Vai al contenuto
Titoli da panico per il "massiccio attacco hacker" in Italia: i dati concreti

Titoli da panico per il “massiccio attacco hacker” in Italia: i dati concreti

Ultimo aggiornamento: 2023/02/09 22:20.

Scrive
Rainews:
“Agenzia per la cybersicurezza: “E’ in corso un massiccio attacco
hacker”
I tecnici dell’Agenzia hanno già censito “decine di sistemi
nazionali verosimilmente compromessi e allertato numerosi soggetti i cui
sistemi sono esposti ma non ancora compromessi”””.

Come al solito, siccome in tante redazioni linkare le fonti è considerato un
abominio, non viene riportata l’indicazione più importante, ossia
l’informazione tecnica del CSIRT. È
qui. E dice una cosa che Rainews ha tralasciato di mettere in evidenza:
la falla di VMware ESXi sfruttata per l’attacco è stata corretta dal vendor
due anni fa.

No, dico, due anni fa. L’avviso del CSIRT lo dice chiaramente: “vulnerabilità
CVE-2021–21974
– già sanata dal vendor nel febbraio 2021”.

Parliamoci chiaro: se non patchi un sistema da due anni e per di più lo esponi
direttamente a Internet, prendi una canna da pesca e smetti di fare danni,
perlamordiddio.

E per favore piantiamola con i titoli sensazionalisti: il titolo corretto,
qui, non è “È in corso un massiccio attacco hacker” ma
“Imbecilli non aggiornano da 2 anni computer esposti a Internet, si beccano
quello che si meritano”.

Gli anglofoni hanno un modo di dire perfettamente azzeccato per queste
occasioni: FAFO. Fuck around, find out. Ossia, grosso modo,
“Fai una cretinata, scoprine le conseguenze”.

Se vi interessano i dettagli tecnici, BleepingComputer ha pubblicato un ottimo
articolo
in proposito; Censys ha un
elenco dei server colpiti; e qui ci sono istruzioni per proteggere i
server e per tentare il recupero dei file cifrati dal ransomware.

Secondo Censys, in Italia i server colpiti (non quelli vulnerabili, ma quelli
che sono già stati infettati) sono almeno una
ventina; in Svizzera sono più o meno altrettanti.

Ho parlato della vicenda a Teleticino (video) e a Radio Radicale (registrazione audio).

La nota del governo italiano è molto netta (evidenziazioni mie): “L’aggressione informatica, emersa già dalla serata del 3 febbraio e
culminata ieri in modo così diffuso, era stata individuata da ACN [Agenzia per la Cybersicurezza Nazionale] come
ipoteticamente possibile fin dal febbraio 2021, e a tal fine l’Agenzia
aveva allertato tutti i soggetti sensibili affinché adottassero le
necessarie misure di protezione. Taluni dei destinatari dell’avviso
hanno tenuto in debita considerazione l’avvertimento, altri no e
purtroppo oggi ne pagano le conseguenze. Per fare una analogia con l’ambito sanitario, è accaduto come se a
febbraio 2021 un virus particolarmente aggressivo avesse iniziato a
circolare, le autorità sanitarie avessero sollecitato le persone fragili
a una opportuna prevenzione, e a distanza di tempo siano emersi i danni
alla salute per chi a quella prevenzione non abbia ottemperato”.”

Non avrei saputo dirlo meglio.

2023/02/09 22:20. Anche la CISA (Cybersecurity and Infrastructure Security Agency) statunitense ha pubblicato uno script e delle istruzioni per il recupero dei dati in caso di attacco con questo ransomware.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Podcast RSI – Buone notizie di sicurezza informatica: truffatori arrestati e un ransomware debellato

logo del Disinformatico

È disponibile subito il podcast di oggi de Il Disinformatico della
Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo
trovate presso
www.rsi.ch/ildisinformatico
(link diretto) e qui sotto.

Le puntate del Disinformatico sono ascoltabili anche tramite
feed RSS,
iTunes,
Google Podcasts
e
Spotify.

Buon ascolto, e se vi interessano il testo di accompagnamento e i link alle
fonti di questa puntata, sono qui sotto.

Arrestati in Ucraina i responsabili di 18.000 truffe bancarie

L’Ucraina è al centro dell’attenzione mediatica per ben altri drammi, ma nel
frattempo nel paese la polizia informatica ha messo a segno un risultato
importante: ha
annunciato
di aver identificato e perquisito un call center criminale molto
professionale, gestito da tre residenti della città di Dnipro che avevano
assunto ben 37 operatori.

Gli operatori telefonavano alle vittime fingendo di essere addetti alla
sicurezza bancaria e avvisandole che i loro conti correnti avevano subìto
degli accessi non autorizzati. Poi chiedevano alle vittime di confermare i
dati necessari per annullare le transazioni fraudolente, che in realtà non
esistevano, almeno non in quel momento.

Con questa scusa, infatti riuscivano a farsi dare i codici di accesso all’home
banking delle vittime e trasferivano il contenuto dei loro conti correnti su
altri conti controllati dalla banda criminale e situati all’estero.

Stando al dipartimento di polizia informatica ucraino, le vittime di questa
singola banda sono oltre 18.000 e sono residenti in Kazakistan. Se verranno
riconosciuti colpevoli, i membri dell’organizzazione criminale rischiano fino
a otto anni di carcere.

Questa buona notizia è un’ottima occasione per ripassare le tecniche di difesa
da truffe come questa, che avvengono continuamente e ovunque nel mondo. La
prima cosa da ricordare è che il numero telefonico del chiamante che vediamo
sui nostri telefonini non è affidabile: è facile da falsificare, per cui non
possiamo fidarci soltanto perché il numero di chi ci chiama per avvisare di un
problema sul nostro conto corrente corrisponde al numero di telefono della
nostra banca o della polizia locale.

La seconda cosa da tenere presente è che richiamare la persona che ci ha
chiamato per avvisarci del presunto problema non garantisce nulla, neppure se
il numero che chiamiamo è un numero verde gratuito, perché questi numeri
possono essere collegati a call center situati in qualunque altro paese
del mondo.

Il terzo elemento al quale fare attenzione è abbastanza paradossale: questi
finti servizi di assistenza clienti sono molto più veloci e solleciti di
quelli reali. Non ci sono tempi di attesa, menu di opzioni da selezionare o
musichette estenuanti. Questa piacevole sollecitudine ci predispone ad
accettare più facilmente quello che ci viene detto.

Una volta conquistata la nostra fiducia, i truffatori fingono spesso di avere
già i nostri dati sullo schermo davanti a loro e usano la loro parlantina
sciolta per farceli “confermare”. Sono professionisti, fanno questo mestiere
tutto il giorno e quindi sanno esattamente come indurci a dare le informazioni
che servono a loro per entrare nei nostri conti.

Nel caso ucraino i criminali ottenevano le informazioni necessarie per
trasferire i soldi dal conto della vittima a un conto controllato da loro, ma
esistono anche altre tecniche che è opportuno conoscere per poterle
riconoscere.

Per esempio, i truffatori chiamano le vittime dicendo che per sicurezza è
stato assegnato a loro un nuovo numero di conto presso la stessa banca, sulla
falsariga di quando viene data una carta di credito con un numero nuovo per
risolvere un caso di frode, e poi chiedono alla vittima di trasferire i propri
soldi al nuovo conto.

Le vittime lo fanno prontamente, perché credono che il loro conto sia stato
violato e che il nuovo numero di conto sia invece sicuro: ma in realtà il
numero di conto nuovo è stato aperto da complici dei truffatori usando
documenti falsi. Non appena i soldi arrivano sul nuovo conto, i truffatori li
prelevano e spariscono. Questo è uno scenario molto frequente per esempio nel
Regno Unito, secondo le
segnalazioni
della società di sicurezza informatica Sophos, e ha una conseguenza molto
spiacevole: le banche possono rifiutarsi di assistere o risarcire la vittima,
perché il trasferimento di denaro è stato fatto volontariamente e usando le
credenziali corrette, per cui non si tratta di furto in senso stretto.

Conviene insomma essere molto prudenti di fronte a qualunque chiamata inattesa
di questo genere, ed è anche opportuno mettere in guardia contro queste truffe
le persone particolarmente vulnerabili che conosciamo, ricordando loro che
questi truffatori sono esperti nella persuasione e che la migliore difesa è
semplicemente chiudere la chiamata e contattare subito una persona di fiducia.

Europol blocca truffa internazionale sulle criptovalute

Europol ha
annunciato
che l’11 gennaio scorso ha bloccato vari call center criminali situati
in Bulgaria, Serbia e Cipro, specializzati nelle truffe basate sui falsi
investimenti con criptovalute, e ha eseguito 15 arresti e 22 perquisizioni,
interrogando 261 persone.

I paesi presi di mira da questi criminali erano principalmente Germania,
Svizzera, Australia e Canada, e la stima iniziale del maltolto indica un
importo complessivo di almeno due milioni di euro, ma Europol sospetta che i
guadagni illeciti di questi gruppi criminali
“possano essere dell’ordine delle centinaia di milioni di euro.”

Fonte dell’immagine:
Europol.

Le tecniche usate da questi truffatori sono classiche: creano e pubblicizzano
su Google, nei social network e anche su YouTube dei siti web nei quali
offrono investimenti in criptovalute, proponendo un importo di ingresso molto
modesto, e poi simulano che gli investimenti diano un rendimento, documentato
– si fa per dire – da estratti conto online totalmente inventati.

Le vittime credono che i loro guadagni siano reali anche perché se chiedono di
ritirare una quota dei loro investimenti ricevono davvero l’importo
richiesto, che però non è mai la cifra intera, compresi i presunti guadagni,
ma è solo una parte del denaro in criptovalute che hanno affidato ai
truffatori.

Tutto questo crea uno stato di euforia e sicurezza nelle vittime, e qui scatta
la seconda fase della trappola: i truffatori invitano a investire cifre più
consistenti. Usano frasi del tipo
“Quando hai investito per prova 150 euro, hai quasi raddoppiato il tuo
investimento! Pensa se tu ne avessi investiti 1500, o 15.000!”. E così spesso le vittime inviano altri soldi ai truffatori.

Può capitare che le persone cadute nella trappola diventino a loro volta
reclutatori di altre vittime. Molti di questi siti truffaldini di finto
“trading in criptovalute”, infatti, danno premi e incentivi a chi trova altre
persone disposte a inviare denaro nella speranza di grandi guadagni.

Tutto questo meccanismo prosegue finché un numero consistente di vittime non
si insospettisce e comincia a chiedere di riavere le somme investite: a quel
punto di solito i truffatori chiudono tutto e scappano con i soldi.

Ma non è detto che finisca tutto così: esiste infatti anche una terza fase. I
truffatori non interrompono i contatti con le vittime che chiedono la
restituzione delle criptovalute affidate, ma dicono che l’accredito è
temporaneamente bloccato per ragioni fiscali o per un’ispezione delle autorità
locali, come è capitato in un caso che ho seguito personalmente poche
settimane fa, e spiegano che per sbloccarlo occorre versare il più presto
possibile una percentuale dell’importo a titolo di ritenuta fiscale. È tutto
inventato, con lo scopo di attribuire la colpa della mancata restituzione a
qualcun altro e sviare eventuali sospetti.

Prima o poi le vittime si rendono conto che si tratta di scuse, ed è a questo
punto che, con sfacciataggine incredibile, scatta la quarta fase. Dopo un
periodo di silenzio, nel quale i truffatori non si fanno più sentire e la
vittima teme di aver ormai perso per sempre i propri soldi, si fa viva una
persona che dice di rappresentare un “servizio di recupero criptovalute” e
propone di tentare il recupero del denaro dato ai truffatori dalla vittima.
Naturalmente questo servizio ha un costo, che va pagato in anticipo, ma è
semplicemente una truffa nella truffa.

Sì, le forze di polizia internazionali a volte riescono davvero a
recuperare
criptovalute sottratte fraudolentemente, ma quando lo fanno non contattano le
vittime via mail o sui social network: usano canali di contatto ufficiali e
certificati (e non chiedono soldi per intervenire). Il problema è che le vittime spesso a questo punto sono talmente
disperate, perché magari hanno perso i risparmi di una vita, che si attaccano
a qualunque filo di speranza, e i truffatori procedono senza pietà ad
approfittarne.

L’intervento delle forze di polizia coordinate da Europol ha messo fine alle
attività di questa organizzazione criminale, ma altre continuano a esistere e
tendere trappole, per cui è meglio restare vigili con alcune semplici
precauzioni.

Prima di tutto, se un’offerta suona troppo bella per essere vera,
probabilmente non è vera. Capita davvero che chi ha fatto investimenti in
criptovalute ottenga grandi guadagni, ma questo avviene perché il controvalore
delle criptovalute a volte sale, non perché un sito Web dice di avere un
“sistema di trading” o cose del genere.

In secondo luogo, il fatto che un sito Web abbia un aspetto professionale e
sia pubblicizzato vistosamente su Google e nei social network non garantisce
in alcun modo che sia affidabile. Creare questi siti e pubblicizzarli è facile
ed esistono addirittura kit chiavi in mano per farlo.

Come terzo consiglio, attenzione agli amici che vi propongono insistentemente
investimenti sicuri dicendo che loro li hanno fatti e stanno guadagnando
grandi cifre: chiedete come hanno scoperto questo sistema, che controlli hanno
fatto per vedere che reputazione ha l’organizzazione alla quale si sono
affidati, e se hanno già provato a incassare tutto quello che hanno investito,
guadagni compresi. Purtroppo i truffatori fanno pressione sulle vittime
affinché trovino altre persone, e non esitano a sfruttare le amicizie o ad
accusare gli “scettici” di volervi impedire di avere successo. Sono disposti a
mettervi contro la vostra stessa famiglia pur di convincervi a dare loro i
vostri soldi.

Fonti aggiuntive:
Sophos,
Bitdefender.

Speranze per le vittime di ransomware: rilasciato il decrittatore gratuito per
MegaCortex

Se siete stati colpiti da un attacco informatico di tipo ransomware che vi ha
bloccato tutti i dati chiedendo un riscatto per darvi la password necessaria
per sbloccarli e il programma usato per l’attacco si chiama MegaCortex, o se
conoscete qualcuno che si trova in questa situazione, c’è una buona notizia:
gli esperti della società di sicurezza informatica Bitdefender hanno
rilasciato un cosiddetto decrittatore universale per questo software.

MegaCortex ha iniziato a fare danni nel 2019 ed era diventato talmente diffuso
e pericoloso, con almeno 1800 casi che avevano coinvolto principalmente
aziende, che l’FBI aveva
diffuso
un avviso specifico in proposito.

I creatori di MegaCortex sono ignoti ma a quanto pare sono fan della serie di
film Matrix: il nome MegaCortex sembra ispirato da quello della
società di software presso la quale lavorava il personaggio interpretato da
Keanu Reeves, ossia la
MetaCortex, e il

messaggio
che compariva sui computer attaccati citava alcune battute dei film, con frasi
come
“Noi possiamo solo mostrarti la porta, ma sei tu quello che deve
attraversarla”

Ma Bitdefender, in cooperazione con Europol, il progetto
NoMoreRansom e la polizia
cantonale del canton Zurigo hanno rilasciato un
software
gratuito che sblocca i file bloccati da MegaCortex senza aver bisogno della
password e quindi senza dover pagare i criminali. Le istruzioni per scaricarlo
sono sul sito di Bitdefender. Inoltre alcuni dei criminali che usavano
MegaCortex e altri ransomware sono stati
arrestati
a ottobre 2021.

Se venite colpiti da un attacco di ransomware, insomma, vale sempre la pena
conservare una copia completa dei dati che sono stati bloccati e cifrati
dall’attacco, perché capita spesso che a distanza di qualche mese venga
rilasciato uno strumento gratuito di decifrazione che permette di riavere i
dati. Ma come sempre, la prevenzione è meglio della cura, per cui fate una
copia di scorta dei vostri dati e tenetela in un luogo sicuro e fisicamente
isolato da Internet. 

Fonte aggiuntiva:
Graham Cluley.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Podcast RSI – 50 anni di Pong; intelligenza artificiale che scrive temi e articoli; ladri informatici che rifiutano di attaccare

logo del Disinformatico

È disponibile subito il podcast di oggi de Il Disinformatico della
Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo
trovate presso
www.rsi.ch/ildisinformatico
(link diretto) e qui sotto.

Le puntate del Disinformatico sono ascoltabili anche tramite
feed RSS,
iTunes,
Google Podcasts
e
Spotify.

Buon ascolto, e se vi interessano il testo integrale e i link alle fonti di
questa puntata, sono qui sotto.

[CLIP: Audio di Pong]

Questi suoni sintetici, secchi e semplici, sono inconfondibili per chiunque
abbia qualche anno sulle spalle e si ricordi il debutto dei primi giochi
elettronici: sono quelli di Pong, il mitico ping-pong elettronico, che
in questi giorni compie ben cinquant’anni. Oggi, invece, siamo alle prese con
l’intelligenza artificiale e con le sue sorprese continue, mentre dall’Asia
arriva una storia di ransomware decisamente bizzarra, in cui i
criminali informatici si rifiutano di attaccare una compagnia aerea con
una giustificazione molto insolita.

Sono questi gli argomenti della puntata del 9 dicembre 2022 del
Disinformatico, il podcast della Radiotelevisione Svizzera dedicato
alle notizie dal mondo dell’informatica. Benvenuti. Io sono, come al solito,
Paolo Attivissimo.

[CLIP: Sigla di apertura]

50 anni di Pong, ma con sorpresa

Alla fine di novembre del 1972, cinquant’anni fa, fu rilasciato uno dei
videogiochi più famosi di sempre: Pong. La sua storia merita di essere
raccontata in una maniera adatta al mezzo secolo di informatica che ci separa
dai quei timidi primi passi nell’intrattenimento digitale. Ascoltatela con
attenzione.

Pong è stato uno dei primi videogiochi mai realizzati ed è diventato
rapidamente un successo commerciale negli anni ’70. Fu ideato e sviluppato da
Atari, una delle più grandi società di videogiochi dell’epoca. Nolan Bushnell
è stato il fondatore di Atari e quindi uno dei principali sviluppatori di
Pong. Bushnell fu anche il principale promotore di Pong, che fu pubblicizzato
con successo attraverso manifesti e pubblicità televisive.

Pong era un semplice gioco basato sulla racchetta e sulla pallina, in cui i
giocatori dovevano spostare le proprie racchette per colpire la pallina e
impedire all’avversario di segnare un punto. Nonostante la sua semplicità,
Pong divenne presto un fenomeno di massa, con milioni di persone che giocavano
nei bar, nei locali e nelle sale giochi di tutto il mondo.

Bushnell ebbe l’idea di creare un videogioco basato sulla racchetta e sulla
pallina dopo aver giocato a un gioco simile su una macchina da bar. Bushnell e
il suo team di sviluppatori lavorarono per mesi per creare il prototipo di
Pong, che fu poi testato in alcuni locali per valutarne l’appeal. Dopo aver
apportato alcune modifiche, Pong fu finalmente lanciato sul mercato e divenne
un successo commerciale senza precedenti.

Pong fu anche il primo videogioco a essere distribuito per console per il
mercato domestico, aprendo la strada a un’intera generazione di giochi per la
televisione. Con il suo successo, ha segnato l’inizio dell’era dei videogiochi
e ha contribuito a creare un mercato che oggi è valutato in miliardi di
dollari.

Anche se Pong è stato superato dalla tecnologia moderna e dai giochi più
complessi di oggi, rimane un pezzo importante della storia dei videogiochi e
continua a essere apprezzato da molti appassionati di tutte le età.

Vi è sembrata una descrizione un po’ fiacca, ripetitiva e priva di dettagli?
Beh, considerate però che è stata scritta
in pochi secondi e senza alcuna fatica da parte mia: infatti l’ha
generata interamente un software di intelligenza artificiale. Adesso capite
perché vi ho chiesto di ascoltarla con attenzione. Se non ve l’avessi detto,
ve ne sareste accorti?

Mi affretto a dire che da qui in poi, invece, il testo di questo podcast è
opera mia. Almeno quasi tutto.

Il software in questione si chiama ChatGPT ed è stato presentato pochi
giorni fa, causando ilarità e al tempo stesso preoccupazione in chiunque
scriva testi per lavoro. Ilarità perché è anche capace di
spiegare la fisica quantistica in rima nello stile di Snoop Dogg, e preoccupazione perché se un software riesce a generare in qualche istante
un testo passabile come quello che avete sentito, a cosa servono scrittori e
giornalisti? E come faranno i docenti a capire se i loro studenti hanno
davvero scritto il testo della loro ricerca o del loro tema ma hanno una prosa
asciutta e poco talento oppure se lo sono invece fatto generare pigramente da
un software?

[Nota: esistono dei
rilevatori
di output per GPT-2 che funzionano per ora anche con ChatGPT come strumenti
antiplagio e antifrode, ma bisogna saperli installare e usare]

Potete provare ChatGPT gratuitamente: è sufficiente creare un account presso
chat.openai.com
e mettersi pazientemente in fila, perché sono moltissimi gli utenti che lo
stanno provando e magari anche già usando per lavoro. Se avete fretta, c’è
anche una versione a pagamento, che si chiama
Playground.

Il suo funzionamento pratico è molto semplice; la complessità è tutta
dietro le quinte. Come per i
generatori di immagini che ho descritto in altre puntate di questo podcast,
tutto parte da una breve frase, denominata in gergo prompt, che
l’utente immette per dare istruzioni al software. Il bello di ChatGPT è che a
differenza di molti software analoghi anche recenti, questo genera testi
anche in italiano. È sufficiente che il prompt sia in italiano o, in generale, nella lingua
nella quale volete ottenere il testo generato.

Per fargli generare quel blando riassunto della storia di Pong (che
effettivamente compie cinquant’anni in questi giorni) gli ho semplicemente
chiesto
“Scrivimi la storia del videogioco Pong nello stile di un giornalista”
e poi
“Raccontami in dettaglio quale ruolo ebbe Nolan Bushnell nella creazione
del videogioco Pong”. Il resto, ossia la struttura delle frasi e i riferimenti ad Atari, lo ha
generato ChatGPT, direttamente in italiano. Io ho solo tolto qualche
ripetizione.

[Date un‘occhiata allo spettacolare esempio di fuffa di marketing creato da Matteo Flora, nel tweet qui sotto:]

ChatGPT è comunque ottimizzato per la lingua inglese, ed è in questa lingua
che fornisce i risultati più strepitosi, generando riassunti, convertendo i
titoli di film in emoji, generando poesie, filastrocche e recensioni di
ristoranti, scrivendo
trame di sitcom e racconti erotici, traducendo da una lingua a un’altra e da un linguaggio di programmazione a
un altro, chiacchierando in maniera naturale ricordandosi anche le frasi
precedenti della conversazione e fornendo
molte altre funzioni
che fino a pochi anni fa sarebbero state considerate impossibili per un
software.

Per ora i testi generati da ChatGPT sono ancora riconoscibili da un lettore
attento, e se state pensando di usarlo per scuola o per lavoro tenete presente
che spesso si
inventa
dettagli inesistenti ma apparentemente plausibili [come nella descrizione di Pong, che contiene parecchi dettagli completamente falsi]. Ma questo software, e
l’intero settore della generazione di contenuti tramite intelligenza
artificiale, si sta evolvendo a velocità impressionante, tanto che il sito
Stack Overflow, punto di riferimento per risolvere qualunque problema di
programmazione, ha temporaneamente
bandito
le “soluzioni” generate da ChatGPT, perché sono troppo facili da generare e
sono spessissimo sbagliate ma a prima vista molto credibili. Riconoscerle
richiede un occhio esperto, e quindi i moderatori sono stati sopraffatti
dall’ondata di soluzioni fasulle prodotte da ChatGPT.

Artisti, traduttori e autori di testi si sentono comprensibilmente minacciati
e temono di restare senza lavoro, soppiantati da computer veloci e
instancabili che producono a bassissimo costo materiale blando e superficiale
ma comunque accettabile per molte situazioni anche professionali. 

Perché
pagare un illustratore per una copertina di un libro, quando c’è Midjourney
che la genera in un minuto e costa qualche centesimo? Perché pagare un
cronista per descrivere una partita, quando c’è un software capace di farlo
usando anche i cliché tipici del settore?

Ma il problema rischia di essere ben più grande. Con questi software, generare
milioni di articoli falsi ma sufficientemente credibili da ingannare il
lettore non esperto, ossia fabbricare fake news, costa incredibilmente
poco. È la realtà stessa che rischia di essere annacquata fino a
scomparire.

Se vi state chiedendo se questo scenario si possa evitare, per esempio tramite
una riqualificazione del giornalismo, non siete i soli. Una
risposta
arriva dal tecnologo Dominic Ligot:

“man mano che i social media e l’intelligenza artificiale continuano a
evolversi e diventano più prevalenti, il giornalismo dovrà adattarsi e
cambiare per restare efficace e continuare ad avere importanza. Uno dei modi
principali nei quali dovrà cambiare è l’inclusione di nuove tecnologie e
nuove piattaforme nelle sue pratiche e nei suoi processi. Per esempio, i giornalisti dovranno imparare come usare gli strumenti dell’intelligenza
artificiale e dei social media per identificare e verificare le fonti, per
analizzare e interpretare grandi quantità di dati, e per produrre contenuti
interessanti e coinvolgenti su misura per le preferenze ed esigenze del
pubblico online.”

Parole convincenti, vero? Ma non sono di Dominic Ligot: lui le ha
semplicemente fornite al pubblico. Avete indovinato: le ha fatte generare da
ChatGPT.

Fonti aggiuntive:
Ars Technica, BBC,
The Verge, Cnet,
AI4business.it.

50 anni di Pong (stavolta sul serio)

[Credit per l’immagine:
Wikipedia/Chris Rand]

Lasciando da parte i riassuntini annacquati generati dall’intelligenza
artificiale, sono effettivamente passati 50 anni dal 29 novembre 1972, quando
la neonata azienda statunitense Atari Inc. presentò negli Stati Uniti il
videogioco Pong.

Uno schermo rigorosamente in bianco e nero, due “racchette” disegnate sotto
forma di semplici rettangoli che si potevano muovere solo lateralmente, una
“pallina” che era in realtà un quadratino bianco, e degli effetti sonori
elementari oggi fanno sorridere, ma all’epoca erano assolutamente
rivoluzionari, specialmente nelle sale giochi affollate di apparecchi
completamente elettromeccanici. Questa era elettronica, era il futuro.

Pong, però, non fu creato da Atari in senso stretto. Il primo ping-pong
elettronico fu offerto dalla console di gioco Odyssey della Magnavox, sempre
nel 1972; i due fondatori di Atari, Nolan Bushnell e Ted Dabney, imitarono il
gioco della Magnavox creandone una versione per le sale giochi.

Un’idea
assolutamente vincente: nel giro di due anni Atari vendette più di 8000 esemplari, che furono una
miniera d’oro: il loro guasto più frequente era dovuto al fatto che il
contenitore delle monete necessarie per giocare era strapieno.

Atari offrì una versione domestica di Pong solo nel 1975. Nel frattempo
Magnavox aveva fatto causa ad Atari per aver copiato la sua idea, ma Atari
raggiunse un accordo economico con l’azienda, diventando licenziataria del
ping-pong elettronico originale.

Una chicca per nostalgici: se vi sembra di ricordare che Pong avesse un
difetto, per cui la racchetta non arrivava fino all’angolo superiore dell’area
di gioco ed era quindi impossibile fermare la pallina se finiva in quella
zona, ricordate bene. Non eravate voi a sbagliare il movimento della
racchetta.

Però non si trattava un guasto del singolo apparecchio: erano tutti così,
e lo erano intenzionalmente. Il progettista di Pong, Allan Alcorn, aveva
infatti scelto un circuito di controllo delle racchette che aveva un difetto
intrinseco, e invece di perdere tempo cercando un modo di compensarlo lo
lasciò nel gioco per renderlo più difficile e per limitare la durata delle
partite.

Fonti: Britannica,
Wikipedia.

Criminali dediti al ransomware si rifiutano di attaccare una compagnia aerea:
è troppo insicura

[Credit per lo screenshot:

DataBreaches.net]

L’esperto di sicurezza informatica Graham Cluley
segnala
una storia davvero insolita negli annali degli attacchi informatici di
ransomware, quelli basati sul furto o blocco dei dati di un’azienda e
sulla richiesta di denaro per non divulgarli o per sbloccarli.

A metà novembre 2022 la banda informatica nota come Daixin Team ha attaccato
la compagnia aerea malese
Air Asia, sottraendo i dati
personali di cinque milioni di passeggeri e di tutti i dipendenti.

Per dimostrare di aver realmente compiuto il furto, i criminali hanno inviato
al sito
DataBreaches.net
e alla compagnia aerea un campione dei dati: nomi, date di nascita, indirizzi,
data di assunzione, domanda di recupero account, risposta alla domanda di
recupero e altro ancora.

Secondo quanto riferiscono i criminali attraverso un portavoce (perché sì, le
bande criminali informatiche oggi sono talmente organizzate da avere anche dei
portavoce), Air Asia è entrata in trattativa, ma sembra che alla fine non
abbia pagato alcun riscatto.

Tuttavia lo stesso portavoce della banda ha dichiarato che Daixin Team ha
cifrato i dati sui computer della compagnia e ne ha cancellato anche le copie
di backup, però si rifiuta di attaccare più a fondo Air Asia a causa della
“organizzazione caotica della rete” e della
“assenza di qualunque standard” che ha
“causato l’irritazione del gruppo e il completo rifiuto di ripetere l’attacco. Dicono proprio
così.

Il portavoce dei criminali ha aggiunto che
“la rete interna era configurata senza alcuna regola e quindi funzionava
malissimo”
e che “la protezione della rete era molto, molto debole”. È
probabilmente la prima volta che si parla di un attacco informatico sventato
dalla troppa insicurezza della vittima.

È già umiliante per una compagnia aerea farsi rubare i dati dei clienti;
sentire che i ladri sono talmente disgustati dalle carenze di sicurezza del
bersaglio da rifiutarsi di attaccarlo ancora è lo schiaffo finale.

Air Asia non ha rilasciato dichiarazioni. E prima che pensiate che Daixin Team
sia un gruppo di ladri di buon cuore, va detto che la banda ha dichiarato che
intende comunque disseminare i dati dei passeggeri e dei dipendenti e
pubblicare informazioni sulle vulnerabilità della rete informatica di Air
Asia. Il suo rifiuto di attaccare più a fondo è probabilmente legato, molto
più pragmaticamente, al rischio di toccare infrastrutture informatiche
critiche come sistemi radar o di controllo del traffico aereo e causare
incidenti aerei con conseguenze potenzialmente fatali che mobiliterebbero le
risorse di polizia molto più di quanto lo faccia un tentativo di estorsione
informatica.

In ogni caso, è improbabile che questa cautela dei criminali sia consolatoria
o rassicurante per i passeggeri passati, presenti o futuri della compagnia
aerea. E contare sulla pena o compassione dei ladri non è una strategia
difensiva da imitare.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Aggiornamenti importanti per Apple, QNAP sotto attacco

Aggiornamenti importanti per Apple, QNAP sotto attacco

Questo articolo è disponibile anche in versione podcast audio.

Il 12 settembre scorso Apple ha rilasciato la nuova versione, la 16, dei suoi
sistemi operativi per smartphone, smartwatch e Apple TV, con molte novità
significative, come la nuova schermata di blocco, e alcuni aggiornamenti di
sicurezza. Ma la particolarità più interessante è che ha rilasciato gli stessi
update di sicurezza anche per le versioni meno recenti di questi sistemi
operativi, cosa che non capita spesso.

Sono stati infatti messi a disposizione degli
aggiornamenti per gli
iPhone e iPad meno recenti, che li portano alla versione 15.7 di iOS e di iPadOS,
e anche per i Mac vecchiotti, che li
portano alla versione
Monterey 12.6 oppure alla
Big Sur 11.7

In questo modo chi usa ancora dispositivi che hanno qualche annetto sulle spalle
e non sono più aggiornabili alle nuove versioni di punta di iOS e iPadOS, come
l’iPhone 6S e l’iPhone 7, può restare comunque protetto. 

La stessa protezione è offerta
anche a chi ha dispositivi ancora aggiornabili ma per qualunque ragione, per
esempio la compatibilità con app aziendali, non può o non vuole passare ai
nuovi sistemi operativi con tutte le loro novità. 

Le falle di sicurezza corrette da questi aggiornamenti sono piuttosto pesanti,
tanto da spingere appunto Apple a distribuire aggiornamenti anche per le
vecchie versioni dei suoi sistemi operativi, perché almeno una di queste falle
viene già usata dai criminali informatici per compiere attacchi, per cui è
essenziale andare appena possibile nelle impostazioni del dispositivo e
avviare la sua procedura di aggiornamento software. 

Gli smartphone e tablet Apple che non possono più ricevere aggiornamenti di
nessun genere non dovrebbero essere usati per navigare nel Web, mandare mail o
per qualunque altra attività che richieda un collegamento a Internet.

Ci sono aggiornamenti indispensabili e urgenti anche per i possessori di
dispositivi di archiviazione di rete della QNAP, i cosiddetti NAS o
Network Attached Storage.

La casa produttrice ha infatti diffuso un
annuncio
nel quale segnala che sta circolando un ransomware, denominato
Deadbolt (che inglese vuol dire “catenaccio”), che cifra tutti i dati
presenti sui NAS collegati direttamente a Internet e agisce sfruttando una
falla nell’app di gestione delle immagini di questi dispositivi, chiamata
Photo Station.

Molti utenti che comprano questi dischi di rete li usano per archiviare le
foto di famiglia e li rendono accessibili via Internet per consentire di
condividere le immagini con parenti e amici e per poterle consultare da
remoto. Un attacco ransomware a questi dispositivi diventa quindi un disastro
per le vittime, perché nessuno è disposto a perdere tutte le proprie foto di famiglia
e quindi il pagamento del riscatto per riaverle è quasi certo.

QNAP sollecita urgentemente tutti gli utenti di NAS ad aggiornare Photo
Station alla versione più recente, oppure a passare a
QuMagie, che è
un’alternativa a Photo Station. La casa produttrice è altrettanto perentoria
nel raccomandare di non collegare direttamente a Internet i propri prodotti,
ma di farlo solo tramite la funzione cloud apposita oppure tramite VPN.

Molti utenti di questi dispositivi si sentono al sicuro perché pensano che sia
impossibile per gli aggressori scoprire che hanno un NAS affacciato a
Internet, ma in realtà è facilissimo farlo grazie agli appositi motori di
ricerca come Shodan.io.

La schermata di avviso del ransomware.

Attacchi di questo genere sono quindi estremamente diffusi e quindi non vanno sottovalutati: la Censys ha contato oltre 20.000 dispositivi infetti, e l’Italia, con oltre 4400 infezioni, è al terzo posto fra i paesi maggiormente colpiti, dopo Stati Uniti (con 8.500) e Germania (con 5.700). La Svizzera si piazza comunque abbastanza in alto in questa classifica, con oltre 1600 NAS colpiti [la raffica di attacchi in Svizzera mi è stata confermata direttamente anche da colleghi].

La spavalderia dei criminali, fra l’altro, non conosce limiti: i gestori del ransomware Deadbolt includono nelle loro schermate di avviso un’offerta rivolta alla casa produttrice, proponendole di acquistare da loro la chiave di sblocco universale del ransomware, che QNAP potrebbe poi dare agli utenti colpiti dall’attacco. Finora non risulta che l’azienda abbia ceduto al ricatto.

Se avete uno di questi dispositivi, insomma, seguite appena possibile
le istruzioni del fabbricante, proteggeteli e aggiornateli.

Fonti aggiuntive:
Ars Technica,
Intego,
Ars Technica,
Graham Cluley.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Mettete al sicuro i vostri dati su un disco condiviso QNAP? Aggiornatelo per evitare ricatti

Mettete al sicuro i vostri dati su un disco condiviso QNAP? Aggiornatelo per evitare ricatti

Molti utenti informatici hanno preso la buona abitudine di archiviare i propri
dati, soprattutto foto, video, film e musica, su un disco di rete condiviso, in
modo che tutti i dati siano comodamente accessibili da qualunque dispositivo
digitale domestico e magari anche via Internet quando si è per esempio in
vacanza. 

Una delle marche più note nel settore dei dischi condivisi o
NAS (network attached storage) è QNAP, ma quest’azienda ha diffuso da poco un
avviso di sicurezza importante: chi non ha aggiornato il software presente a bordo di questi NAS è a
rischio di ricatto e di furto o perdita di dati.

L’azienda segnala infatti che è in corso una campagna di ransomware ai danni
degli utenti dei suoi dispositivi. Criminali non identificati riescono a
localizzare e a infettare via Internet i NAS QNAP non aggiornati, usando un malware denominato DeadBolt per mettere una
password su tutti i dati che contengono e poi chiedono un riscatto per dare
alla vittima la password di sblocco dei suoi dati. 

Chi non paga il riscatto e non
ha una seconda copia di questi dati rischia di perderli per sempre, e c’è il
rischio aggiuntivo che eventuali foto e video di natura intima archiviati sul
NAS possano essere oggetto di ulteriore ricatto o finire nelle mani sbagliate.

Credit: Bitdefender.

QNAP consiglia quindi agli utenti di aggiornare al più presto il software di
gestione dei propri dischi di rete condivisi, seguendo la procedura indicata
nell’avviso.
Aggiunge inoltre che se si è già stati attaccati è importante fare uno
screenshot della richiesta di riscatto prima di aggiornare il
software, perché l’aggiornamento cancellerà la richiesta, rendendo impossibile
comunicare con i criminali per un eventuale recupero dei dati.

A prescindere dal caso specifico, gli esperti di sicurezza
raccomandano
di non collegare mai nessun NAS, di nessuna marca, direttamente a Internet, ma
di farlo solo se strettamente necessario e comunque proteggendolo tramite un
apposito firewall ben configurato.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Podcast RSI - Un ricatto informatico molto particolare

Podcast RSI – Un ricatto informatico molto particolare

È disponibile subito il podcast di oggi de Il Disinformatico della
Radiotelevisione Svizzera, scritto e condotto dal sottoscritto: lo trovate
presso
www.rsi.ch/ildisinformatico
(link diretto) e qui sotto.

In questa puntata del podcast vi racconto una storia di ransomware:
l’estorsione che colpisce le aziende bloccando i loro dati con una password
che verrà consegnata dal criminale solo se verrà pagato un riscatto. Non è una
tecnica nuova, ma stavolta c’è un colpo di scena e ci sono di mezzo due
milioni di dollari e fino a 37 anni di carcere. E se un guru storico del
crimine informatico come Kevin Mitnick dice che è una storia interessante, si
va sul sicuro.

I podcast del Disinformatico sono ascoltabili anche tramite
feed RSS,
iTunes,
Google Podcasts
e
Spotify.

Buon ascolto, e se vi interessano il testo e i link alle fonti della storia di
oggi, sono qui sotto.

[CLIP: Spot Ubiquiti]

Ubiquiti è un nome che probabilmente non vi dice nulla, ma è una grande
azienda statunitense del settore dei dispositivi per la gestione delle reti
informatiche: la “ferraglia” elettronica sulla quale transitano continuamente
i nostri dati digitali, insomma.

Di recente è stata attaccata da un ricattatore molto particolare, tanto da
meritarsi l’interesse di uno dei massimi esperti di crimine informatico, il
mitico Kevin Mitnick.

Questa è la storia di un ricatto informatico insolito e di come la speranza di
intascare due milioni di dollari rischia ora, per un banale errore, di
diventare una sentenza che comporta fino a 37 anni di carcere. Visto che i
dati più recenti indicano un aumento notevole dei ricatti informatici ai danni
di aziende piccole e grandi, anche in Svizzera, è una storia che conviene
conoscere, perché contiene lezioni utili per tutti, dai datori di lavoro ai
dipendenti. E anche, inevitabilmente, per gli aspiranti criminali.

[SIGLA]

Il ransomware, ossia il software che penetra nei sistemi informatici delle
aziende, blocca i loro dati con una password conosciuta solo ai criminali che
gestiscono questo software, e poi chiede un riscatto per sbloccarli o per non
pubblicarli, non è certo una novità.

Ma secondo i dati raccolti da Swissinfo.ch, il ransomware è un fenomeno in
netta crescita. Fra agosto 2020 e agosto 2021 circa 2700 aziende svizzere sono
state colpite da questa forma di attacco, stando alle stime della società di
sicurezza statunitense Recorded Future: quasi il triplo rispetto agli anni
precedenti, con una richiesta media di pagamento di circa 167.000 franchi o
180.000 dollari.

È difficile avere dati precisi, perché molte aziende non denunciano questi
attacchi per non subire danni alla propria reputazione. Comparis, Stadler,
RUAG e il comune di Rolle nel canton Vaud sono solo alcune delle vittime note più recenti, ma ce ne sono molte altre che pagano e tacciono.

Lo schema di attacco è ben documentato: i criminali iniziando inviando ai
dipendenti dell’organizzazione presa di mira una mail contenente un allegato
dall’aspetto innocuo, tipicamente una fattura. L’allegato, che in realtà
trasporta un malware o virus informatico, viene aperto incautamente, senza
adeguate precauzioni tecniche e comportamentali, facendo leva sulla fiducia
dell’utente, e così supera le difese informatiche del bersaglio.

A volte l’attacco è più sofisticato e avviene sfruttando le falle di qualche
sistema informatico maldestramente configurato e lasciato esposto su Internet,
oppure una chiavetta USB infetta inserita con l’astuzia o la seduzione in un
computer aziendale, ma capita abbastanza raramente. In un modo o nell’altro,
gli aggressori entrano insomma nel cuore informatico dell’azienda, lo bloccano
cifrando i dati oppure ne prelevano una copia, e poi chiedono soldi,
solitamente sotto forma di criptovalute.

La storia di ricatto che voglio raccontarvi oggi, però, segue un copione
leggermente differente.

Tutto inizia il 10 dicembre del 2020, quando qualcuno entra nei server gestiti
dall’azienda informatica californiana Ubiquiti Networks, un grande nome del
settore che vende router, telecamere e altri sistemi digitali di sicurezza, e
ne sottrae vari gigabyte di dati sensibili usando una tecnica abbastanza
insolita: l’intruso adopera infatti le credenziali di un amministratore del
cloud aziendale.

Il furto prosegue una decina di giorni più tardi, il 21 e 22 dicembre, quando
vengono rubati altri dati. L’intruso copre le proprie tracce alterando i log
che registrano le attività. Ma a differenza dei casi tradizionali di
ransomware, i dati di quest’azienda non vengono cifrati dall’aggressore.

Alcuni dipendenti della Ubiquiti si accorgono del furto una settimana più
tardi, poco dopo Natale, e l’azienda raduna i suoi esperti per analizzarne le
conseguenze.

Ai primi di gennaio 2021 Ubiquiti riceve una mail di richiesta di riscatto. La
proposta del criminale è molto chiara: se l’azienda non gli pagherà 25
bitcoin, equivalenti a poco più di un milione di dollari, i dati confidenziali
sottratti verranno resi pubblici, causando un disastro reputazionale.

Ma la mail di ricatto non si ferma qui: prosegue offrendo di rivelare
all’azienda la tecnica usata per entrare nei suoi sistemi, in modo che possa
chiudere la falla ed evitare nuovi attacchi. Per questa sorta di bizzarra
consulenza informatica, il criminale chiede altri 25 bitcoin. Entrambe le
proposte, che ammontano quindi a due milioni di dollari in tutto, scadranno a
mezzanotte del 9 gennaio.

L’azienda decide di non pagare nessuna delle due richieste di denaro. Allo
scadere dell’ultimatum, il criminale pubblica su Internet, visibili a
chiunque, alcuni campioni dei dati confidenziali sottratti.

Ubiquiti riesce a farli togliere da Internet contattando il sito che li
ospita, Keybase, e trova e chiude una falla nei propri sistemi creata
dall’aggressore, cambia tutte le credenziali dei dipendenti e poi annuncia
pubblicamente, l’11 gennaio 2021, di aver subìto una violazione informatica. I
dati sottratti, dice, includono nomi, indirizzi di mail e password cifrate dei
suoi clienti. L’azienda raccomanda a tutti gli interessati di cambiare
password e di attivare l’autenticazione a due fattori.

L’incidente sarebbe chiuso, ma a questo punto della vicenda entra in gioco un
whistleblower, ossia un anonimo lanciatore d’allerta interno all’azienda, che
a fine marzo 2021 contatta i media specializzati, in particolare il noto
esperto di sicurezza informatica Brian Krebs, e rivela i retroscena
dell’annuncio pubblico di violazione, che lui conosce bene perché ha fatto
parte del gruppo di esperti incaricati dell’analisi dell’incidente
informatico.

L’anonimo aggiunge che Ubiquiti sta minimizzando la portata della violazione,
che in realtà sarebbe “catastrofica” e includerebbe tutti i codici di
autorizzazione più delicati, tanto da consentire ai criminali di accedere a
qualunque dispositivo Ubiquiti installato presso i clienti sparsi in tutto il
mondo. Questa violazione sarebbe stata perpetrata da un aggressore non
identificato, che sarebbe entrato impossessandosi banalmente delle credenziali
di un amministratore di sistema dell’azienda. Una figuraccia imbarazzante per
una grande società che si specializza in sicurezza informatica.

Questa rivelazione causa comprensibilmente un crollo nella quotazione in borsa
della Ubiquiti, che scende di circa il 20% nel giro di una giornata,
comportando perdite di capitalizzazione di mercato equivalenti a oltre quattro
miliardi di dollari. L’azienda annuncia il giorno successivo, che è il primo
d’aprile, di essere oggetto di un tentativo di estorsione.

Nel frattempo l’FBI ha avviato un’indagine informatica e ha scoperto che
l’intruso si è collegato via Internet ai computer di Ubiquiti usando
Surfshark, un software di VPN (Virtual Private Network o “rete privata
virtuale”), per mascherare l’origine del collegamento e impedire qualunque
tentativo di rintracciarlo tramite il suo indirizzo IP, che normalmente
verrebbe registrato nei log aziendali, e poi è entrato nei sistemi della
Ubiquiti usando delle credenziali di amministratore, proprio come dice il
whistleblower. Ma l’aggressore ha commesso un breve, fatale errore.

In due brevissime occasioni si è collegato senza accorgersi che
un’interruzione momentanea del suo accesso a Internet aveva impedito a
Surfshark di attivarsi correttamente, e così si è collegato a Ubiquiti
direttamente, comunicando il suo vero indirizzo IP. Cosa peggiore, durante
questi collegamenti ha trasferito parte dei dati sensibili dell’azienda.

L’FBI ha insomma tutto il necessario per identificare l’aggressore, e procede
così a una perquisizione e a un arresto, seguiti da un atto di accusa del
Dipartimento di Giustizia di New York che è stato recentemente reso pubblico.

Questo atto di accusa rivela il dettaglio che spinge lo storico hacker Kevin
Mitnick a descrivere su Twitter la vicenda come “un colpo di scena
interessante nel ransomware” e a esclamare “Busted!” (“Beccato!”):
l’aggressore e il whistleblower sono infatti la stessa persona, e si tratta di
un dipendente della Ubiquiti.

Secondo l’atto di accusa, che non fa esplicitamente il nome dell’azienda ma
consente di dedurlo, il dipendente in questione è Nickolas Sharp, un
trentaseienne di Portland, in Oregon, che lavorava alla Ubiqiti come senior
software engineer ed era responsabile per lo sviluppo del software e per la
sicurezza delle infrastrutture aziendali.

Sharp, paradossalmente, faceva proprio parte del team di specialisti della
Ubiquiti incaricati di indagare sulla violazione. Quella violazione che lui
stesso aveva commesso, usando le proprie credenziali di amministratore e la
propria conoscenza dei sistemi informatici aziendali.

Quando il suo tentativo di estorsione è fallito perché Ubiquiti ha deciso di
non pagare, ha tentato di danneggiare l’azienda e di depistare le indagini
diffondendo notizie false su un presunto aggressore esterno. Ma è stato
tradito da una banale caduta di linea. Come ha dichiarato Michael J. Driscoll,
Assistant Director dell’FBI, “Il signor Sharp forse riteneva di essere
abbastanza astuto da far funzionare il suo piano, ma un semplice guasto
tecnico ha messo fine ai suoi sogni di ricchezza.”

Il processo deciderà se le accuse molto circostanziate dell’FBI sono fondate:
in tal caso, Nickolas Sharp rischia fino a 37 anni di carcere.

L’esperto di sicurezza informatica Graham Cluley ha commentato questa insolita
tentata estorsione osservando che “tutte le aziende farebbero bene a ricordare
che probabilmente la minaccia peggiore non proviene da hacker esterni, ma dai
dipendenti che sono stati assunti e ai quali è stata data fiducia nel gestire
i sistemi informatici e nell’interagire con i dati aziendali”.

Non che gli hacker esterni facciano pochi danni, intendiamoci, ma un addetto
interno può fare ben di peggio. Un buon rimedio è vincolare tutti gli accessi
ai dati più sensibili in modo che serva l’autorizzazione contemporanea di
almeno due persone e altre persone vengano allertate di ognuno di questi
accessi. Questo rende molto più difficili sabotaggi dall’interno come quello
che ha colpito l’azienda statunitense.

E per tutti gli aspiranti hacker che pensano che usare una VPN li renda
invisibili e impossibili da rintracciare e identificare: pensateci due volte.
Storie come quella di Nickolas Sharp dimostrano che non è così semplice,
neanche per un addetto ai lavori. 

Fonti aggiuntive: Catalin Cimpanu, Bleeping Computer, Bitdefender.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Allerta per Emotet, che usa i documenti Microsoft Office per vuotare i conti bancari

Il
Centro nazionale per la cibersicurezza
svizzero (NCSC) ha pubblicato pochi giorni fa un avviso che segnala il ritorno
di Emotet, un malware che il Centro non esita a definire
“il malware più pericoloso al mondo”.

Si parla di ritorno perché a gennaio 2021 Europol aveva
annunciato
un’importante operazione contro Emotet che aveva permesso di mettere offline i
server di comando e controllo e di smantellare la botnet associata a
questo malware.

Ma l’NCSC riferisce che
“negli ultimi giorni esperti di sicurezza di tutto il mondo hanno segnalato
nuovi attacchi perpetrati con questo malware. Da un paio di giorni Emotet è
presente anche in Svizzera.”
Gli attacchi si basano sull’invio di mail con
“allegati Excel contenenti macro nocive” e i mittenti hanno indirizzi
con dominio .ch. Il Centro raccomanda pertanto di
“di bloccare subito i documenti di Microsoft Office sui gateway di posta
elettronica (.xlsm, .docm)”.

Un elenco dei siti infettati da Emotet è disponibile
qui presso Abuse.ch.

Emotet è nato come trojan dedicato alla penetrazione dei sistemi informatici
delle vittime con lo scopo di ottenere le credenziali di accesso ai loro conti
bancari, ma con il passare del tempo i suoi vari gestori lo hanno trasformato
in un cosiddetto dropper: un malware che fa da puro agente di
penetrazione e poi, una volta arrivato a destinazione, scarica il malware vero
e proprio.

Ê anche nato un vero e proprio mercato di compravendita dei siti infettati:
spesso un gruppo criminale usa Emotet per entrare in un sistema informatico e
poi ne vende il controllo a un altro gruppo, e così via: l’ultimo della catena
di acquisti lo usa poi per installare un classico ransomware che cifra
i dati della vittima, alla quale viene poi chiesto un riscatto per sbloccare i
dati.

Emotet viene considerato particolarmente pericoloso anche perché il suo
aspetto può ingannare anche un utente piuttosto smaliziato.

L’NCSC prosegue dicendo che una volta che Emotet è entrato in un sistema
informatico
“è quasi impossibile liberarsene. Ha un’elevata capacità di adattamento ed
è ad esempio in grado di leggere i contatti e i contenuti delle e-mail nelle
caselle di posta elettronica dei sistemi infetti”. I dati raccolti con questa tecnica consentono di
“lanciare altri attacchi. Le nuove vittime ricevono e-mail fasulle
apparentemente inviate da collaboratori, soci d’affari o conoscenti e
vengono convinte ad aprire un documento Word e ad attivare le macro
Office.”

Paradossalmente, le reti informatiche che maggiormente ospitano i siti di
distribuzione di malware sono proprio quelle di Microsoft, come segnala
Abuse.ch:

Il Centro nazionale per la cibersicurezza propone infine dei consigli per
proteggersi da Emotet:

  • Siate prudenti anche quando ricevete e-mail da mittenti apparentemente
    noti, in particolare se contengono allegati e link.
  • Se sospettate che l’e-mail è fasulla contattate direttamente il mittente
    per verificare l’attendibilità del contenuto.
  • Bloccate i documenti Office contenenti macro sui programmi di posta
    elettronica e proxy.
  • Installate subito tutti gli aggiornamenti di sicurezza disponibili per i
    sistemi operativi, i browser, client di posta elettronica e programmi di
    Office.
  • Proteggete gli accessi VPN tramite un’autenticazione a due fattori e
    installate le patch su tutti i dispositivi esposti.
  • Effettuate regolarmente un backup dei dati su un supporto di archiviazione
    esterno e custoditelo offline.
  • Conservate almeno due generazioni di backup.
  • Le imprese dovrebbero continuamente sorvegliare gli attacchi sulle proprie
    reti.
  • Inviate le e-mail nocive a
    reports@antiphishing.ch oppure
    segnalatele al
    servizio di contatto dell’NCSC tramite l’apposito modulo.
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Ben tre bande di ransomware chiudono e rilasciano un decrittatore gratuito. Perché?

Ben tre bande di ransomware chiudono e rilasciano un decrittatore gratuito. Perché?

Credit:
The Record.

Sta succedendo qualcosa di insolito nel mondo del ransomware, una delle
attività criminali più lucrative di questo periodo: bande criminali che hanno
attaccato con successo
moltissime grandi aziende in tutto il mondo, bloccando i loro dati con una cifratura di cui solo loro conoscevano la
chiave e incassando lautissimi riscatti, stanno chiudendo di colpo, senza
spiegazioni, e stanno dando gratuitamente alle proprie vittime le chiavi per
recuperare i propri dati.

Il giornalista specializzato in sicurezza informatica Catalin Cimpanu segnala,
su
The Record, che la banda denominata Ragnarok (o Asnarök) ha cessato la propria attività
online il 26 agosto scorso e ha rilasciato una utility gratuita di
decrittazione che contiene la chiave master, una sorta di
passepartout o chiave universale, che decifra tutti i dati bloccati
dagli attacchi passati della banda, operativa sin dalla fine del 2019.

L’utility di decrittazione è oggetto di verifiche da parte degli esperti e verrà riconfezionata e ripulita prima di essere messa pubblicamente a disposizione presso il portale NoMoreRansom.org di Europol insieme agli altri strumenti di decrittazione già disponibili per altri ransomware.

Il 12 agosto scorso è successa esattamente la stessa cosa con la banda denominata SynAck. Il programma di decrittazione è disponibile qui su Emsisoft.

A giugno scorso era stato il turno del gruppo criminale che gestiva il ransomware Avaddon: da allora gli attacchi sono cessati e la banda ha rilasciato un programma di decrittazione (disponibile qui su NoMoreRansom e qui presso Emsisoft).

La domanda, a questo punto, è perché dei criminali che sono in piena attività decidono di “redimersi”, per così dire.

C’è un dettaglio interessante che potrebbe suggerire una possibile
spiegazione: i ransomware gestiti da tutte queste bande
evitavano
di prendere di mira Russia e/o Cina (basandosi per esempio sul
language ID del sistema infettato); è una caratteristica molto comune nei ransomware. Si teorizza quindi che le bande operino da questi paesi (più probabilmente Russia) e che qualche persona o organizzazione influente del posto sia intervenuto quando il ransomware ha colpito qualche bersaglio che non doveva colpire. Ma si tratta, per ora, di pura congettura.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Comparis.ch colpita da ransomware, consigli per gli utenti

Comparis.ch colpita da ransomware, consigli per gli utenti

Anch’io sono fra i tanti utenti svizzeri di Comparis.ch, il popolare sito di confronti fra prodotti e servizi (80 milioni di visite l’anno) che è stato colpito da un attacco informatico, basato sul ransomware, il 7 luglio scorso, come raccontato da La Regione/ATS

L’azienda dichiara di non aver pagato il riscatto richiesto (400.000 dollari) ed è tornata online dopo una breve pausa grazie alla disponibilità di copie di backup dei dati.

Alcuni dati degli utenti, però, sono stati trafugati dai criminali e quindi sono a spasso in Rete, probabilmente in vendita al miglior offerente.

Non ho trovato dettagli tecnici sull’attacco, a parte l’indicazione che la richiesta di riscatto è stata recapitata a Comparis “sotto forma di un URL impiantato in un’area sicura del sistema informatico”.

Ho ricevuto da Comparis una mail di avviso (ho rimosso alcuni link e dettagli personali), disponibile in copia anche sul sito, che parla pittorescamente di “grande energia criminale”:

Cara lettrice, caro lettore

Le inviamo questo messaggio perché da noi è registrato il suo indirizzo e-mail topone@pobox.com.

Il 7 luglio, il Gruppo Comparis è stato oggetto di un attacco informatico, compiuto con grande energia criminale. Comparis e le sue consociate hanno immediatamente adottato tutte le misure necessarie alla protezione di tutti i dati.

In seguito al cosiddetto attacco ransomware sono stati bloccati vari sistemi informatici del Gruppo Comparis. Nel frattempo il sito web comparis.ch è di nuovo disponibile, funziona normalmente ed è garantito.

Purtroppo, dalle analisi dei dati ora effettuate risulta che gli autori dell’attacco sono riusciti ad accedere ad alcuni dati interni e rilevanti sulla clientela del Gruppo Comparis (p. es. indirizzi e-mail dei nostri utenti).

Lei cosa può fare?

Ha un account da noi? Allora le consigliamo di cambiare la sua password il prima possibile.

Se i suoi dati sono stati interessati dall’attacco, non possiamo escludere che possano essere utilizzati da terzi per scopi commerciali o fraudolenti. La polizia cantonale di Zurigo offre qui una panoramica sul fenomeno (disponibile solo in tedesco). In generale le consigliamo di essere estremamente prudente se la contatteranno terzi che si fanno passare per collaboratori di banche o compagnie assicurative e le chiederanno di fornire determinate informazioni. La preghiamo inoltre di comunicarci eventi del genere per consentirci di segnalarli alle autorità incaricate delle indagini.

Ulteriori informazioni sull’attacco a Comparis sono disponibili nelle nostre FAQ. Per informazioni generali, poi, può consultare la pagina web della polizia cantonale di Zurigo Polizia per la criminalità informatica – Problemi frequenti (disponibile solo in tedesco).

Prendiamo molto sul serio l’accaduto. Abbiamo adottato immediatamente ogni misura necessaria per la protezione di tutti i dati. Il Gruppo Comparis si è già rivolto alle autorità preposte al perseguimento penale, ha sporto denuncia penale e collabora a stretto contatto con gli specialisti in criminalità informatica della polizia di Zurigo. Anche l’Incaricato federale della protezione dei dati e della trasparenza è stato informato.

Ci scusiamo per tutti gli inconvenienti causati.

Cordiali saluti,

Il team Comparis 

Sottoscrivo pienamente i consigli di Comparis: se siete suoi utenti, cambiate la vostra password usata sul sito e sulle sue consociate come Credaris; aggiungo che se avete usato la stessa password altrove, vi conviene assolutamente cambiarla anche lì (usando password differenti per ogni singolo servizio).

Inoltre fate molta attenzione a eventuali prese di contatto telefoniche, via mail o sui social network di persone che si spacciano per rappresentanti di banche o servizi, e della stessa Comparis, e sembrano credibili perché hanno alcune informazioni su di voi. Queste informazioni possono essere state acquisite da attacchi come questi. In caso di telefonate o SMS, infine, non fidatevi del numero che compare: può essere facilmente falsificato.


Fonti aggiuntive: La Regione, Swissinfo, Tages-Anzeiger.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Nuova tecnica contro il ransomware: ingannare il sistema di pagamento

Nuova tecnica contro il ransomware: ingannare il sistema di pagamento

Il ransomware è un problema molto diffuso in tutto il mondo: il criminale entra nei sistemi informatici di un’azienda, mette una password su tutti i documenti, paralizzando l’attività produttiva, e poi chiede un riscatto per dare la password all’azienda. Le vittime che non hanno un backup intatto dei propri dati spesso non hanno altra scelta che pagare per poter riprendere a lavorare.

Solitamente gli esperti si dedicano alla scoperta di difetti nel programma automatico che genera e mette la password sui documenti della vittima: se ce ne sono, è possibile ricostruire la password usata dal criminale e quindi decrittare i propri dati senza dover pagare il riscatto. 

In effetti oggi molte società specializzate in sicurezza informatica offrono servizi di decrittazione anti-ransomware, per cui chi è colpito da questo tipo di attacco non deve disperare ma può cercare aiuto su siti come Nomoreransom.org.

C’è anche un altro approccio molto originale al problema: beffare il sistema di pagamento. Il ricercatore di sicurezza informatica Jack Cable, studente presso la
Stanford University e consulente per la sicurezza elettorale del DHS statunitense, si è infatti accorto che Qlocker, un ransomware molto diffuso che prende di mira specificamente i NAS della QNAP, aveva un difetto nel proprio sistema automatico di gestione dei pagamenti.

Il ransomware, infatti, è altamente automatizzato, per cui anche la transazione di pagamento funziona senza intervento umano: se la vittima paga, riceve un transaction ID che dice al ransomware di decrittare i dati. Cable si è accorto che era possibile generare un ID che ingannava il ransomware e gli faceva credere che la vittima avesse pagato. Bastava mettere in maiuscolo una singola lettera dell’ID.

Cable ha annunciato la scoperta su Twitter,
invitando le vittime a contattarlo per aiutarle a recuperare i loro
dati e ha salvato una cinquantina di utenti sparsi per il mondo. La
banda di Qlocker, intanto, ha cessato le proprie attività. Ogni tanto
qualche storia di crimine informatico ha un lieto fine.

Fonti: Tripwire, Cyberscoop.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.