utenti.

Oggi, finalmente, l’azienda direttamente interessata, Viasat, ha pubblicato il proprio resoconto dell’attacco, che spiega come si è svolto e quale punto debole dell’infrastruttura è stato sfruttato. La lettura è molto interessante, perché mostra un modo poco hollywoodiano e per nulla intuitivo di portare alla paralisi una rete di telecomunicazioni satellitari. Non c’è bisogno di “hackerare il satellite” se qualcuno configura maldestramente un accesso VPN al sistema di gestione della rete a terra e da lì qualcun altro manda comandi ai modem degli utenti, inducendoli a sovrascrivere le proprie memorie flash e diventare incapaci di ricollegarsi.

Lo scenario più plausibile è un attacco da parte russa o di affiliati o simpatizzanti del governo russo, ma al momento non ci sono prove.

Aggiornate immediatamente i vostri dispositivi Apple: sono usciti aggiornamenti d’emergenza

2021-11-27
di Paolo Attivissimo
aggiornamenti software, Apple, attacchi informatici, iPad, iPhone, MacOS, PodcastRSI, ReteTreRSI

Se avete un dispositivo Apple di qualunque genere (iPhone, iPad, Mac e Apple
Watch), aggiornatelo subito. Apple ha rilasciato il 13 settembre degli aggiornamenti
d’emergenza per bloccare due vulnerabilità, una delle quali consente di mettere a segno un
attacco invisibile sui suoi dispositivi senza richiedere alcuna azione da parte della vittima.

L’attacco consente di attivare telecamere e microfono, registrare messaggi,
SMS, mail e chiamate vocali (comprese quelle cifrate con app come Signal).

La versione 14.8 di iOS/iPadOS, la versione 11.6 di macOS, la versione 14.7 di
tvOS e la versione 7.6.2 di watchOS risolvono il problema.

Apple ha informazioni sulle falle e sugli aggiornamenti correttivi presso questi URL:

https://support.apple.com/it-it/HT201222
(come scaricare gli aggiornamenti in generale)
https://support.apple.com/it-it/HT212807
(iOS e iPadOS)
https://support.apple.com/en-us/HT212804
(macOS Big Sur)
https://support.apple.com/HT212805 (macOS Catalina)
https://support.apple.com/HT212808 (Safari 14.1.2 per macOS Catalina e Mojave)
https://support.apple.com/en-us/HT212806
(watchOS)

La prima vulnerabilità, denominata CVE-2021-30860 e battezzata FORCEDENTRY, è stata
scoperta da Citizen Lab, un noto gruppo canadese di attivisti per la privacy e la sicurezza digitale, riguarda iMessage e viene sfruttata per esempio per iniettare un malware,
denominato Pegasus, che è stato sviluppato dalla società israeliana NSO
Group ed è già stato usato per penetrare negli iPhone di vari attivisti
politici in modo completamente invisibile.

L’attacco, spiega
Citizen Lab, viene lanciato semplicemente mandando un SMS alla vittima. L’SMS contiene
un allegato che ha l’estensione GIF ma è in realtà un PDF malformato. Questo
PDF malformato causa un crash di IMTranscoderAgent sul dispositivo
(dovuto a un integer overflow nella libreria CoreGraphics di rendering
delle immagini), e il crash consente l’esecuzione di codice malevolo sul
dispositivo attaccato.

La seconda vulnerabilità, denominata CVE-2021-30858, riguarda WebKit, il motore di rendering di Apple, usato da Safari e da quasi tutte le app che visualizzano contenuto HTML, ed è sfruttabile per eseguire codice sul dispositivo della vittima.

Anche se non siete dissidenti o attivisti, il fatto che esistano queste
vulnerabilità è ora di dominio pubblico e quindi è presumibile che verranno
sfruttate anche dalla criminalità informatica comune per attacchi su bersagli
meno sensibili. In altre parole, per colpire anche utenti comuni.

Preparatevi a una certa attesa, perché tutti stanno scaricando gli
aggiornamenti ed è prevedibile che i server di Apple siano leggermente
sovraccarichi.

Fonti aggiuntive:
TechCrunch, Sophos,
Ars Technica,
New York Times.

Qualcuno sta cancellando i dati dai dischi My Book Live di Western Digital connessi a Internet. Scollegateli

2021-11-27
di Paolo Attivissimo
attacchi informatici, PodcastRSI, ReteTreRSI

Ultimo aggiornamento: 2021/07/04 11:10.

Da alcuni giorni, chiunque abbia un disco rigido esterno My Book Live o My
Book Live Duo della Western Digital sta sudando freddo. Qualcuno, non si sa
bene chi, sta prendendo il controllo via Internet di questi dischi e li sta
azzerando (facendo un factory reset da remoto).

Visto che questi dischi rigidi vengono usati per conservare grandi quantità di
dati, per molti utenti il risultato è
catastrofico:
perdita
di tutti i documenti digitali, di tutte le foto e i video di famiglia, di
tutta la musica e altro ancora.

Fra gli utenti che stanno sudando freddo ci sono stato anch’io, visto che ho
ancora un paio di questi dischi e li uso come archivi temporanei (circa 9
terabyte in tutto, spesso piuttosto pienotti).

Il
consiglio
di Western Digital è stato molto drastico:
scollegare immediatamente questi dischi da Internet. Punto. Si tratta infatti di
dischi rigidi dotati di porta Ethernet al posto delle consuete porte USB, che
si collegano alla rete locale e fanno da archivio condiviso per tutti i
dispositivi presenti sulla rete. Possono essere configurati in modo da
affacciarsi a Internet e quindi essere consultabili o gestiti via Internet, a
patto di conoscerne la password di amministrazione. Ma qualcuno ha trovato il
modo di scavalcare questa protezione e devastarli. Brrr.

L’azienda precisa che il problema riguarda soltanto i suoi dischi della serie
My Book Live e non i suoi prodotti successivi. Aggiunge inoltre che non
fornirà aggiornamenti che correggano le due falle software (CVE-2018-18472
e
CVE-2021-35941) che consentono queste cancellazioni di massa. Noterete che una di queste
falle è nota dal 2018; fra l’altro, colpisce anche alcuni modelli di altre marche, come NetGear, SeaGate e Medion.

In alcuni casi, Western Digital offrirà a chi ha perso dati dei servizi
gratuiti di recupero dati e degli sconti di permuta (trade-in) con
altri dischi rigidi analoghi più recenti. L’azienda fa
notare
che i dischi vulnerabili sono stati messi sul mercato nel 2010 e hanno
ricevuto il loro ultimo aggiornamento firmware nel 2015. In altre parole, sono
obsoleti e non più supportati.

L’unico rimedio per chi, come me, ha ancora questi dischi è isolarli da
Internet, impostandoli in modo che non siano accessibili da fuori della rete
locale (niente port forwarding o simili). Questo non protegge da
eventuali attacchi locali (o anche remoti, messi a segno attaccando prima
qualche altro dispositivo che faccia da testa di ponte sulla rete locale), ma
è meglio di niente. E ovviamente conviene fare una copia di scorta (fisicamente isolata) dei dati presenti su questi dischi.

La tecnica di attacco è stata scoperta: l’aggressore trova un disco rigido My
Book Live accessibile via Internet (con un port scanning) e usa una
delle due vulnerabilità per scavalcare la password e installare un
trojan, mentre l’altra vulnerabilità viene usata successivamente per
azzerare il disco tramite uno script.

Sappiamo anche che la falla che consente di eseguire l’azzeramento senza
digitare password è
colpa di Western Digital: infatti uno dei suoi sviluppatori ha
commentato via le righe di codice che proteggevano con la password il
comando di reset. Un errore madornale e imperdonabile.

Quello che resta da capire è chi abbia scatenato questo attacco, e soprattutto
perché: manca infatti un movente. Non viene chiesto un pagamento, non vengono
sottratti dati. È pura e semplice distruzione, una cosa rara in questi tempi
di attacchi informatici motivati sistematicamente dal denaro.

Una
teoria
è che le vittime di questi attacchi si siano trovate coinvolte in una lotta
fra due gruppi di criminali informatici che si contendevano il controllo di
questi dischi rigidi. Uno dei gruppi, secondo questa teoria, aveva preso il
controllo di un grande numero di dispositivi My Book Live per trasformarli in
una botnet (un esercito di dispositivi comandabili a distanza e usabili
per altri attacchi). L’altro gruppo avrebbe cercato di rubare il controllo di
questa botnet.

Ars Technica
approfondisce gli aspetti tecnici di questa teoria, se volete saperne di più.
Quello che conta è che quel disco rigido che molti di noi tengono sulla
scrivania, silenzioso e apparentemente innocuo, è in realtà un probabile
teatro di guerra fra bande informatiche rivali.

“Green pass” falsi in vendita tramite il sistema italiano, dice il venditore

2021-11-05
di Paolo Attivissimo
attacchi informatici, coronavirus, frodi

Su un noto forum di hacking è comparsa un’offerta di “green pass” falsi che
sarebbero prodotti usando un accesso a un sistema italiano, identificato nelle
schermate come “Cartella Sole” (wssole.regione.progetto-sole.it)
dell’Emilia-Romagna.

L’offerta è scritta in inglese maccheronico e in italiano quasi completamente
corretto ma non idiomatico.

Lascio in chiaro l’indirizzo di mail del sedicente venditore perché tanto
l’offerta è facilmente reperibile con un motore di ricerca e la pubblicazione
potrebbe facilitare il lavoro delle autorità, oltre a consentire di ostacolare
l’attività del venditore con un flooding delle sue caselle di mail.

ENGLISH:
– I sell Green Passes by registering directly from the Italian health system
“Cartella Sole” and “ASL”.-
The price amounts to 150EUR, I only accept
Bitcoin payment.

I only comunicate via this two MAIL:

seriously3@onionmail.org
seriouslyy@onionmail.org

I am new online and have always sold to patients of a doctor.
Want more info? I’ll answer in this thread or via PM.
Please don’t ask for discounts lol.

As proof I have access to the panel, here is the screenshots:

[omissis]

Warning: Don’t lose my time asking stupid questions and don’t write random
commets about scam and shit only because you want it for free or because you
sell my same service, i already sold a lot of GP all over the world and i
have proof of it, about all the conversation with the customers.

ITALIAN:

– Vendo Green Passes registrandomi direttamente dal Sistema sanitario
italiano “Cartella Sole” e “ASL”.-
Il prezzo ammonta a 150EUR, accetto
solo pagamenti Bitcoin.

Io comunico SOLO tramite queste due MAIL:

seriously3@onionmail.org
seriouslyy@onionmail.org

Sono nuovo online e ho sempre venduto ai pazienti di un medico.
Vuoi maggiori informazioni? Risponderò in questo thread o tramite PM.
Si prega di non chiedere sconti lol.

Come prova ho accesso al pannello, ecco gli screenshot:

[omissis]

Attenzione: non perdere il mio tempo a fare domande stupide e non scrivere
commenti casuali sul fatto che sia truffa e cazzate solo perché lo vuoi
gratuitamente o perché vendi il mio stesso servizio, ho già venduto un sacco
di GP in tutto il mondo e ne ho la prova, su tutte le conversazioni con i
clienti.

Va detto che il modus operandi di questo aspirante criminale (o troll)
non è particolarmente brillante: pubblicare queste offerte in forum
notoriamente monitorati, con tanto di indirizzo di mail facilmente tracciabile
e schermate che identificano il sistema usato, significa lasciare una pista
diretta che porta a casa sua.

Le schermate mostrate dall’offerente sono infatti queste e credo che
contengano informazioni sufficienti a consentire agli inquirenti di
identificare l’incosciente che sta mettendo a rischio tutti con questa frode:

Anche questo caso sembra indicare una violazione a basso livello del sistema (uso illecito da parte di un addetto o di qualcuno che simula di essere un addetto) e non un furto delle chiavi crittografiche di generazione dei “green pass”.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle
donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere
ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o
altri metodi.

Ministero della Salute italiano violato, password in chiaro? Primo punto della situazione

2021-11-03
di Paolo Attivissimo
attacchi informatici, hacking, sicurezza informatica, violazioni di siti

Ultimo aggiornamento: 2021/11/03 10:50.

Il 2 novembre scorso Andrea Draghetti di D3Lab ha
segnalato un annuncio, pubblicato il giorno precedente su un noto forum di hacking, secondo il
quale il sito del Ministero della Salute italiano sarebbe stato violato.

⚠️🚨🚨⚠️

“Italy’s Ministery of Healthcare hacked and Blackmails
WhiteHat”

ℹ️ A user claims to have violated the Italian Ministry
of Health (Ministero della Salute)!

😱 To prove it publishes an
extract of the Apache LOGs, that also contain CLEAR passwords and a curious
story… pic.twitter.com/ev4WjtRelz

— Andrea Draghetti 👨🏻‍💻 🎣 (@AndreaDraghetti)
November 2, 2021

L’autore della violazione ha portato come prove un estratto dei log di Apache
che fa riferimento a nsis.sanita.it e contiene login e password in chiaro (nella forma Ecom_User_ID=ID[omissis]&Ecom_Password=[omissis]).

Le prove sono accompagnate da un racconto molto
bizzarro, che accusa i tecnici del Ministero di aver falsificato delle mail a
nome di “giudici del Ministero della Giustizia” [sic] e di averle usate per minacciare
chi aveva segnalato ai tecnici la vulnerabilità del sito, per farlo tacere. Ci
sono di mezzo, secondo l’autore, anche degli accessi ai vaccini. Accusa
gravissima che al momento, sottolineo, non è confermata.

Una persona addetta ai lavori mi ha invece confermato che la violazione del sito del Ministero della Salute è reale. Un’altra fonte, in attesa di conferme, mi ha segnalato che il 13 ottobre ci sarebbe stato un reset generale delle password del sito.

Le password contenute nel dump sono di questo genere (ometto per sicurezza alcuni caratteri e gli userid corrispondenti):

FAJKSKSF***
f2a***
a2g2ga***
ads**
Acquamarina**
Vaccini.20******
Appell***
Ekibio20***
Gabriel***
Gambuzzel****
Boletus*****

Come sempre, se qualcuno ha ulteriori informazioni, il mio Signal è aperto alle
coordinate che trovate nella barra laterale di questo blog.

Qui sotto riporto pari pari il racconto bizzarro pubblicato dall’autore della violazone,
senza per questo voler dare particolare credito alla sua storia.
Segnalazioni-vanteria di questo genere sono frequentissime e spesso false; se
non avessi ricevuto una conferma della violazione da una fonte attendibile non avrei nemmeno segnalato questo annuncio.

Long story of how this happened:

I’m online writing a script for some 0’s i wanna test, here comes a contact
asking me if i could get vaccines, asks for EU, he specifically asked for
Italy.
I thought “No problem” italian devs are chimps, it will be ez if it all works
by web.
I did not think it would be THAT ez, after less than 1h i found a hole and it
took me 8 hours to have complete control over the DB’s, Linux shell with 90%
privilege (and i had 0 knowledge of the underlying infostructure or system
lmao) .
I got some credentials, gave the vaccine to my friend and started getting to
know better the system,
low and behold,
there was access to too much critical infostructure, I could’ve made people
arrested by cancelling their vaccines, i could’ve get data about shipments,
containers, anything ANYTHING healthcare related, i had access to 100%, mail
servers, bla bla bla, 100% pwned.

Due to there being too much critical info-structure and not having any fitting
operation to do with it, i decided to pay a jabber advert and find a buyer.

I get contacted by a guy,
he asks screenshots
tells me that hes starting a cyber sec company and he would like to buy it
(the access) to report it,
i tell him to not do it because in Italy they are chimps and he is only
wasting money,
he ignores me and keeps asking for the access
i sell him the accesses for 15k$ in monero
he contacts the technicians to report it, tells them his name and company
> technician tells they were not aware of the hack and it was not possible
(they were hacked from 7 days~ already, they are most surely not able to do
their job) they asked him to send proofs by email, he asks me proofs and he
forwards them to the ‘technicians’
> one day goes by, then they write to him an email asking more information
and more about a possible “partnership”
> they stop answering
> my client sends them an email asking to notify everyone (millions) as per
GDPR law of the breach,
> (the technicians department of the Ministery of Healthcare people) start
forging emails with Ministery of Justice Judges names people and they
blackmail him
1) The technicians did not lawfully oblige to disclose breaches as per GDPR
european law.
2) They blackmailed a whitehat security researcher by email with fake
names,
3) They blackmailed him on instagram (WTF)
4) They removed a page thinking it would fix the problem, instead of hiring
someone professional. they are still vulnerable.
By not going trough the official and right way, they have achieved shitting on
any law and leaving one of the most if not the most critical infostructure
vulnerable.

tl;dr
Don’t target Italian systems because they are poor retarded chimps, this poor
guy wasted 15k in hope to, since millions of people and the most critical
info-structure got hacked, he thought that by reporting it they would then
publish a statement of breach to notify the millions involved and quote his
company for notifying them.
He learned the hard way Italy is not a country but instead a mafia,
since I’ve never heard of a legit country like Germany or Denmark Ministery
being notified of a breach and blackmailing the person that let them know it
for this information to not become public.

btw i spoke with him (my customer) and he told me so today, he told me that “I
attempted writing to the Media and got no response, I attempted disclosing it
to the technicians and i got blackmailed, i got no use of this anymore i
consider my money wasted, do as you please with it”
so, take this as a reminder from a BH to both WH and BH’s onhere, don’t work
with Italy, let them be abused and die as a country, because surely they don’t
have a system that is worth defending (nor pwning).

List of the DUMP:
SAML Keys:
[omissis]

Authentication Cerfiticates:
[omissis]

[16:52] [server1.[omissis].me var] # cat accounts.log
[omissis]

Conclusion Thoughts.

The servers were vulnerable from 11+ Years already,
there was no monitoring of any kind, I did not delete any log or hidden my
access in any way as my customer had asked as he would’ve preferred to report
it and showcase there was no malicious intent, rather, just report it and get
a deal written.
There was no security, it got hacked in 8 hours.
Governative servers are rented on the same subnets, due to dumped keys, I
think it’s very much possible You could query the other DB’s, other just than
the Healthcare one, aka Police etc, so was not done since when I thought of
this i had already sold the access and he requested for no damage or further
compromise to be done.

In Italy the Tax is 40% (1-time, or 80% if you count also buying it and
reselling it), just imagine going to work 40% of your working day EVERY DAY to
pay people salary for 12 Years for them to do NOTHING, do not setup any
security, get hacked in 8h, instead of following laws and notifying everyone
go out of their way to blackmail the white hat guy.
When even the people in the state start doing unlawful things, You might start
to wonder if such state should exist.
From today I surely deem Italy no longer a state but rather a Mafia.

Il Registro Elettronico di Axios Italia, usato da molte scuole italiane, è kaputt per attacco ransomware

2021-04-10
di Paolo Attivissimo
attacchi informatici, cloud, Effetto Streisand, EPIC FAIL, ransomware

Ultimo aggiornamento: 2021/04/10 22:40.

“RE è basato su altissimi standard di sicurezza, i nostri server sono tutti
in Italia (Arezzo), tutte le connessioni sono effettuate tramite il
protocollo HTTPS e crittografia SSL con certificato dei più importanti CA al
mondo: Verisign Symantec e GeoTrust. Ma non basta, prima di essere inviati
tutti i dati sono crittografati a priori e questa tecnologia, unica nel suo
genere, raddoppia le garanzie di sicurezza rendendo RE sicuro come nessun
altro.”
Così scriveva Axioscloud.it, il sito che ospita il Registro Elettronico di
molte scuole italiane (circa il 40%, secondo
ANSA). Sito che ora è
irraggiungibile.

Un attacco ransomware ha infatti buttato giù il sito
“sicuro come nessun altro” e
“basato su altissimi standard di sicurezza”. Questo è uno screenshot di
com’era prima dell’attacco,
come si può vedere su Archive.org.

Secondo
Quotidiano Piemontese, il problema è iniziato sabato 3 aprile ed è poi peggiorato. Il quotidiano
pubblica uno screenshot di Axios Italia che dice di stare
“lavorando alacremente con l’obiettivo di rendere disponibili tutti i
servizi web entro pochi giorni”.

Su Facebook,
Axios Italia ha
dichiarato
inizialmente (3 aprile) che si trattava di un
“improvviso malfunzionamento tecnico occorso durante la notte” che
avrebbe
“reso necessario un intervento di manutenzione straordinaria”. Lo
stesso risulta dalla
copia salvata su Archive.org
il 5 aprile.

Oggi (5 aprile) l’azienda ha
scritto, sempre su Facebook, che
“a seguito delle approfondite verifiche tecniche messe in atto da Sabato
mattina in parallelo con le attività di ripristino dei servizi, abbiamo
avuto conferma che il disservizio creatosi è inequivocabilmente conseguenza
di un attacco ransomware portato alla nostra infrastruttura. Dagli
accertamenti effettuati, al momento, non ci risultano perdite e/o
esfiltrazioni di dati. Stiamo lavorando per ripristinare l’infrastruttura
nel più breve tempo possibile e contiamo di iniziare a rendere disponibili
alcuni servizi a partire dalla giornata di mercoledì. Sarà nostra cura
tenervi costantemente aggiornati.”

Gli stessi messaggi sono presenti attualmente sul
sito di Axios Italia.

Fonti confidenziali mi segnalano una situazione piuttosto pesante. Non
pubblico altri dettagli, per il momento, in attesa di conferme e riscontri:
sarebbe utile che Axios facesse una dichiarazione pubblica sullo stato dei
backup, su quale infrastruttura sia stata compromessa e su eventuali negoziati
con gli autori dell’attacco. Comunque stiano le cose, temo che per il DPO di
Axios il ritorno dalle ferie di Pasqua sarà piuttosto impegnativo.

2021/04/06 13:10. Secondo la mail inviata da Axios alle scuole,
l’azienda è stata informata dell’attacco ransomware da parte del servizio di
sicurezza di Aruba intorno alle due del mattino del 3 aprile e il
disaster recovery avrebbe mitigato i danni. L’amministratore unico di
Axios Italia, Stefano Rocchi, dice a
Giornalettismo
che è stato “deciso di non pagare alcun riscatto”.

2021/04/08 13:00. Al momento in cui scrivo questo aggiornamento il
Registro Elettronico è ancora offline; redemo.axioscloud.it mi risponde
con un timeout. Il
sito di Axios Italia
ospita ora un’informazione più dettagliata (screenshot qui sotto, cliccabile
per leggerlo), che invita a consultare una comunicazione (PDF). Questa comunicazione dice, fra le altre cose, che
“I dati personali gestiti non sono stati persi/distrutti e non vi è stata
alcuna visione/estrapolazione indebita”
e che
“Le misure di sicurezza adottate, incluse le soluzioni di Disaster
Recovery, nonostante un “attacco brutale con finalità estorsive” similare a
quello ricevuto recentemente da multinazionali (esempio ACER), hanno
consentito di preservare i dati gestiti nel rispetto della normativa
privacy.”

Intanto la notizia è ormai riportata da molti siti e giornali (Cybersecurity360,
Punto Informatico,
Giornalettismo, per fare qualche esempio) e mi è arrivata una diffida dall’avvocato di
Axios, alla quale ho risposto per quanto riguarda gli aspetti tecnici
ricordando inoltre l’inevitabile Effetto Streisand.

2021/04/08 22:00. Come segnalato nei commenti, quella del 3 aprile 2021
non è la prima aggressione informatica che colpisce il Registro Elettronico di
Axios Italia; il 9 aprile 2020 era stato bloccato da un attacco DDOS,
riferiscono per esempio
Repubblica
e
RAI.

2021/04/10 22:40. Axios ha dichiarato, sul proprio sito, quanto
segue:

Gentili Clienti,
siamo lieti di comunicarVi che sono tornati online il
Registro Elettronico, le funzionalità per le famiglie ed ulteriori servizi.
Stiamo
inoltre continuando a monitorare la corretta funzionalità di tutti i sistemi
ripristinati.
Vi ringraziamo ancora per la vicinanza e la pazienza
dimostrata in questi giorni.

Continueremo a mantenerVi
costantemente aggiornati sugli sviluppi.

10/04/2021 – Ore 18:05

Florida, impianto di depurazione delle acque “hackerato” con rischio di avvelenamento di massa. Sicurezza sottozero

2021-02-12
di Paolo Attivissimo
attacchi informatici, falle di sicurezza, Internet delle cose, ReteTreRSI, Shodan

C’è parecchio clamore intorno alla notizia che aggressori informatici ignoti sono entrati via Internet nei sistemi di controllo di un impianto di trattamento delle acque a Oldsmar, in Florida, e ne hanno alterato i valori delle sostanze chimiche immesse per la depurazione, con conseguente rischio di avvelenamento della popolazione servita dall’impianto (circa 15.000 residenti).

Il Tampa Bay Times riferisce che uno degli addetti all’impianto stava monitorando i sistemi quando ha visto che il cursore del mouse si stava muovendo da solo e che qualcuno lo stava usando per cambiare la quantità di idrossido di sodio (soda caustica) da 100 parti per milione a 11.100 parti per milione. L’operatore ha subito ripristinato il valore originale. La vicenda viene ora investigata dall’FBI oltre che dalle autorità locali.

A prima vista sembrerebbe un attacco molto sofisticato, opera di terroristi o altri grandi malfattori. Ma leggendo il resoconto ufficiale delle autorità emerge un quadro ben diverso: gli intrusi sono entrati facilmente perché la gestione remota dell’impianto usava un semplice TeamViewer che permetteva di accedere a tutti i computer usando la stessa password di accesso remoto, e i computer erano collegati direttamente a Internet senza alcuna protezione (firewall o simili). Inoltre tutti i computer erano connessi al sistema SCADA di gestione dell’impianto e usavano ancora Windows 7.

Come se non bastasse, l’impianto aveva smesso di usare TeamViewer sei mesi fa, ma l’aveva lasciato installato.

Insomma, un disastro annunciato. Probabilmente si tratta di un ex dipendente oppure di qualcuno che pigramente ha usato i motori di ricerca che trovano gli impianti lasciati aperti online, come Shodan, e fra i tanti honeypot (trappole) ha trovato quel bersaglio assurdamente facile.

Se avete impianti di qualunque tipo comandabili da remoto, pensate alla sicurezza; aggiornateli, usate password robuste e differenti, e non lasciate tutto spalancato sperando che nessuno vi trovi. Esistono motori di ricerca appositi: vi troveranno. Non fate come quell’impianto idrico italiano che è rimasto aperto e visibile per mesi nonostante le mie segnalazioni.

Fonti aggiuntive: The Verge, AP.

Ho-mobile ammette la violazione dei dati dei clienti

2021-01-04
di Paolo Attivissimo
attacchi informatici, home banking, telefonini

Ultimo aggiornamento: 2021/01/04 14:00.

La presunta violazione dei dati personali degli utenti Ho-mobile
segnalata
a fine dicembre 2020 non è più presunta. Stamattina Ho-mobile ha pubblicato
questo comunicato (copia permanente),
che stride un po’ con le sue
dichiarazioni iniziali
al Corriere di non avere
“evidenze di accessi massivi ai propri sistemi informatici […]”:

HO. MOBILE DENUNCIA ATTIVITA’ ILLECITA DI IGNOTI
SU DATI DI UNA PARTE DELLA PROPRIA BASE CLIENTI

Nessuna sottrazione di dati di traffico,
né bancari o relativi a
sistemi di pagamento

Innalzati i livelli di sicurezza

Stretta collaborazione con le autorità inquirenti

COVID-19 ha intensificato i crimini informatici

Milano 4 gennaio 2021 – ho. Mobile, come dichiarato ufficialmente lo scorso
28 dicembre, ha avviato indagini in collaborazione con le Autorità
investigative su presunte sottrazioni di dati dei suoi clienti di telefonia
mobile.

Dalle ulteriori verifiche effettuate, che sono tuttora in corso, emerge che
sono stati sottratti illegalmente alcuni dati di parte della base clienti
con riferimento solo ai dati anagrafici e tecnici della SIM. L’azienda
comunica che non sono stati in alcun modo sottratti dati relativi al
traffico (sms, telefonate, attività web, etc.), né dati bancari o relativi a
qualsiasi sistema di pagamento dei propri clienti.

ho. Mobile denuncia tale attività illecita a danno dei propri clienti e
comunica di aver già sporto denuncia alla Autorità inquirente e informato il
Garante della Privacy, con i quali sta lavorando in stretto contatto.

Purtroppo anche ho. Mobile, come numerose altre aziende, è rimasta vittima
di attacchi informatici che si sono intensificati e accelerati durante la
pandemia.

In queste ore stiamo procedendo ad informare solo i clienti ho. Mobile
coinvolti, e abbiamo già attivato ulteriori e nuovi livelli di sicurezza per
mettere la clientela al riparo da potenziali minacce. Ulteriori azioni a
protezione dei dati sottratti sono in corso di implementazione e verranno
comunicate ai clienti.

Qualora i clienti vogliano comunque procedere alla sostituzione della
propria SIM, potranno richiederne la sostituzione gratuita presso i punti
vendita autorizzati.

Stiamo assistendo a diversi fenomeni speculativi sui social network e
pertanto invitiamo i clienti a verificare direttamente con i canali
ufficiali di ho. Mobile (sito, app , call center) ogni informazione ed
eventuale esigenza di supporto.

Domande Frequenti

Quali dati sono stati sottratti?

Dalle ulteriori verifiche effettuate, che sono tuttora in corso, emerge
che sono stati sottratti illegalmente alcuni dati di parte della base
clienti con riferimento ai soli dati anagrafici (nome, cognome, numero
di telefono, codice fiscale, email, data e luogo di nascita, nazionalità
e indirizzo) e tecnici della SIM. NON sono stati in alcun modo sottratti
dati relativi al traffico (telefonate, SMS, attività web, etc.) né dati
bancari o relativi a qualsiasi sistema di pagamento dei propri clienti.

Come faccio a sapere se i miei dati sono stati sottratti?

Riceverai una comunicazione dedicata in caso tu sia stato coinvolto.

Ho attivato la ricarica automatica. I miei dati bancari sono stati
sottratti?

No, non sono stati in alcun modo sottratti dati relativi al traffico
(telefonate, SMS, attività web, etc.) né dati bancari o relativi a
qualsiasi sistema di pagamento dei clienti.

Voglio sostituire la mia SIM, come faccio?

Puoi recarti presso uno dei nostri rivenditori autorizzati e richiedere
il cambio della SIM gratuitamente portando con te la SIM attuale
e un documento di identità valido. Trova il negozio più vicino a te su
https://www.ho-mobile.it/trova-negozio.html

Non voglio/posso andare in negozio. Potete spedirmi la SIM?

Il processo di sostituzione SIM richiede riconoscimento fisico del
cliente, pertanto non possiamo in questo momento spedirti la SIM. Puoi
recarti presso uno dei nostri rivenditori autorizzati e richiedere il
cambio della SIM gratuitamente portando con te la SIM attuale e
un documento di identità valido. Trova il negozio più vicino a te su
https://www.ho-mobile.it/trova-negozio.html

Come già segnalato nell’articolo precedente, Cybersecurity360.it ha vari
consigli tecnici specifici
sulle misure di prevenzione che potete adottare.

Alcuni utenti Ho-mobile mi hanno girato il testo dell’SMS che hanno ricevuto
poco fa (2021/01/04 13:50) dall’operatore:

Ti scriviamo per informarti che purtroppo ho. Mobile, come numerose altre
aziende, e’ rimasta vittima di crimini informatici che si sono intensificati
durante la pandemia. Da analisi approfondite, tuttora in corso e in stretta
collaborazione con le Autorita’ inquirenti, e’ emerso che e’ stata sottratta
illegalmente una parte dei tuoi dati con riferimento solo ai dati anagrafici e
dati tecnici della tua SIM. Non c’e’ stata alcuna sottrazione di dati di
traffico (telefonate, SMS, attivita’ web, etc.) ne’ di dati bancari o relativi
ai tuoi sistemi di pagamento. Abbiamo immediatamente attivato ulteriori e
nuovi livelli di sicurezza per mettere tutti i clienti al riparo dalla
minaccia di potenziali frodi. Potrai comunque richiedere in qualsiasi momento
la sostituzione gratuita della SIM presso i punti vendita autorizzati ho.
Mobile. Per maggiori dettagli vai su ho-mobile.it/comunicazione.

Altri utenti mi segnalano una variante dell’SMS che parla di “dati anagrafici e
dati tecnici (ormai obsoleti) della tua vecchia SIM” (in grassetto le parole aggiunte) e omette tutta la parte “Abbiamo immediatamente attivato ulteriori e
nuovi livelli di sicurezza per mettere tutti i clienti al riparo dalla
minaccia di potenziali frodi. Potrai comunque richiedere in qualsiasi momento
la sostituzione gratuita della SIM presso i punti vendita autorizzati ho.
Mobile.”.