Proteggere i dati significa proteggere le persone e la ricchezza del paese

Dopo il caso Eye Pyramid, il tema del cyberspionaggio diventa oggetto di dibattito pubblico. Secondo il ceo di NTT Data Italia i dati vanno protetti perché “sono il petrolio del paese”

Parliamo del caso del giorno, la vicenda Eye Pyramid, con Walter Ruffinoni, attuale CEO di NTT Data Italia, partner del distretto di Cybersecurity di Cosenza. L’occasione è l’intervista a SkyTG24 dove ha potuto dare il suo punto di vista sui temi della sicurezza e sulle prospettive del nostro paese dove l’azienda ha deciso di investire in talento e innovazione, proprio al Sud.

Ruffinoni, intanto ci dica cosa fate a Cosenza

Siamo partner del Distretto di cybersecurity insieme a Poste e all’università della Calabria per creare soluzioni di protezioni dai cyber attacchi per aziende, istituzioni e privati. In quella sede costruiamo soluzioni basate anche sulle tecnologie ed esperienze giapponesi, come Dymora, visto che la protezione dell’end user è per noi una priorità. DyMoRa è una soluzione permette di avere sul proprio device mobile un’area sicura e non accessibile ai malintenzionati dove scambiare informazioni (es per i CdA) o per tenere in sicurezza i dati sensibili.

Lei ha detto infatti anche in altre interviste che Informazione e dati sono la ricchezza del paese

E lo ripeto: la sicurezza è un asset fondamentale per costruire la digitalizzazione di un paese con l’obiettivo di avere servizi più semplici ma allo stesso tempo sicuri dagli attacchi informatici. Oggi l’Informazione ha un valore sempre più alto e il rapporto stato-cittadino va digitalizzato in maniera sicura. Il dato è la vera moneta di scambio e la vera ricchezza. Per questo i dati fanno sempre più “gola” ai cybercriminali. Oggi il perimetro da controllare si dissolve ed i singoli end user diventano il nuovo perimetro da mettere sotto controllo: con la commistione digital/fisico e l’interconnessione di cose, persone e organizzazioni si apre un nuovo campo di vulnerabilità prima sconosciuto.

È sufficiente quello che fanno le aziende in Italia?

In Italia le aziende hanno messo in campo una serie di soluzioni focalizzate maggiormente sul tema della protezione perimetrale, il controllo degli accessi logici ai sistemi a diverso livello (applicativo, sistemistico e DB) e il tracciamento delle operazioni svolte da utenti e amministratori di sistema. Le principali aziende italiane, sicuramente le più grandi, hanno poi riconosciuto come questo atteggiamento “statico”, focalizzato sulla messa in campo di contromisure puntuali, non potesse rimanere al passo con una dinamica tecnologica che favoriva il rapido diffondersi di nuove vulnerabilità e il nascere di nuove e sempre più sofisticate tecniche d’attacco.

Il caso Eye Pyramid: tecnica, prevenzione e conseguenze

Veniamo al caso Eye Piramid. Cosa è successo dal punto di vista tecnico?Come è potuto accadere?

Il caso Eye Pyramid è un caso di malware infection avvenuto attraverso una email malevola (una email da indirizzo valido di uno studio legale con un allegato altrettanto “valido” – un pdf che però camuffava il virus). Questo malware ha creato una botnet tra i computer infetti. Sono stati poi selezionati i pc delle persone “interessanti”. Inoltre in questo caso sono stati infettati account di domini “ufficiali” di enti specifici (es bancaditalia.it, esteri.it, tesoro.it etc).

In questa rete venivano monitorati account specifici di persone rilevanti in termini istituzionali o di potere e sono stati creati una serie di dossier memorizzati su server negli Stati Uniti. I dossier contenevano di fatto info scambiate principalmente via email dagli interessati e il file dossier veniva poi spedito a una serie di email controllati dagli attaccanti.

Le mail inviate erano rimosse in tempo reale e non lasciavano traccia. Non è ancora chiaro come venivano utilizzati i dati raccolti, probabilmente potevano essere commercializzati sul mercato (deep web).

Cosa avremmo potuto fare per fermarlo?

Tutto è nato da un click su un allegato. Una “cosa banale”. Non si tratta di un malware nuovo, ma già in circolazione dal 2008. Ma si tratta di una malware “poliformo” che ha tra le sue caratteristiche quella di mutare in modo da non essere riconosciuto dai normali antivirus. La mutazione avviene sia comandata dal centro di comando, ma può anche essere programmata internamente al malware e attivarsi automaticamente.

Contro questi malware non basta un buon antivirus?

Non esiste una soluzione automatica che protegge. Molte email che nascondono malware fanno anche leva su aspetti psicologici molto raffinati, puntando su paura, senso del dovere, o sul rispetto delle regole etc.

È per questo che all’aumentare delle difese, gli attacchi non diminuiscono?

La digitalizzazione può aumentare le potenziali vulnerabilità, ma l’errore umano è una della cause principali tramite cui si riesce a inserire un malware.

Cosa si poteva fare per prevenire?

Difficile prevenire. Solo attenzione anche di fronte a mittenti sicuri. Sempre prestare molta attenzione a click a link e all’apertura di allegati anche “innocui” come un pdf, appunto.

In caso di dubbio?

Beh, direi di fare un check online googolando il nome dell’allegato della mail: spesso si trovano segnalazioni di pericolo. Consapevolezza ed educazione sono i due maggiori ambiti su cui lavorare per mitigare il rischio a livello individuale.

Il problema, le soluzioni, l’utente finale

Quali sono allora le soluzioni possibili in questo scenario?

Occorrono maggiori investimenti per aumentare la collaborazione del cittadino nella condivisione delle informazioni di cui è proprietario nel rispetto della privacy, al tempo stesso investimenti nell’educazione per evitare di condividere informazioni che paiono innocue e che in realtà possono essere usate per social engineering.

Occorre anche maggiore trasparenza da parte degli attaccati per scoprire e denunciare nel più breve tempo possibile questi attacchi. In questo caso è stato possibile scoprire l’attacco solo quando casualmente una di queste mail è stata ricevuta dall’Enav che si è insospettito e ha girato tutto al CNAIPIC che ha avviato le indagini.

Prevenire è difficile, ma si può fare qualcosa per capire se un PC è infetto?

Spesso gli attacchi non vengono riconosciuti immediatamente. In media occorrono 200 gg prima di scoprire un attacco. Il singolo individuo difficilmente ha capacità e strumenti per analizzare e scovare il virus. Però può far valutare le situazioni che ritiene sospetti da esperti. Ad es, la polizia postale o società specializzate.E’ comunque sempre buona norma tenere sempre aggiornati i propri sistemi di sicurezza (firewall, antivirus) e cambiare spesso anche le proprie password.

Ma può bastare visto che non solo le persone, ma anche le infrastrutture sono sotto attacco?

Dal sistema energico a quello finanziario per arrivare alla comunicazione, le infrastrutture critiche sono interconnesse e vitali per il funzionamento di un paese. Alcuni studi europei hanno evidenziato come un black out di una sola di queste infrastrutture porterebbe al collasso un paese intero. Senza energia elettrica col passare delle ore tutti i servizi fondamentali per la vita di una nazione smetterebbero di funzionare causando anche dei decessi.

Fonte: Startup Italia - Autore: Arturo Di Corinto

Polizia Postale, 510 siti oscurati per terrorismo nel 2016

La Polizia Postale ha reso noto il bilancio 2016 dell'attività informatica. Sono stati monitorati più di 400mila siti eversivi e terroristici. La Polizia Postale e delle Comunicazioni ha confermato che nel 2016 sono stati oscurati 510 indirizzi web eversivi, o comunque di riferimento per il terrorismo nazionale e internazionale.Il monitoraggio ha riguardato 412.447 siti web e numerosi profili Twitter e Facebook. Due le persone arrestate e altre otto denunciate per attività eversive tramite strumenti informatici e comunicazione telematica. Il C.N.A.I.P.I.C., centro nazionale anticrimine per la protezione delle infrastrutture critiche, ha contrastato almeno 831 attacchi informatici degni di nota indirizzati a siti istituzionali e strutture. Ancora più grande l'impegno per la gestione di 5262 alert diramati per le vulnerabilità riscontrate su sistemi informatici o minacce.  A livello internazionale le richieste di cooperazione, in seno alla rete 24-7 "High Tech Crime" del G7, sono state 82. Le attività investigative sono state invece 65 e hanno portato alla denuncia di 25 persone. Il Bilancio 2016 dell'attività svolta dalla Polizia Postale si chiude positivamente anche se le sfide su più macro-aree di competenza diventano sempre più complesse. Si parla di contrasto alla pedopornografia online (576 casi, 51 arresti e 449 denunciati),  hate speech (96 siti su 1120 monitorati), protezione infrastrutture, cybercrime finanziario, eversione, terrorismo, etc.

Fonte: La Repubblica

Ransomware: torna il virus del “riscatto”, che prende in ostaggio il PC

A distanza di anni dalla prima apparizione è ritornato in auge, proprio in questi giorni, un virus “ransomware“, un tipo di codice nocivo capace di bloccare l’accesso al computer infettato e di pretendere un riscatto da parte dell’utente per ripristinare il normale accesso ai contenuti memorizzati nella macchina. Si tratta di una forma di estorsione che qualche anno fa, nel 2006, riuscì a fare diversi danni, obbligando gli utenti a collegarsi tramite modem analogico a un numero ad altissima tariffazione, con lo scopo di chiedere un codice di sblocco per rientrare in possesso del proprio computer. A distanza di 5 anni ecco quindi il ritorno. È notizia di queste ore, infatti, il ritorno del “ransomware”, scoperto dal CNAIPIC (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche) e da Prevx, che hanno notato la diffusione di un virus descritto come la variante di una minaccia conosciuta con il nome di “MBRLock“. Si tratta di un software che, una volta eseguito, crea una copia dell’MBR (Master Boot Record, il settore di avvio dell’HDD dove sono memorizzati tutti i dati necessari al caricamento del sistema operativo) salvandola in un settore diverso dal solito, mentre i dati presenti nell’MBR “originale” vengono sovrascritti con le istruzioni che impediscono il normale caricamento del sistema, facendo comparire all’utente un falso avviso che informa di come la copia di Windows in uso è illegale e che per ripristinare le funzionalità è necessario inserire il codice prodotto entro tre giorni, superati i quali il sistema non si potrà più sbloccare. Per avere il codice di sblocco l’utente viene invitato a telefonare al numero 899 021 233 (che è stato già disattivato dalle autorità in modo da impedire la prosecuzione della truffa), andando così a far gonfiare la bolletta telefonica a causa dell’alto costo di una simile chiamata. Il virus, diffuso tramite alcuni siti Internet e tramite le reti peer-to-peer, sembra studiato per essere diffuso maggiormente tra gli utenti italiani, svizzeri, belgi ed austriaci, dato che, secondo quanto segnalato, le numerazioni a valore aggiunto sono state attivate in questi paesi, mentre per gli altri c’è un numero 899 internazionale attivato nel Liechtenstein. I ricercatori che hanno scoperto il “ransomware” hanno notato che il software non effettua un controllo sulla password di sblocco, ma solo sulla sua lunghezza, per questo motivo è sufficiente digitare a caso 14 caratteri per procedere con lo sblocco del sistema e ripristinare così l’MBR originale.

Fonte: Oneitsecurity.it - Autore: Giuseppe Cutrone

eSecurity: Telecom Italia e Polizia siglano Protocollo contro crimini informatici su sistemi di sicurezza delle telecomunicazioni

Il Capo della Polizia - Direttore Generale della Pubblica Sicurezza, Antonio Manganelli, e l'Amministratore delegato di Telecom Italia, Franco Bernabè, hanno sottoscritto oggi, presso il Dipartimento della Pubblica Sicurezza, una convenzione per migliorare la prevenzione e la repressione dei crimini informatici a danno dei sistemi informativi critici della società che rappresenta il primario fornitore italiano di servizi di comunicazione telefonica ed elettronica e gestisce la principale infrastruttura di rete per le telecomunicazioni.
Come informa una nota, alla firma erano presenti: il Prefetto Oscar Fioriolli, Direttore Centrale per la Polizia Stradale , Ferroviaria, delle Comunicazioni e per i Reparti Speciali della Polizia di Stato, Domenico Vulpiani Consigliere Ministeriale con delega alla sicurezza informatica e Antonio Apruzzese, Direttore del Servizio Polizia Postale delle Comunicazioni. L'accordo tra le due parti, che ha valore triennale e segue quello già siglato nel settembre 2004, è stato stipulato in attuazione del decreto del Ministro dell'Interno del 9 gennaio del 2008 che ha individuato le infrastrutture critiche informatizzate nazionali, ovvero quelle strutture, pubbliche o private, che gestiscono i settori nevralgici per il funzionamento del Paese attraverso sistemi informatici e telematici. La convenzione siglata oggi si pone infatti l'obiettivo di sviluppare procedure di collaborazione utili a prevenire e reprimere attacchi informatici, di matrice criminale o terroristica, contro i sistemi informativi che gestiscono la sicurezza e la regolarità del sistema delle telecomunicazioni, contribuendo così ad innalzare l'efficienza del sistema nazionale nel settore di riferimento. Dal punto di vista operativo, l'obiettivo verrà attuato anche grazie a un collegamento dedicato tra Telecom Italia e la sala operativa del “Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche – CNAIPIC” del Servizio Polizia Postale e delle Comunicazioni. Con la stipula della convenzione in argomento verrà, quindi, ulteriormente esaltato il ruolo centrale della Polizia di Stato, e in particolare della Polizia Postale e delle Comunicazioni, nella complessa tematica della protezione delle infrastrutture critiche informatizzate.
A breve il Dipartimento della P.S. stipulerà nuovi accordi bilaterali con aziende ed enti istituzionali che gestiscono infrastrutture critiche informatiche, anche nei settori dell'energia, della finanza, della sicurezza, della salute, dell'ambiente, della difesa e della giustizia.

Fonte: Key4biz

È nato a Roma il Centro Nazionale Anticrimini Informatici

Il Cnaipic proteggerà le infrastrutture dai criminali informatici: vigilerà sugli attacchi ai servizi considerati di interesse nazionale, dalla fornitura di acqua ed elettricità ai trasporti. L'acronimo - Cnaipic - non sarà dei migliori ma la costituzione del Centro Nazionale Anticrimini Informatici per la Protezione delle Infrastrutture Critiche, in progetto sin dal 2005 e inaugurato il 23 giugno 2009, è considerata d'importanza vitale.
Lo scopo è la protezione di tutti i servizi considerati essenziali per il nostro Paese - la fornitura di acqua, gas, luce ma anche i trasporti - che ormai sfruttano intensamente le reti telematiche: un attacco a una di queste reti potrebbe avere ripercussioni molto gravi.
Questa preoccupazione non è solo italiana: anche gli Stati Uniti sono all'erta per prevenire attacchi mirati alle infrastrutture portati da eventuali minacce criminali o terroristiche.
Il Cnaipic ha sede a Roma, vicino a Cinecittà, ed è stato presentato da Domenico Vulpiani, direttore del Servizio di Polizia Postale e delle Comunicazioni.
Vulpiani ha sottolineato come la struttura del Centro potrà contare su più di 2.000 agenti e sarà attiva 24 ore su 24, costantemente in collegamento con altre 52 polizie nel mondo per prevenire gli attacchi e coordinare gli interventi.
Il Ministro Maroni, presente alla cerimonia di inaugurazione, ha tenuto a sottolineare come l'istituzione del Cnaipic sia "innovativa, sotto l'aspetto della prevenzione e del partenariato pubblico-privato", alludendo alla stretta collaborazione con le aziende fornitrice dei servizi che il Centro ha il compito di proteggere.

Il Ministero dell'Interno indicherà poi al Cnaipic le istituzioni, le amministrazioni, gli enti e le persone giuridiche - pubbliche o private - la cui attività sia considerata di interesse nazionale e, pertanto, meriti adeguata tutela.

Fonte: Zeusnews