Ancora exploit attivi in natura per i prodotti delle grandi software house. 

Questa volta è il turno di Google, come è stato per Apple, per Microsoft e prima ancora di nuovo Google. Il fenomeno è ormai di natura ciclica. Può essere visto come un fenomeno negativo (per la grande pressione sui software maggiormente utilizzati da noi utenti), ma anche come fenomeno estremamente positivo (le grandi società hanno preso sul serio le minacce è hanno un profilo maggiormente reattivo). 

Anche in questo caso si tratta di un bug in Chrome, il popolare browser di Google, presenza indiscussa su molti dispositivi e sistemi: il bug colpisce il motore WebRTC (tecnologia basata su HTML5 per consentire videochat in tempo reale nel browser) e consente agli attaccanti di eseguire codice arbitrario. 

Il principio del commercio elettronico (e-commerce) non è una novità, e affonda le radici negli anni ’70 ed ’80 con varie forme di “telemarketing”. Ma è ovviamente il World Wide Web negli anni ’90 del secolo scorso a forgiarne la formula che tutti noi oggi conosciamo. 

Oggi compriamo tutto online, ma forse non tutti ricordano che il fenomeno nacque invece attorno ad un unico prodotto: il libro (all’epoca) cartaceo. Fu così per i primi negozi virtuali online: Book Stacks Unlimited (1992) e per Amazon (1995: in origine il garage di Jeff Bezos, letteralmente). 

Sappiamo dove è arrivata la scommessa del trentenne Bezos: Amazon oggi è una realtà imprenditoriale gigantesca e Bezos è uno degli uomini più ricchi del mondo. 

Quando pensiamo alla sorveglianza, al pedinamento, all’intercettazione, vogliamo pensare la cosa come appannaggio esclusivo delle forze dell’ordine, della magistratura, di uno stato di diritto. Quando pensiamo a tutto questo in veste “cyber”, allora pensiamo naturalmente ai trojan (i cosiddetti “captatori informatici”) quali sanciti lecitamente utilizzabili in un contesto di indagine dalle Sezioni Unite della Cassazione. Insomma, pensiamo a qualcosa di correttamente utilizzato in un ambito di indagine contro il crimine.

Questa volta si tratta di una nuova minaccia persistente avanzata (APT) ancora poco conosciuta, soprannominata ToddyCat. 

Ha iniziato a muovere i suoi primi passi a fine 2020 contro limitati obiettivi tra Taiwan ed il Vietam, con uno schema di attacco complesso ma orientato esclusivamente ai server Microsoft Exchange. 

Nella prima campagna ha adottato una sofisticata backdoor passiva (su porte 80 e 443) introdotta mediante un malware già noto ai ricercatori e denominato Samurai: questo era infatti parte di altra catena di attacco vista in precedenza. In questa campagna però Samurai è stato inteso solo come apripista per l’infezione di un secondo malware denominato Ninja, molto più dannoso.

La formazione in ambito Cybersecurity non è mai stata sulla cresta dell’onda come questo periodo. Tra annunci di ransomware che bloccano le proprie vittime, KillNet che dichiara di mettere in ginocchio tutta l’Italia, Anonymous che promette di difenderci e contrattaccare al Russia ci si mette anche l’autorità nazionale per la cybersicurezza che annuncia di assumere nei prossimi 3 anni n-mila esperti di cybersecurity con n grande a piacere.

A parte gli scherzi, è vero che la richiesta di esperti in questo settore è notevolmente aumentata e che il classico skill shortage, in pratica differenza tra domanda e offerta, è in continuo aumento, ma è altrettanto vero che quando si parla di “Cybersecurity” si parla di aria fritta!

La pandemia COVID-19 è stata uno spartiacque: il mondo ha cominciato a girare in modo differente, molto è cambiato e molto cambierà ancora, tra paure e speranze. 

Solo una cosa è rimasta costante: le frodi telematiche hanno continuato a lavorare con la medesima forza ed efficacia, sfruttando il fenomeno pandemico e (al contrario) la voglia di uscirne. 

Se durante la pandemia (in realtà non ne siamo ancora fuori, ma indichiamo con questo il suo picco critico) gli agenti di minaccia hanno diffuso i loro strumenti di attacco grazie alla fame di notizie e l’attenzione per il tema COVID-19, ora che le persone tentano di uscire dal tunnel dei lockdown e altre forme di restrizioni personali (orientandosi al mercato del turismo e viaggi in generale) le mire degli agenti di minaccia hanno cominciato ad orientarsi verso l’industria dei viaggi e dell’intrattenimento e tempo libero, che ha trovato un rinnovato e naturale interesse nella popolazione mondiale

Le squadre blue conoscono bene lo stress del difensore: “troppi eventi in troppo poco tempo”. 

Il tempo di reazione è una chiave interpretativa della qualità di un servizio di difesa; ma perché possa essere valutato il tempo di reazione, il tempo di azione della minaccia deve essere sufficientemente dilatato da consentire il tempo di intercettazione, comprensione, ed infine di reazione. 

Dal punto di vista della prevenzione, invece, il tempo può essere considerato in relazione alla conoscenza dell’esistenza di una vulnerabilità e alla costatazione della sua presenza nel perimetro (Vulnerability Identification), al fine di misurare poi il tempo necessario a che la vulnerabilità sia sanata (Remediation), ammesso che sia già noto un metodo. L’urgenza dell’intervento correttivo è un ulteriore parametro in gioco (nel momento che esistano soluzioni) nella realizzazione di un “Remediation Plan”, in quanto il tempo a disposizione per risolvere è comune a tutte le problematiche, pertanto per avvicinare il momento che sani la vulnerabilità più insidiosa occorre fare delle scelte.

Scoprire un nuovo APT (Minaccia Avanzata Persistente) non è una cosa facile, non tanto per la capacità elusiva della singola attività, ma quanto per la difficoltà di correlare le attività di minaccia e associarle ad un’unica organizzazione. Si tratta di comprendere le TTP (Tattiche, Tecniche e Procedure) che la minaccia adotta e legarle come un filo rosso nelle differenti tracce di attività rilevate. 

È così che una minaccia persistente possa agire indisturbata per mesi o per anni prima che possa essere individuata e seguita nelle sue attività fino al punto di poterne contrastare le capacità offensive. 

Recentemente i SentinelLabs di SentinetOne hanno potuto chiudere il cerchio delle ricerche ed individuare come tutta una serie di attività, che da un decennio imperversano in differenti paesi del sud-est asiatico (Cambogia, Singapore, Vietnam e Hong Kong), ma anche in Australia, fossero legate ad un'unica entità. Questo gruppo di minaccia ha preso di mira per tutto questo lungo periodo organizzazioni governative, educative, e di telecomunicazioni essenzialmente con finalità di spionaggi

In quale modo possiamo rendere privata una comunicazione? 

In quale modo, in sostanza, possiamo impedire che altri soggetti possano leggere, ascoltare, e finanche intervenire nella comunicazione? 

È una domanda antica e persino sentita già nei primi anni di vita: quanti bambini, per gioco, inventano un proprio linguaggio, un linguaggio “segreto” per condividere ciò che ritengono prezioso solo tra coloro che considerano amici? Lo si fa poi nelle comitive adolescenziali, e via via fino a forme ritualistiche di congreghe e logge. 

La questione però è ben più insidiosa di piccoli segreti tra bambini più o meno cresciuti,

Quando di parla di certificazioni in ambito IT si apre la discussione del secolo. 

Schiere di esperti che decantano le certificazioni “riconosciute” per ogni settore dell’IT e per ogni livello di professionalità. 

Finché si parla di certificazioni IT su prodotti, i vari Vendor la fanno da padrone; ecco che Microsoft rilascia esami di certificazione per riconoscere le competenze sui propri prodotti, seguita poi da tutti gli altri, da Cisco a Red Hat (non me ne vogliano i brand che non ho menzionato). 

Quando si esce dalla certificazione di prodotto e si entra in quella riguardante un particolare ambiente, come la Cybersecurity, il gioco si fa più interessante. 

Innanzitutto, bisogna chiarire cosa significa certificazione “riconosciuta”. 

Non esistono enti nazionali o sovranazionali che riconoscano una certificazione, quindi il termine “riconosciuta” è abusato