Come ogni anno, Verizon ha pubblicato il suo rapporto 2022 “Data Breach Investigation Report” (DBIR). 

Il rapporto evidenzia come il peso di responsabilità rispetto agli incidenti di sicurezza si sia pesantemente sbilanciato verso i dipendenti delle aziende e come si sia mostrata debole la catena degli approvvigionamenti, causa questa di molteplici incidenti (come nel famigerato caso del 2020 che ha coinvolto i clienti SolarWind, i cui effetti si sono propagati, per la clientela, fino al 2021). 

Insomma non solo ransomware nel mirino degli esperti (fenomeno comunque preponderante e che ha pure evidenziato una tendenza al rialzo), ma anche “il nemico in casa”. 

Il ransomware non è affatto una novità, e non lo sarà per molto. Il suo peso relativo è considerevole: continua ad essere la forma più frequente delle violazioni da malware per il semplice fatto che è l’azione che con più facilità garantisce un guadagno agli operatori di minaccia. È qualcosa che probabilmente proseguirà a lungo. 

Nel 2021 (l’anno oggetto del rapporto 2022) si è visto un aumento di violazioni a sistemi e software nella catena di approvvigionamento, nel partenariato e forniture terze parti, una

Sembra, ma la fonte (AdvIntel) è autorevole, che il gruppo ransomware Conti abbia chiuso la sua attività, o almeno l’attività sotto questo brand. Il fenomeno non è sorprendente, né nuovo: molti altri gruppo di cybercriminali, dopo aver raggiunto una certa fama, e dopo aver attirato troppo l’attenzione delle forze dell’ordine preferiscono scomparire nell’ombra. Conti era già una “fenice”: Conti infatti era nato nel 2020 dalle cenere del gruppo ransomware Ryuk. Quindi nulla di nuovo. 

Quello che in questo caso è particolare è la stretta relazione con quanto sta accadendo con la guerra Russia-Ucraina. Infatti il gruppo Conti, noto per avere struttura e dimensioni di una vera e propria industria informatica e operante prevalentemente a partire dal territorio russo, all’inizio dell’invasione all’Ucraina si era apertamente schierato con l’amministrazione della federazione russa. 

Che il gruppo fosse uno dei più importanti lo dice il fatto che il governo degli Stati Uniti abbia offerto una ricompensa di 15 milioni di dollari per l’identificazione e la localizzazione dei membri della gang. 

Eppure tutto ora viene abbandonato alla velocità della luce: i

Introdurre dei correttivi al proprio ecosistema nella speranza di migliorare il TCO senza doversi imbarcare in complesse ristrutturazioni è l’obiettivo di molti data center, e Intel, con la sua tecnologia Optane, promette proprio questo. In particolare Intel Optane SSD, nella variante DC (dedicata ai Data center), combina controller di memoria e storage veloci allo stato solido per eliminare il collo di bottiglia tipico degli storage “meccanici” di grandi dimensioni, e così facendo accelera complessivamente le applicazioni e riduce i carichi di lavoro sulle transazioni. 

Ma l’hardware non è solo un “pezzo di ferro”; perché funzionino, i dispositivi hanno del software che gestisce la complessità interna con cui questi oggetti sono realizzati. Questo particolare software è detto firmware. I primi firmware erano posti (da cui il termine) in memorie a sola lettura (ROM) per cui un aggiornamento richiedeva la sostituzione del componente: oggi l’aggiornamento del firmware è cosa più semplice (e frequente) grazie a sistemi di memoria più malleabili (EEPROM e

Il 10 maggio Microsoft ha rilasciato il canonico aggiornamento mensile: May 2022 Patch. 

Anche in questo caso non si è trattato di un aggiornamento di poco conto, non solo per la pletora di software di sistema coinvolti, ma anche, e soprattutto, visto che ha risolto ben 73 problemi di sicurezza, tra cui 2 vulnerabilità 0-day delle quali 1 già “vista in natura”. 

Anche la gravità delle vulnerabilità non è di poco conto: si hanno 6 vulnerabilità critiche e 66 importanti. Anche il tipo di sfruttamento è da tenere in considerazione, in quanto oltre la metà delle vulnerabilità sfrutta Remote Code Execution (RCE) e Elevation of Privileges (EoP) quali metodi di attacco. 

Vediamo in dettaglio alcune delle vulnerabilità risolte. 

Non è propriamente un elemento dell’ecosistema Microsoft, ma in architetture complesse la convivenza con altri sistemi è necessaria, pertanto non è poi così impossibile pensare alla presenza attiva si un servizio Network File System (NFS) in ambiente Microsoft. Ed è proprio questo servizio, nella versione 2 e 3, che con la vulnerabilità critica (ha ottenuto da Microsoft un CVSSv3 di 9.8) CVE-2022-26937 rischiava di venire espugnato da un attaccante remoto e non

Chi di noi possiede un conto corrente bancario sa (o dovrebbe sapere) che oggi può disporre di servizi online per evitare di recarsi fisicamente allo “sportello”. 

Chiamatelo “Online Banking”, “Home Banking”, oppure “Internet Banking”, ma avrete semplicemente a che fare con una differente definizione che l’istituto bancario ha scelto di utilizzare per medesimi servizi. 

Il vantaggio di poter operare comodamente da casa (ma anche fuori, mediante le estensioni mobile degli stessi servizi) è senza dubbio grande: benché gli sportelli bancari non siano proverbialmente noti per conoscere infinite code come altri servizi all’utente, poter evitare di recarsi fisicamente alla banca per un semplice estratto conto (anche solo allo sportello ATM) e per le periodiche attività di pagamento (tasse, forniture servizi, ecc) migliora la vita. 

Ma tutti questi vantaggi si devono in qualche modo pagare: lasciamo stare i costi che gli istituti richiedono per questi servizi (non sempre economici su conti correnti già affatto remunerativi per la clientela, con tassi di interessi sui depositi ormai “sotto zero”), ma concentriamoci sui costi derivati dal rischio che assumiamo nell’usare questi servizi online. Rischio, esatto, in quanto la scelta di operare al di fuori

Abbiamo già sfatato il mito degli 0-day come minaccia fondamentale per la sicurezza del mondo IT. 

Fino a che aziende e organizzazioni trascureranno di tenere il passo delle versioni software prodotte dai vendor, fino a quando continueranno a omettere aggiornamenti di sicurezza importanti, allora nessun agente di minaccia sarà mai costretto a cercare (disperdendo tempo e denaro) nuove soluzioni di attacco. Lo 0-day è per un agente di minaccia solo l’estrema ratio da utilizzare in assenza di alternative; ma di alternative dicevamo ne esistono molte. 

Il caso più comune è che gli agenti di minaccia riusino vettori di attacco già sperimentati con successo nel passato, da loro stessi o da altri, in quanto efficaci ancora su molti obiettivi. 

La prassi è talmente diffusa, tanto che l’agenzia governativa statunitense CISA (Cybersecurity and Infrastructure Security Agency) tiene traccia proprio di questo fenomeno redigendo un

L’anglosassone “Security Awareness” esprime un principio cardine di tutta la sicurezza. 

Non esiste azione intrinsecamente sicura se non esiste consapevolezza della sua natura e delle sue conseguenze. 

Questo è vero nel mondo industriale, professionale, ecc: è un principio evidente, intuitivo. Nessuno immaginerebbe di improvvisarsi operaio davanti ad una pressa idraulica, o chirurgo in sala operatoria, ma nemmeno agricoltore diretto alla guida di un trattore per campi accidentati. Sappiamo come andrebbe a finire. 

La consapevolezza delle conseguenze è dunque il principio che arma qualsiasi presidio di sicurezza, e questo è vero anche nella vita quotidiana: pure il banale “passare con il rosso ad un semaforo” è la dimostrazione di assenza di consapevolezza da cui deriva un problema di

In molti nostri articoli ci siamo concentrati sulla cronaca di allarmi per minacce 0-day, già visti in natura o “scampati per un pelo”. 

Non passa infatti molto tempo che una nuova minaccia, una nuova campagna, una nuova vulnerabilità da sanare vengano individuate da vendor e ricercatori: diciamo è “fisiologico”. 

L’elenco dei vendor alle prese con queste vulnerabilità durante una campagna in atto è nota (Microsoft, Google, Apple, Amazon, ecc), così come nota è la lista dei vendor di apparati di rete e sicurezza che vengono interessati da difetti che ne minano la funzione di base (F5, Citrix, Palo Alto e SonicWall). 

Tutto vero, ma gli 0-day sono solo una parte del problema: potremmo semplicemente definirli come quella componente del sistema che periodicamente aumenta il

Ricorderete Log4Shell, la vulnerabilità più grave del decennio che ha spaventato molti vendor? 

Censita con CVE-2021-44228 è stata oggetto di rapide correzioni; a volte correzioni “troppo rapide”; non è un caso che il rischio si sia ripresentato in varie forme attraverso le vulnerabilità CVE-2021-45046 e CVE-2021-45105 che affrontavano differentemente le debolezze del codice Log4j. La natura del problema evidentemente era complessa e capillare nella struttura del software da creare non pochi problemi nell’individuazione delle cause e soprattutto nella costruzione di una soluzione definitiva. 

La costruzione di un correttivo “definitivo” è stato un problema per molti vendor, soprattutto per uno come Amazon che nel suo ecosistema AWS (Amazon Web Services) ha un uso

È noto come le vulnerabilità affliggano applicazioni, servizi e sistemi operativi. È noto come questi siano sottoposti a revisione continua e correzioni (patch) per diminuire o risolvere l’impatto di queste vulnerabilità. È altresì noto come, in casi di estrema necessità, solo degli attenti ed efficaci sistemi di sicurezza automatici possano divenire baluardo, mitigazione e soluzione per vulnerabilità all’interno del perimetro. 

Ma cosa accade quando la vulnerabilità affligge persino gli strumenti di difesa? Ebbene, questo non è certamente un caso irrealistico (i sistemi di difesa sono pur sempre software), e nemmeno, ahimè, un caso d’accademia: è infatti cronaca recente l’individuazione di una grave vulnerabilità (CVSS 7.5) che affligge Snort, il famoso software open source per l’implementazione di un sistema IDS/IPS salito sugli altari del