Archivi categoria: Sicurezza

Cyber Risk – il Dipendente infedele (la minaccia e’ in azienda)

il dipendente infedele

The Unfaithful Employee – #Cyber Risk

The unfaithful employee

Ormai leggiamo, sentiamo, vediamo speciali alla TV, che hanno come tema l’esponenziale crescita del Cyber Risk da cui derivano attacchi di ogni genere che vanno dalla truffa online, alla compra vendita di carte di credito, all’uso di speciali software/scripts ai Ransomware, che “rapiscono” i nostri device, personali o aziendali per un vero e proprio riscatto, spesso in cripto valute, etc….. e la lista e’ varia come la fantasia delle persone che le studiano.

Oltre ai pericoli sopra citati dobbiamo aggiungerne uno che negli ultimi anni sta evidenziandosi alla stregua dei cosiddetti “attacchi hacker”, questo pericolo e’ il rischio del “dipendente infedele”.
Gia, perche’ se e’ ancora vero che piu’ dell’80% delle spese in ambito security delle aziende e’ ancora improntato verso la “sicurezza del perimetro esterno”, sono sempre piu’ in aumento i casi documentati di violazioni (spesso ad hoc) da parte o con la complicita’ di dipendenti infedeli.

Del resto sono sempre piu’ lontani, o confinati nella cinematografia, gli attacchi del singolo hacker che punta ostinatamente la grande preda (Banche o Assicurazioni, la NASA ed i soliti noti….), mentre nella realta’ ormai siamo tutti collegati a tutti tramite e-mail, social network e cosi anche chi punta “alla balena bianca” passa prima per quelli che, nella migliore delle ipotesi, possono diventare vittime collaterali, ma comunque vittime.
Chi entra nella nostra privacy per poter arrivare ad un bersaglio piu’ importante, colpisce comunque prima noi ed i nostri diritti; questo perche’ non venga mai sottovalutata l’importanza che ormai rivestiamo tutti nei confronti di tutti, un po’ come spiegato anche nel famoso concetto dei 6 gradi di separazione (Six Degrees of Separation).
Basta quindi con l’idea ormai assurda di credere di essere al sicuro, affermando semplicemente: “perche’ dovrebbero colpire proprio me, io non ho nulla da nascondere….” ;
e’ esattamente questo modo di pensare che aiuta chi usa con capacita’ le tecniche di ingegneria sociale e di phishing a perpretare i loro crimini.

In effetti possiamo elencare alcuni punti importanti che possiamo descrivere come sfavorevoli alla lotta al Cyber Risk:

  • apparente e diffusa sensazione di sicurezza – troppe persone pensano che avere un antivirus sul pc ed un Firewall da 2 euro al mese sul cellulare basti alla protezione;
  • sottostimiamo che i danni possono essere pesantissimi – per un privato puo’ essere il trovarsi con il conto bancario svuotato, oppure dover pagare un riscatto x riavere l’accesso alle proprie foto, mentre per le aziende molto spesso e’ la perdita della reputazione e molto altro ancora….
  • il campo di gioco/battaglia e’ il mondo intero – questo e’ uno degli aspetti meno considerati, oggi giorno si puo’ venire attaccati da chiunque, da ogni parte del mondo, ed i motivi che smuovono gli attacchi possono essere i piu’ diversi, non soltanto quelli economici o legati allo spionaggio industriale (che fa molto spy story)
  • il rischio dell’errore umano e’ dietro l’angolo – quotidianamente i nostri software e le nostre app vengono aggiornate, spesso in automatico, perche’ le aziende scoprono (spesso troppo in ritardo) bugs e malfunzionamenti di ogni genere, a volte sono errori di programmazione, altri sono modifiche richieste dal mercato, altri ancora iniettati da dipendenti fraudolenti, o pagati per farlo etc….etc….

Non a caso, anche il mercato assicurativo sta introducendo polizze per il “cyber risk”, studiate per garantire risposte certe e complete a questo rischio in forte ascesa.

Ma torniamo al tema portante di questo articolo e proviamo a definire chi e’ il “dipendente infedele”.
Il dipendente infedele è quel soggetto che essendo all’interno di una azienda, attraverso svariate tecniche tra cui il social engineering e, l’utilizzo dei sistemi e delle tecnologie informatiche, riesce a carpire/rubare informazioni sensibili circa l’azienda stessa e i colleghi di lavoro.

Sbagliamo se pensiamo che per arrivare ad avere informazioni tanto importanti o confidenziali si debba essere per forza parte dell’ingranaggio dei Manager (anch’essi spesso non esenti da questo rischio per via del ruolo chiave che rivestono) , invece tipicamente queste figure, qualora non abbiano privilegi particolari o amministrativi, punteranno ad acquisire informazioni in qualsiasi  modo possibile, tipo rovistando tra le varie scrivanie in cerca di
post-it riportanti utenze e password, accedendo alle postazioni dei colleghi durante la loro assenza oppure introducendosi in aree con accesso restrittivo in cerca di documenti lasciati in vista, effettuando backup dalla rete aziendale interna o di database contenenti progetti in corso o qualsiasi altra informazione che potrebbe tornare utile, salvando il tutto su supporti esterni come chiavette USB e molto altro ancora……

Quali sono le cause

Generalizzando il concetto, potremmo dire che questa figura è solitamente caratterizzata da un forte senso di insoddisfazione verso l’azienda, i titolari o i colleghi.

I dati sottratti illecitamente solitamente vengono utilizzati per i seguenti scopi:

  • vendita delle informazioni ad una azienda concorrente in cambio di un compenso economico oppure di una offerta lavorativa migliore;
  • riutilizzo dei dati sottratti per aprire una società in parallelo spesso violando patti di non concorrenza;
  • estorsione di denaro verso i legittimi proprietari dei dati;
  • modifica/cancellazione di dati, oppure divulgazione senza scopo di lucro al fine di creare un danno economico e di immagine all’azienda.

Questo ci porta ad interrogarci circa la validita’ sul campo di molte delle piu’ comuni tecniche di policy aziendale, ma nel caso si verifichi una fuga di dati verso l’esterno ad opera di un dipendente infedele sara’ importante effettuare delle indagini per far luce sullo scenario accaduto e trattare nel modo più opportuno l’incidente verificatosi, e quale miglior sistema che adottare le tecniche della Digital Forensics ed i tencici specializzati in questa materia.

Questo fenomeno e’ in grande ascesa e le aziende che monitorano lo sviluppo del Cyber Crime, fanno notare come negli ultimi anni nel dark web, gli hacker stanno reclutando e preparando tecnicamanete degli insider con gli strumenti e le conoscenze necessarie a perpetrare attacchi, informatici e non, nei confronti delle loro aziende.

Il rischio del DarkWeb

Il dark web sta facendo leva principalmente su tre fattori predominanti, per creare la propria “armata” di dipendenti infedeli, quali:

  • insider trading: bastera’ dimostrare di poter accedere ad informazioni non disponibili al grande pubblico, per poter essere reclutati;
  • vendita di numeri di carte di credito da parte di insider che lavorano presso negozi di vendita al dettaglio;
  • installazione di malware all’interno delle aziende, eludendo così ogni sistema di sicurezza perimetrale.

Tutti motivi per i quali oggi giorno alle aziende non basta piu’ monitorare soltanto la parte fisica dei propri dati e device ma e’ costretta ad introdurre anche quelli che vengono definiti come “vigilanti del sentiment”, ossia personale preparato ed addestrato a riconoscere non soltanto gli abusi a livello tecnico ma principalmente i “segnali” della possibile infedelta’ , quindi del “sentiment negativo” dei dipendenti verso specifiche figure aziendali o dell’intera azienda, insomma dei veri e propri investigatori.

Anche in questo caso potremmo dettagliare con tre punti chiave, i motivi per cui un’azienda dovrebbe rivolgersi ad un’agenzia investigativa:

  • a tutela del patrimonio e della produttività aziendale;
  • a salvaguardia del know-how aziendale;
  • a sostegno del management

A coadiuvare questo articolo useremo le parole di due veri esperti del mondo digitale e della sicurezza, in grado di spiegare ancora meglio i concetti sopra descritti; eccovi dunque il video dell’ottima intervista fatta da Matteo Flora a Marianna Vintiadis

Godetevi il video:

CITRIX databreach – Rubati 6 Terabyte di dati

Citrix databreach 6 Terabyte rubati

CyberWar, questo potrebbe essere il titolo di meta’ delle notizie che hanno a che fare con attacchi informatici di ogni genere, sia che siano diretti ad enti governativi o di Inteligence o che vadano a colpire grandi aziende.
Questo perche’ la CyberSecurity passa prima di tutto dalle aziende responsabili della creazione e dello sviluppo delle piattaforme informatiche/web che sempre piu’ quotidianemente usiamo ed useremo.

Pensando ai danni che potranno accadere con lo sviluppo delle tecnologie IoT, se non verranno ben gestite, il futuro digitale sembra vivere un momento di forte confusione. Ma veniamo alla notizia di qualche giorno fa.

L’attacco questa volte e’ avvenuto ai danni di Citrix, ed e’ di nuovo allarme sicurezza a livello mondiale, poiche’ questa volta la vittima è una di quelle aziende popolari, cosi come Facebook o Amazon, in quanto Citrix  e’ un’ azienda d’importanza e di forte impatto nel mercato delle soluzioni per la virtualizzazione desktop e server.

L’attacco e’ cosi importante, non soltanto per la quantita’ di dati sottratti, ma perche’ molti, o la stragrande maggioranza di essi, sono documenti tecnici di progettazione, che potrebbero quindi essere usati per accedere ai sistemi dei clienti che utilizzano le piattaforme Citrix. Tanto importante, dicevamo, che a gestire le indagini e’ intervenuta direttamente l’FBI, cosi come riportato anche in un’articolo di Forbes:
Why The Citrix Breach Matters And What To Do Next

Citrix ha immediatamente dichiarato di essere al lavoro per far rientrare l’allarme, ed ha aperto un’indagine interna, di tipo forense, per poter capire cosa e come sia successo.

Di per se a noi che non siamo direttamente coinvolti poco importa il COME, anche se lascia comunque basiti del fatto che, in pratica, non esiste alcune azienda che non sia attaccabile, sembra soltanto che sia piu’ una questione di tempo, di QUANDO questo succedera’.

In questo specifico caso, sembra che gli attaccanti avrebbero usato una tattica chiamata “password spraying”, in cui vengono sfruttate le password deboli per ottenere accesso al sistema, anche se limitato, per poi, successivamente, trovare il modo per aggirare i sistemi di sicurezza e fare escalation sul sistema vittima.

Quello che vorrei evidenziare, piu’ dell’attacco in se e piu’ ancora dell’azienda che e’ stata vittima, e’ che oggi giorno dovremmo tutti capire che Internet ( ossia il luogo in cui tutti noi ci scambiamo informazioni lavorative e/o personali ) e’ visto dagli altri “competitor” come un vero e proprio campo di battaglia, questo perche’ “la Rete” si e’ trasformata nel “Quinto Dominio Militare”, infatti il Cyberspazio è oramai da considerarsi la nuova frontiera della Guerra tra stati, un dominio in carenza di regolamentazione, dove i danni collaterali (le vittime ignare) siamo noi.

Consiglio a tutti la visione e l’ascolto di questo ottimo video che s’intitola per l’appunto GUERRA DIGITALE
con Matteo Flora & Stefano Mele.

Sneaky Phishing rompe la doppia autenticazione SMS

Sneaky Phishing vs 2FA

I ricercatori del Certfa Lab hanno individuato una campagna di sneaky phishing,  che potremmo tradurre genericamente come il phishing “subdolo”, che e’ in grado di compromettere i sistemi di protezione di accesso ai servizi on-line basati sulla doppia autenticazione con SMS.

Come abbiamo gia descritto in un recente articolo, anche i migliori sistemi di autenticazione online , tramite il 2FA, ossia il sistema di autenticazione a doppio fattore, soprattutto quello per cui interagiamo con il servizio a cui vogliamo collegarci tramite il doppio uso di Login+SMS codice, e’ ormai a rischio, motivo per cui sono nate le chiavette come la Yubikey o, piu’ recentemente, la Titan Security Key di Google.

Ma oggi purtroppo nuovi pericoli affliggono la gestione di accesso tramite SMS, infatti sono arrivate nuove tipologie di attacco informatico che possono invalidare il livello di sicurezza di questo sistema.

Oggi parleremo della truffa chiamata “Sneaky phishing”. Prima di questo nuovo attacco informatico, l’autenticazione a due fattori (two-factor authentication) era considerata il sistema di protezione più sicuro per proteggere i propri account, soprattutto quelli per l’accesso ai servizi di home banking, e proprio l’autenticazione basata su SMS negli ultimi tempi è stata colpita da vari attacchi “man-in-the-middle” e “man-in-the-browser”, nonché da frodi nello scambio di SIM di famosi provider di telefonia mobile.

L’attacco Sneaky phishing è stato creato attorno alla vecchia idea di inviare un falso allarme di accesso non autorizzato ad un account vittima, utilizzando un indirizzo generico ma dall’aspetto plausibile, come ad esempio:
” notifications.mailservices@gmail.com ”

L’inganno iniziale di questo attacco , che quindi sfrutta in partenza la tecnica del Phishing , sfrutta il fatto che Google, ma anche Yahoo e tutti gli altri grandi nomi di Internet, inviano spesso avvisi di sicurezza per informare i proprio utenti di un accesso sospetto ai rispettivi account da computer o dispositivi diversi da quelli utilizzati normalmente .

All’interno di questi messaggi possono trovarsi diverse altre tecniche di cattura dei dati di accesso per la violazione di un’account, quali ad esempio:

  • pagine e file di phishing ospitate su sites.google.com, un sottodominio di Google
  • invio dell’avviso e-mail come immagine cliccabile dell’add-on Screenshot di Firefox, piuttosto che come URL in modo da bypassare i sistemi di anti-phishing
  • tracciamento di chi ha aperto le e-mail incorporando un minuscolo pixel 1×1 cosiddetto “beacon” che viene ospitato e monitorato da un sito web esterno

…..etc……etc……..

Presumibilmente è stato così per la maggior parte dei loro bersagli, nella pratica i criminali hanno utilizzato una pagina web di phishing costruita ad hoc che imitava l’accesso 2FA del fornitore del servizio on-line utilizzato dalle vittime per dirottarle usando le tecniche di Phishing viste sopra.

COME DIFENDERSI ??

I sistemi di autenticazione a due o più fattori rimangono ancora i più efficaci sistemi per proteggere i propri account on-line, ma quanto successo , e si e’ dimostrato, con questa campagna di sneaky phishing conferma che l’SMS non è più l’opzione migliore per effettuare la verifica di accesso. Google, ad esempio, non la propone più ai suoi nuovi utenti, a meno che non sia stata impostata su vecchi account Gmail, ma spinge perche’ vengano usati sistemi di token hardware FIDO U2F, in quanto può essere bypassato solo accedendo fisicamente alla secure key.

Qualcuno potra’ obiettare che anche il token puo’ essere violato, se ad esempio viene perso o rubato ed a quel punto l’ultimo baluardo rimarrebbe la “robustezza” della nostra password…..si torna sempre li….l’errore umano.

Ma almeno percentualmente il sistema a doppio fattore gestito con un token hardware rimane, al momento, il sistema piu’ efficace di protezione dei nostri dati.

Torniamo adesso a parlare di quelli che possono essere degli utili consigli per difendersi :

  • prima di tutto, nel momento in cui riceviamo una e-mail, a prima vista lecita, dove ci viene richiesta un’autenticazione, verifichiamone sempre la provenienza e il contesto e poniamoci velocemente alcune domande: 1) Ho cambiato qualche parametro nei settaggi del mio account? 2) Sto creando un account o mi sono registrato ad un nuovo servizio? Se la risposta sara’ “niente di tutto questo” Allora lnon rimane che cestinarla immediatamente, poiche’ si trattera’ sicuramente di una e-mail potenzialmente pericolosa;
  • disabilitiamo il caricamento in automatico delle immagini. Molti fornitori di webmail offrono questo tipo di funzionalità, sfruttiamola;
  • se pensiamo di utilizzare applicazioni di terze parti per l’autenticazione, verificatene sempre la provenienza, usate soltanto URL/store ufficiali per i vostri download;
  • nel caso in cui, a maggior ragione, la sicurezza sia qualcosa di imprescindibile (in ambito personale o lavorativo), valutate l’idea di utilizzare dei token fisici come quelli descritti qui

Quello che bisogna ricordarsi sempre e’ che il Business del crimine e’ sempre pronto e molto spesso un passo avanti a tutti e chi ci lavora si allena quotidianamente…….fatelo anche voi 😉

Esiste una difesa efficace per l’OSINT?

Open Source-INTelligence

Open Source Intelligence

La Open Source INTelligence, acronimo OSINT (in italiano: “Intelligence delle fonti libere”), è l’attività di raccolta d’informazioni mediante la consultazione di fonti di pubblico accesso.

Cit.
“… OSINT is information that has been deliberately discovered, discriminated, distilled, and disseminated to a select audience, generally the commander and his/her immediate staff, in order to address a specific question. …”

Non ci fermeremo ad analizzare come funziona l’OSINT, per questo argomento ci sono decine di libri e centinaia di articoli che dettagliano le tante, tantissime tecniche (discipline) che compongono questa interessante metodologia.

Dunque la domanda e’ COME POSSIAMO DIFENDERCI?

Certamente il primo consiglio e’ quello di selezionare sempre con attenzione che cosa decidiamo “volontariamente” di condividere con il mondo, su quali social, con quali metodologie ed allo stesso tempo rimanere sempre aggiornati sui continui cambiamenti dei regolamenti dei social network a cui diamo con tanta gioia e facilita’ il controllo dei nostri ricordi, poiche’ alla fine e’ questo che ci muove, la “comodita’ ” di avere in un posto  foto/pensieri “momenti” unici che SPERIAMO rimarranno’ per sempre perche’ ci fidiamo che quei social rimarranno a lungo e si prenderanno cura delle “nostre cose”.

Andiamo avanti……come sopra indicato bisogna partire facendo un controllo attento, continuo ed accurato sulle Impostazioni Privacy del proprio utente nei vari Social Network;

Possiamo contare anche su una serie di servizi come HaveIBeenPwned, Google Alert, Talkwalk Alerts, Mention o MeltWater che permettono di avere sotto controllo la propria identità in rete.

In questo gia ricco arsenale possiamo introdurre un’ottimo sistema, il suo nome e’

OPERATIVE-FRAMEWORK

OF e’ un tool scritto in python che ci permette di fare cose davvero interessanti come, per esempio,

  • trovare domini registrati da una specifica mail
  • trovare attivita’ illecite  promosse da uno specifico utente
  • scoprire siti e-commerce truffaldini

….. e molte altre operazioni d’investigazione.

Il progetto e’ disponibile, in due versioni, su Github

  1. Operative Framework
  2. Operative Framework-HD

Le operazioni d’installazione e di configurazione sono ben descritte nelle pagine del progetto di Github, riportate sui link qui sopra. Una volta installati i pacchetti il loro uso e’ simile a quello di Metasploit, ad esempio con il comando “use” possiamo selezionare uno dei tanti moduli preinstallati:

$ use core/modules/email_to_domain

per poter vedere tutte le opzioni necessarie ad eseguire questa operazione bastera’ dare il seguente comando:

$ show_options

invece con il comando “set” possiamo configurare le variabili richieste per il funzionamento del modulo e “run” per lanciare il tutto.

Operative Framework

Operative Framework

Anche l’Operative Framework e’ solo una delle tante possibili armi nel bagaglio dell’OSINT, al punto che potremmo dedicare un’intera rivista elencando ogni singolo strumento a nostra disposizione, dunque con questo articolo ci stiamo soltanto limitando a dare uno sguardo a quei tool che sono fondamentali nella cassetta degli attrezzi di un’investigatore digitale.

Una raccolta di (quasi) tutti i tools disponibili in rete è data da https://osintframework.com, progetto a cui ogni giorno vengono aggiunti nuovi servizi.

IL WIFI TI SPIA ANCHE IN CASA

Wifi_Room_Photo

Wifi Rooms Spy Photo

 

CONTROLLATI H24

Non ci facciamo neppure caso ma oramai viviamo tutti come in ammollo in un denso e fitto mare “Elettromagnetico” continuo H24 e su frequenze diverse; proviamo a pensarci:

  • ci sono i telefonini 3G/4G/5G
  • ci sono le frequenze Radio, quelle Satellitari
  • ci sono le frequenze dei router domestici 2.4 – 5 GHz …. etc

tutte queste interferenze ruotano attorno a noi H24 / 365 giorni

Ma in questo articolo non parleremo delle potenzialita’ dannose di tutto questo, ma dobbiamo tenere presente che, li dove un dottore puo’ vedere danni per la salute, un hacker ci puo’ vedere delle potenzialita’ di controllo, come ad esempio spiare che cosa fanno le persone dentro le loro 4 mura.

Infatti, a differenza degli occhiali truffa degli anni 70/80, che promettevano di poter spiare le persone sotto i loro vestiti, le onde elettromagnetiche dei nostri device casalinghi, e non, che sfruttano le frequenze tra 2.4 – 5 GHz, possono davvero permettere di “vedere” dentro le case, poiche’ case ed uffici ne sono totalmente saturi (anche se noi non le possiamo vedere).

Basti pensare che i movimenti delle persone sono in grado di distorcere i campi elettromagnetici , riflettendo e rifrangendo le onde radio; questo tipo di studi sta diventando cosi importante a tal punto che ci sono ad oggi gia diversi gruppi di ricercatori che hanno portato avanti diversi progetti, con modelli di analisi delle variazioni e perturbazioni dei campi elettromagnetici delle frequenze usate dagli hot-spot casalinghi che permettono di vedere cosa succede dentro una casa, cosi come in una radiografia.

SPIATI IN AZIENDA – Per tenere sotto controllo il movimento degli impiegati non servono telecamere, bastano un paio di router Wi-Fi

Quello che ne sta venendo fuori e’ davvero sorprendente.

Un gruppo di ricerca dell’Universita’ della California (Santa Barbara), guidato da Yanzi Zhu, e’ riuscito a determinare la posizione delle persone presenti all’interno di una stanza, e registrarne i movimenti, basandosi semplicemente sul segnale di una rete WIFI “vista da fuori”, ossia senza essersi prima loggati.
Il tutto utilizzando un semplice telefono Android con installato il software creato dai ricercatori.

Tutto questo, tecnicamente perche’ le onde elettromagnetiche in generale, e quelle degli apparati wifi in particolare, passano attraverso determinati tipi di solidi e non altri.
In particolare muri e pareti, che non contengono metallo o tubi con acqua, risultano essere in pratica particolarmente  “trasparenti”.

I corpi umani, fatti per il 70% di acqua, bloccano il passaggio delle onde radio, riflettendole, un po’
come quando vengono usati i radar. Questo genera un’immagine delle persone che si muovono, come silhouette
in una specie di ecografia tridimensionale, in tempo reale.

Per avere una “telemetria” quasi perfetta, che permetta di seguire tutti i corpi in movimento, non basta una sola fonte ma considerando che in ogni edificio moderno possiamo trovare N campi wifi dei router casalinghi attorno a noi, o dei ripetitori di segnale, li dove la casa e’ piu’ grande di un normale appartamento, potremmo sicuramente riuscire ad avere una immagine piu’ dettagliata che ci permettera’ di posizionare tutti i corpi nello spazio.

Quindi per concludere, se almeno di notte non dovete lavorare o scaricare serie tv, spegnete il wifi, fara’ bene alla salute e sara’ comunque piu’ sicuro.