Articolo di Carlo Lavalle per La Stampa pubblicato il 18 aprile 2018   Buste paga, referti medici, dichiarazioni di redditi, carte di credito o brevetti sono documenti privati con dati sensibili visibili a tutti su Internet che possono essere facile preda di cybercriminali. Sono oltre 1 miliardo e mezzo i file di questo tipo trovati online dai ricercatori di Digital Shadows che hanno setacciato il web nei primi 3 mesi del 2018. Un ammontare di dati non protetti di persone e aziende, di grandezza pari a 12mila terabyte, migliaia di volte più ampio dei Panama Papers (2,6 terabyte), fascicoli riservati digitali, oggetto, nel 2016, di una inchiesta giornalistica di denuncia sulle società offshore, registrate nei paradisi fiscali. Il materiale rintracciato da Digital Shadows - la cui ricerca viene pubblicata quando è alle porte l’entrata in vigore del Regolamento Ue (GDPR) che stabilisce una normativa più stringente in materia di protezione dei dati e di sicurezza digitale - è in massima parte (36 per cento) proveniente dall’area europea. Ma gli Stati Uniti rappresentano la maggiore quantità come singolo paese (16 per cento). Mentre in Italia sono oltre 66 milioni i file individuati. I dati scoperti sono disponibili, esposti online e, spiega Rick Holland, responsabile della sicurezza delle informazioni di Digital Shadows, sono accessibili a chiunque abbia un minimo di conoscenza sul funzionamento di Internet e della tecnologia web. Si tratta di documentazione reperibile attraverso servizi di archiviazione cloud come Amazon Simple Storage Service (7 per cento), oppure, principalmente, sfruttando la vulnerabilità di protocolli SMB (33 per cento) per condivisione di stampanti o file, e FTP (26 per cento) per il trasferimento di file.   Due scenari Secondo Pierluigi Paganini, Chief Technology Officer presso CSE Cybsec, e membro del “Threat Landscape Stakeholder Group” dell’ENISA (Agenzia europea per la sicurezza delle reti e dell’informazione), i risultati ottenuti da Digital Shadows «non devono stupirci ma sono solo la punta dell’iceberg. Il quantitativo di dati esposti in rete è davvero impressionante e talvolta può bastare una semplice ricerca per mettere alla luce documenti riservati lasciati privi di protezione». Per Paganini, bisogna distinguere «due scenari che sono alla base dell’esposizione di questa enorme mole di informazioni : la cattiva configurazione di un dispositivo oppure l’hacking dello stesso». Nel primo caso, «…» assistiamo al ritrovamento di interi archivi esposti in rete e accessibili a tutti coloro sono in grado di trovare le macchine che li ospitano, siano essi bucket (contenitori) di Amazon Simple Storage Service (Amazon S3), server o NAS (Network Attached Storage, l’equivalente di dischi rigidi condivisi in rete). Qui, siamo davanti ad amministratori distratti che dimenticano di proteggere i dati con meccanismi di autenticazione con il risultato che chiunque trovi l’indirizzo IP delle macchine riesce ad accedere al loro contenuto. Purtroppo, con allarmante frequenza si trovano online interi repository pieni di dati di ogni genere, sanitari o militari». Come esempi clamorosi, si possono citare i documenti top secret appartenenti alle agenzie di intelligence USA e i dati di milioni di abbonati del colosso Time Warner Cable , esposti online su Amazon S3. Nel secondo scenario, invece, si sfruttano falle note in protocolli di vario genere, come quelli per per la condivisione di file (SMB ecc.) per accedere a interi archivi. «In tal caso, spiega Paganini, parliamo di veri e propri attacchi, spesso eseguiti con strumenti automatici che consentono la scansione di milioni di indirizzi IP in rete in poco tempo ed una volta individuati sistemi vulnerabili procedere allo sfruttamento della falla mediante dei codici opportuni (exploit). Sempre in questo secondo scenario ricadono i casi in cui gli attaccanti ricercano FTP server in rete e provano con attacchi di forza bruta ad accedervi, ovvero una serie di combinazioni username/password di uso comune memorizzate all’interno di un dizionario. A questo punto, se il server FTP è protetto da credenziali deboli (username “admin” e password “1234”) per l’attaccante è un gioco da ragazzi accedervi» .   Rischio per consumatori e dipendenti Stando al rapporto di Digital Shadows, i dati più frequentemente esposti online sono quelli delle buste paga e delle dichiarazioni dei redditi, pari rispettivamente a 700mila e 60mila file ritrovati. Se in mano a malintenzionati, le informazioni contenute in questo materiale potrebbero essere utilizzate per commettere frodi o furti di identità. D’altra parte, i ricercatori Digital Shadows mostrano anche come sia facile accedere a dati sanitari con grave danno alla privacy. Soltanto in Italia, sono stati scoperti oltre 2 milioni di file con immagini relative a diagnosi e test medici, esposti su un unico canale SMB. «Il volume dei dati sensibili esposti in rete – ammonisce Rick Holland - dovrebbe essere motivo di preoccupazione per qualsiasi organizzazione attenta alla sicurezza e alla privacy» ....

Servizio di Celia Guimaraes, per RAINEWS24, 16 aprile 2018 Sicurezza informatica in primo piano e non solo per la trasparenza dei dati personali, dopo la vicenda Facebook- Cambridge Analytica. In rete infatti esiste un vero e proprio marketplace con proposte illegali, il dark web. E che non sembra così inaccessibile, come ci racconta uno dei maggiori esperti italiani in cybersecurity, Pierluigi Paganini, Chief Security Officer di CybSec, nel servizio di Celia Guimaraes A questo link, il video del servizio completo...

Articolo di Stefano Pioppi per Formiche.it del 15 aprile 2018 Il Dark Web è il volto nero della digitalizzazione, l’altra faccia di un processo considerato non più una scelta, ma una condizione di sopravvivenza in un mercato globale sempre più competitivo. Sul Dark Web è possibile comprare droga, documenti falsi e persino armi, come un Glock 19 a soli 250 euro, chiaramente pagabili in bitcoin, così che sia ancora più difficile poter essere rintracciati. Sul Dark Web, in quattro semplici mosse e senza una particolare conoscenza tecnica, si possono addirittura acquistare dei “ransomware”, una tipologia particolare di malware che permette di prendere in ostaggio i dispositivi per poi chiedere un riscatto per il loro “sblocco”. Non parliamo solo di telefoni, ma di servizi essenziali, di ospedali e di infrastrutture critiche. Come evitarlo? Con un approccio sistemico che combini tecnologia e cultura delle sicurezza, che abbia al centro l’individuo, spesso la parte debole dei meccanismi di difesa. Lo hanno spiegato gli esperti di Cse CybSec, società italiana di consulenza in cyber-security che, nata lo scorso anno, punta a diventare player di riferimento in Italia e all’estero. COME FUNZIONA IL DARKWEB “Per Dark Web si intende l’insieme delle risorse e dei contenuti che consentono di mascherare l’indirizzo IP; è come guidare una macchina con numeri di targa nascosti o profondamente diversi da quelli a cui siamo abituati”, ha spiegato l’esperto Pierluigi Paganini, chief technology officer di CybSec. “Ciò che fa la differenza rispetto all’Open Web è la condizione di pseudo anonimato, una possibilità può essere usata per fini positivi o malevoli”, ha aggiunto. Certo, il secondo caso è decisamente più frequente, anche perché il business del cyber-crime sembra essere particolarmente remunerativo. “Le principali darknet (le reti utilizzate nel Dark Web, ndr) sono diventate un punto di accentramento per le reti criminali, che si presentano come sindacati strutturati, a cui si affiancano agenzie di intelligence, attivisti, terroristi o semplici appassionati”, ha rimarcato Paganini. La ragione di ciò è da rintracciare proprio nella possibilità di nascondere la propria identità, rendendo difficile il tracciamento, l’attribuzione e dunque il contrasto da parte delle forze di polizia. DAL BLACK MARKET AL RANSOMWARE AL DETTAGLIO Il cuore del Dark Web sembra però essere il Black Market: “L’eBay del crimine”, lo ha definito Paganini. Da pochi dollari per un malware fino ai 50 dollari per un più sofisticato ransomware. Dai passaporti a poche decine di euro fino ai 250 euro per una pistola (anche se le armi stanno scomparendo dai siti considerati più “affidabili” perché spesso nascondo una truffa, difficile da denunciare a qualsiasi autorità). La modalità è molto semplice: si naviga grazie a browser in cui si può nascondere l’indirizzo IP (i più diffusi sono Thor e I2P) e si accede a siti che funzionano proprio come le classiche piattaforme di e-commerce, con registrazioni, feedback degli utenti e categorie di prodotti. Solo che al posto di “abbigliamento sportivo / elettronica / lampadari”, ci sono “truffe / documenti falsi / drugs”. Ancora più preoccupante è però il fenomeno del ransomware as-a-service (su cui CybSec ha elaborato uno studio confluito poi in un report). Si tratta della possibilità, anche per chi non è un esperto cyber-criminale, di scaricare programmi con cui ricattare le cyber-vittime. Basta fornire un indirizzo bitcoin e indicare l’ammount del riscatto. È poi la piattaforma a occuparsi di inoculare il malware in programmi da inviare ai malcapitati, ad esempio tramite l’ormai nota pratica delle spear phishing. Il fenomeno è davvero preoccupante, anche perché apre uno scenario inquietante di legame tra il tradizionale mondo criminale e il cyber-crime. Il primo, ha spiegato ancora Paganini, sembra aver deciso di investire nel secondo in virtù della sua grande rimuneratività. A fronte di costi piuttosto bassi, si possono fare grandi ricavi. LA QUESTIONE GEOPOLITICA… La stessa logica vale anche nel confronto tra Stati, in una scena internazionale che intanto pare sempre più complicata. Un piccolo attore spregiudicato può provocare enormi danni anche ai Paesi meglio equipaggiati. Ciò preoccupa poiché “viviamo da diversi anni in un quadro di crescita delle tensioni, di conflittualità latenti, nascoste, e in alcuni casi molto appariscenti”, ha ricordato l’ambasciatore Giulio Terzi di Sant’Agata, co-fondatore e presidente di CybSec. In questo contesto, l’Europa si appresta a “una rivoluzione” sul fronte della sicurezza informatica, ha ricordato. Tra l’ormai imminente entrata in vigore del regolamento Gdpr e il recepimento della direttiva Nis, il Vecchio continente procede spedito. Il rischio è che “l’Italia corra a una velocità diversa”. Il punto, ha detto l’ambasciatore, “è l’attuazione della direttiva Nis, un percorso che in questa fase politica sembra rimanere fermo, inattuato e inattuabile fino alla definizione del nuovo governo (che dovrà occuparsi del dpcm per il recepimento, ndr) con tutti i passaggi che ne seguiranno”. La questione è rilevante, e riguarda il collocamento complessivo del Paese nel campo della sicurezza informatica, una collocazione essenziale per poter “trasmettere consapevolezza dei rischi” all’ecosistema delle aziende italiane. …E QUELLA CULTURALE Oltre alla tecnologia, infatti, la questione è culturale. Come ricorda CybSec, il 36% dei data breach (cioè le violazioni di sicurezza) avvengono per negligenza o inadeguata formazione dei dipendenti. Un problema che sembra riguardare soprattutto le piccole e medie imprese, bersaglio appetibile per i cyber-criminali rispetto a grandi aziende che rivolgono generalmente una maggiore attenzione alla sicurezza informatica. “Nella catena di sicurezza – ha spiegato Paganini – il fattore umano ha un ruolo essenziale; la quasi totalità degli attacchi ha successo per colpe dell’individuo; si tratta di una formazione che deve iniziare dalla scuola elementare”. D’altronde, nell’epoca dell’Internet of Things, si tratta di capire “qual è la nostra superficie d’attacco e come può essere sfruttata da chi vuole attaccarla”. Proprio per questo, CybSec ha puntato forte sulla formazione e sul training, oltre che sulla consulenza tecnologica e giuridica. Il laboratorio anti-malware Zlab, frutto della collaborazione con l’Università del Sannio, ha ricevuto dalla società un finanziamento di 200mila euro. Nata lo scorso anno e guidata dall’ad Marco Castaldo, Cse CybSec può inoltre già contare su alcune partnership strategiche siglate sul fronte internazionale, tra cui l’alleanza con il gruppo israeliano Herzog, Fox & Neeman. La società, che tiene a definirsi di “specialisti italiani”, si rivolge soprattutto ad aziende, istituzioni ed enti governativi del nostro Paese....

Lancio dell'Agenzia Aska del 12 aprile 2018 Il Dark Web è il volto nero della digitalizzazione, l'altra faccia di un processo considerato non più una scelta, ma una condizione di sopravvivenza in un mercato globale sempre più competitivo. Sul Dark Web è possibile comprare droga, documenti falsi e persino armi, come un Glock 19 a soli 250 euro, chiaramente pagabili in bitcoin, così che sia ancora più difficile poter essere rintracciati. Sul Dark Web, in quattro semplici mosse e senza una particolare conoscenza tecnica, si possono addirittura acquistare dei "ransomware", una tipologia particolare di malware che permette di prendere in ostaggio i dispositivi per poi chiedere un riscatto per il loro "sblocco". Non parliamo solo di telefoni, ma di servizi essenziali, di ospedali e di infrastrutture critiche. Come evitarlo? Con un approccio sistemico che combini tecnologia e cultura delle sicurezza, che abbia al centro l'individuo, spesso la parte debole dei meccanismi di difesa. Lo hanno spiegato gli esperti di Cse CybSec, società italiana di consulenza in cyber-security che, nata lo scorso anno, punta a diventare player di riferimento in Italia e all'estero. COME FUNZIONA IL DARKWEB "Per Dark Web si intende l'insieme delle risorse e dei contenuti che consentono di mascherare l'indirizzo IP; è come guidare una macchina con numeri di targa nascosti o profondamente diversi da quelli a cui siamo abituati", ha spiegato l'esperto Pierluigi Paganini, chief technology officer di CybSec. "Ciò che fa la differenza rispetto all'Open Web è la condizione di pseudo anonimato, una possibilità può essere usata per fini positivi o malevoli", ha aggiunto. Certo, il secondo caso è decisamente più frequente, anche perché il business del cyber-crime sembra essere particolarmente remunerativo. "Le principali darknet (le reti utilizzate nel Dark Web, ndr) sono diventate un punto di accentramento per le reti criminali, che si presentano come sindacati strutturati, a cui si affiancano agenzie di intelligence, attivisti, terroristi o semplici appassionati", ha rimarcato Paganini. La ragione di ciò è da rintracciare proprio nella possibilità di nascondere la propria identità, rendendo difficile il tracciamento, l'attribuzione e dunque il contrasto da parte delle forze di polizia. DAL BLACK MARKET AL RANSOMWARE AL DETTAGLIO Il cuore del Dark Web sembra però essere il Black Market: "L'eBay del crimine", lo ha definito Paganini. Da pochi dollari per un malware fino ai 50 dollari per un più sofisticato ransomware. Dai passaporti a poche decine di euro fino ai 250 euro per una pistola (anche se le armi stanno scomparendo dai siti considerati più "affidabili" perché spesso nascondo una truffa, difficile da denunciare a qualsiasi autorità). La modalità è molto semplice: si naviga grazie a browser in cui si può nascondere l'indirizzo IP (i più diffusi sono Thor e I2P) e si accede a siti che funzionano proprio come le classiche piattaforme di e-commerce, con registrazioni, feedback degli utenti e categorie di prodotti. Solo che al posto di "abbigliamento sportivo / elettronica / lampadari", ci sono "truffe / documenti falsi / drugs". Ancora più preoccupante è però il fenomeno del ransomware as-a-service (su cui CybSec ha elaborato uno studio confluito poi in un report). Si tratta della possibilità, anche per chi non è un esperto cyber-criminale, di scaricare programmi con cui ricattare le cyber-vittime. Basta fornire un indirizzo bitcoin e indicare l'ammount del riscatto. È poi la piattaforma a occuparsi di inoculare il malware in programmi da inviare ai malcapitati, ad esempio tramite l'ormai nota pratica delle spear phishing. Il fenomeno è davvero preoccupante, anche perché apre uno scenario inquietante di legame tra il tradizionale mondo criminale e il cyber-crime. Il primo, ha spiegato ancora Paganini, sembra aver deciso di investire nel secondo in virtù della sua grande rimuneratività. A fronte di costi piuttosto bassi, si possono fare grandi ricavi. LA QUESTIONE GEOPOLITICA? La stessa logica vale anche nel confronto tra Stati, in una scena internazionale che intanto pare sempre più complicata. Un piccolo attore spregiudicato può provocare enormi danni anche ai Paesi meglio equipaggiati. Ciò preoccupa poiché "viviamo da diversi anni in un quadro di crescita delle tensioni, di conflittualità latenti, nascoste, e in alcuni casi molto appariscenti", ha ricordato l'ambasciatore Giulio Terzi di Sant'Agata, co-fondatore e presidente di CybSec. In questo contesto, l'Europa si appresta a "una rivoluzione" sul fronte della sicurezza informatica, ha ricordato. Tra l'ormai imminente entrata in vigore del regolamento Gdpr e il recepimento della direttiva Nis, il Vecchio continente procede spedito. Il rischio è che "l'Italia corra a una velocità diversa". Il punto, ha detto l'ambasciatore, "è l'attuazione della direttiva Nis, un percorso che in questa fase politica sembra rimanere fermo, inattuato e inattuabile fino alla definizione del nuovo governo (che dovrà occuparsi del dpcm per il recepimento, ndr) con tutti i passaggi che ne seguiranno". La questione è rilevante, e riguarda il collocamento complessivo del Paese nel campo della sicurezza informatica, una collocazione essenziale per poter "trasmettere consapevolezza dei rischi" all'ecosistema delle aziende italiane. ? E QUELLA CULTURALE Oltre alla tecnologia, infatti, la questione è culturale. Come ricorda CybSec, il 36% dei data breach (cioè le violazioni di sicurezza) avvengono per negligenza o inadeguata formazione dei dipendenti. Un problema che sembra riguardare soprattutto le piccole e medie imprese, bersaglio appetibile per i cyber-criminali rispetto a grandi aziende che rivolgono generalmente una maggiore attenzione alla sicurezza informatica. "Nella catena di sicurezza - ha spiegato Paganini - il fattore umano ha un ruolo essenziale; la quasi totalità degli attacchi ha successo per colpe dell'individuo; si tratta di una formazione che deve iniziare dalla scuola elementare". D'altronde, nell'epoca dell'Internet of Things, si tratta di capire "qual è la nostra superficie d'attacco e come può essere sfruttata da chi vuole attaccarla". Proprio per questo, CybSec ha puntato forte sulla formazione e sul training, oltre che sulla consulenza tecnologica e giuridica. Il laboratorio anti-malware Zlab, frutto della collaborazione con l'Università del Sannio, ha ricevuto dalla società un finanziamento di 200mila euro. Nata lo scorso anno e guidata dall'ad Marco Castaldo, Cse CybSec può inoltre già contare su alcune partnership strategiche siglate sul fronte internazionale, tra cui l'alleanza con il gruppo israeliano Herzog, Fox & Neeman. L'azienda, che tiene a definirsi di "specialisti italiani", si rivolge soprattutto ad aziende, istituzioni ed enti governativi del nostro Paese. (Fonte: Cyber Affairs)...

Lancio dell'agenzia AskaNews del 9 aprile 2018 I prossimi scenari della cyber security nell’anno in corso saranno tra gli argomenti affrontati in un prossimo convegno organizzato a Milano da Cse CybSec. All’incontro, che si terrà il 12 aprile dalle ore 12:30 presso l’Excelsior Hotel Gallia nel capoluogo lombardo, prenderanno parte il chief technology officer della compagnia di sicurezza informatica, Pierluigi Paganini, e gli esperti dello Z-Lab Cse. L’evento, spiegano gli organizzatori, sarà l’occasione per mostrare ai cronisti che cosa accade nel Dark Web e come funzionano i malware che attaccano imprese e istituzioni, ma anche per raccontare l’esperienza del Laboratorio anti-malware che Cse CybSec – società presieduta dall’ambasciatore Giulio Terzi di Sant’Agata e guidata dall’ad Marco Castaldo – ha finanziato per 200mila euro all’Università del Sannio e gli accordi legali e formativi stretti sul tema del Gdpr con aziende israeliane e americane. “L’osservazione dei fenomeni che accadono nella parte oscura del web, nel cosiddetto Dark Web”, evidenzia a Cyber Affairs Pierluigi Paganini, “è essenziale. A questa porzione della rete si riconosce un ruolo centrale nell’aggregazione di comunità criminali e di hacking. Esploreremo insieme”, aggiunge l’esperto, “il modello crime-as-a-service, con particolare attenzione al fenomeno dei ransomware (ransomware-as-a-service), evidenziandone le ragioni di un così ampio successo. Il modello crime-as-a-service sta avvicinando nuovi attori al crimine informatico, vedremo insieme chi sono e con quanta facilità oggi è possibile reperire nel Dark Web un malware che può essere utilizzato per compromettere un’impresa o una banca. Talvolta pochi click possono trasformare un malintenzionato in un provetto criminale e vedremo come tutto ciò sia possibile”, conclude Paganini.  ...

Articolo di Corrierecomunicazioni.it dell'11 aprile 2018 Il dark web, ovvero la parte oscura del web, da sempre rappresenta un elemento privilegiato di aggregazione per organizzazioni dedite al crimine informatico ed hacker. Da diversi anni stiamo assistendo alla nascita di nuovi modelli di business che trovano nei diversi black marketplace online un luogo in cui domanda ed offerta di prodotti e servizi illegali si incontrano. Nei cosiddetti black marker è davvero semplice trovare droga, documenti falsi, e purtroppo siti specializzati nella vendita di materiale pedopornografico. Dagli abissi del web vediamo apparire quotidianamente nuovi servizi criminali che sfruttano le condizioni di pseudo anonimato offerte dalle darknet, Assoldare un hacker, comprare un codice malevolo oppure le credenziali di accesso di servizi web è alla portata di tutti. Non solo, negli ultimi mesi stiamo osservando la nascita di vere e proprie piattaforme online, cosiddette malware-as-a-service platform, che consentono anche ad utenti poco esperti di creare codici malevoli e di gestire le campagne per la loro distribuzione. Cse Cybsec Enterprise ha rilasciato un report che spiega questo fenomeno.  “I ransomware sono i codici malevoli che oggi destano maggiore preoccupazione per la loro rapida diffusione nell’ecosistema criminale, rappresentano l’essenza del modello estorsivo applicato crimine informatico- spiega Pierluigi Paganini, Chief Technology Officer della società – Un ransomware è un codice malevolo che “prende in ostaggio” il dispositivo della vittima impedendone di fatto l’accesso alle risorse. Nella quasi totalità dei casi i file sono cifrati rendendone impossibile l’accesso, solo dopo il pagamento di un riscatto le vittime possono ricevere le chiavi per decifrare i file”. Per lo sviluppo di un ransomware sono ovviamente necessarie particolari competenze, dalla conoscenza della programmazione alle vulnerabilità nei principali software che possono essere utilizzate per compromettere i sistemi delle vittime. “Tali competenze sono merce preziosa, dall’unione tra il nuovo paradigma informatico ‘Everything-as-a-Service’ e la minaccia ransomware, nasce il concetto di ‘Ransomware-as-a-Service’ (RaaS) – prosegue l’esperto – Nell’underground criminale stanno proliferando piattaforme RaaS che permettono a chiunque di creare il proprio ransomware con pochi click. Questi servizi hanno portato alla nascita di un mercato in cui trae vantaggio economico sia chi crea la minaccia digitale, sia chi la acquista e la diffonde. In molti casi è ancora possibile contattare uno dei servizi di hacking già menzionati, i cosiddetti servizi di ‘Rent-a-Hacker’, per commissionare la creazione di un ransomware secondo le specifiche fornite dall’utente”. Molti siti nel dark web offrono lo sviluppo e la personalizzazione di ransomware, ma la vera innovazione è rappresentata dalle numerose piattaforme RaaS che si trivano nel dark web, ognuna di esse con caratteristiche specifiche. Una delle più popolari piattaforme di Ransomware-a-as.Service è oggi RaaSberry. Grafica semplice ed estremamente semplicità di utilizzo, questi sono i requisiti di queste principali piattaforme, e RaaSberry li implementa entrambi. Dopo aver effettuato una registrazione al sito, è possibile acquistare un nuovo “package” che include il ransomware e l’accesso alla piattaforma per un certo periodo di tempo. La piattaforma consente il controllo di tutte le attività relative alla diffusione del ransomware, un singolo pannello di controllo mostra in tempo reale il numero di utenti infettati, il numero di ransomware che l’utente ha messo in circolazione e l’ammontare di denaro accumulato fino a quel momento grazie al pagamento dei riscatti da parte delle vittime. L’utente che vuole utilizzare il servizio deve solo preoccuparsi di effettuare una registrazione al servizio e di diffondere il ransomware. Non è difficile utilizzarlo. “Molti servizi nel dark web consentono di diffondere malware mediante campagne di spam che sono organizzate ad hoc per i clienti più esigenti – dice Paganini – Continuando il nostro rapido giro alla ricerca delle principali darknet ci imbattiamo in una piattaforma che ha dato vita a Datakeeper, uno dei ransomware più diffusi nell’ultimo periodo. Questa piattaforma offre maggiori funzionalità ai propri utenti rispetto alla concorrenza, permettendo la personalizzazione del malware”. Attraverso l’interfaccia grafica si possono specificare le tipologie di file che si vuole che il ransomware cifri, si può aggiungere la funzionalità che consente di cifrare anche file condivisi in rete e si può decidere l’ammontare in Bitcoin che la vittima dovrà pagare come riscatto per decifrare i propri file. Completata la configurazione, il malware può essere scaricato in modo totalmente gratuito dal sito ma. Da questo momento, ogni volta che una vittima pagherà il riscatto, i gestori della piattaforma manterranno per se una percentuale dell’ammontare. “Come più volte sottolineato, il modello Ransomware-as-a-Service continua a riscuotere grande successo ed un numero crescente di attori nel dark web li utilizza per creare i propri ransomware – conclude il manager – Per questo motivo assistamo con disarmante frequenza alla diffusione di nuove minacce ed alla nascita di nuove piattaforme in grado di soddisfare ogni esigenza”....

Articolo di Alessia Valentini per startupitalia.eu del 30/03/2018 Presentato a fine febbraio il laboratorio di malware analysis frutto dell’accordo fra l’impresa CSE (CybSec Enterprise S.p.a.) e l’accademia Unisannio: un connubio che rende reali e operative le famose tre P che indicano il Partenariato Pubblico Privato e che costituiscono uno dei punti imprescindibili della strategia per contrastare la minaccia cyber ed elevare la cybersecurity ad una questione gestita a livello nazionale. Gerardo Canfora, delegato alla Ricerca dell’Unisannio, durante l’evento di presentazione ufficiale aveva sottolineato come le finalità del laboratorio fossero rivolte all’analisi dei malware per comprenderne caratteristiche e modalità di azione, in modo da fermare le minacce prima che avessero modo di colpire sistemi e software. Marco Castaldo, managing director CSE aveva anche aggiunto l’importanza di creare un ecosistema di valore per alimentare tutti quei talenti del Sud intenzionati a restare al Sud d’Italia. A distanza di un mese dall’inizio dell’operatività del Laboratorio abbiamo voluto approfondire con coloro che giorno dopo giorno alimentano questa realtà e lavorano a fianco dei ragazzi per insegnare, studiare e analizzare: Aaron Visaggio, professore associato dell’Università del Sannio eAntonio Pirozzi, direttore del laboratorio e ricercatore (PHD). StartupItalia!: Come nasce il laboratorio in collaborazione con CSE? Aaron Visaggio: Sono diversi anni che studio i malware, le tecniche di evasione, le loro evoluzioni. Ho iniziato a studiare il malware perché diversi anni fa mi era già chiaro che in poco tempo le tecnologie di detection tradizionali sarebbero diventate inefficaci e che il malware sarebbe diventato più insidioso: quindi non solo sarebbero servite tecnologie e competenze specifiche per identificare ed eradicare il malware dalle zone contaminate, ma si avvicinava il momento in cui non ci si sarebbe più accontentati di identificare e rimuovere il malware e sarebbe sorta la necessità di capire cosa il malware avesse fatto, se la zona contaminata fosse realmente bonificata o no, chi e perché aveva iniziato la campagna di infezione e così via. In definitiva, capii rapidamente che l’analisi del malware doveva andare al di là della identificazione di una firma per riconoscere il malware. Naturalmente questo studio non si è svolto in isolamento, ma ha visto la collaborazione di studenti, dottorandi, assegnisti di ricerca. Insomma, negli ultimi anni si sono formate competenze specialistiche su questa materia. Questo ha attirato, con mio grande piacere, le attenzioni di CSE che sulla analisi del malware aveva visioni simili alle mie ed ha deciso di investire sulla mia ricerca. Si è costituito così un sodalizio virtuoso e vantaggioso per entrambi, fatto di un continuo trasferimento di competenze e conoscenza nell’industria e di stimoli che l’industria produce per orientare le nostre ricerche. StartupItalia!: La collaborazione con CSE come si concretizza giorno dopo giorno? Aaron Visaggio: Gli analisiti dello ZLAB si sono tutti formati nel mio laboratorio e vi è uno scambio quotidiano tra il laboratorio di ricerca e lo ZLAB. Siamo rimasti un’unica squadra, anche se formalmente siamo due entità distinte, e lavoriamo tutti come se facessimo parte di un unico laboratorio, ogni giorno. C’è una continua cross-fertilization tra ZLAB e laboratorio, nell’ambito della quale si lavora insieme su progetti di ricerca specifici, ci si scambiano informazioni, ci confrontiamo su nuovi tool, tecniche di analisi, nuovi modelli di infezione o evasione. Lo ZLAB è il luogo dove gli studenti dell’ultimo anno ed i tesisti si formano attraverso attività di malware analysis in affiancamento agli analisti dello ZLAB o prendendo parte attiva ai progetti di ricerca dello ZLAB. Lo ZLAB fornisce al laboratorio di ricerca sample, nuovi modelli da analizzare, spunti per nuove ricerche, prendendo poi parte attiva in quest’ultima. StartupItalia!: Cosa si studia nello ZLAB e quali sono gli obiettivi per il 2018? Antonio Pirozzi: Nello ZLAB, ci occupiamo principalmente di Malware Analysis e Cyber Threat Intelligence ma con un focus trasversale su tematiche di Vulnerability Research e Application Security in generale. Per la Malware Analysis ZLAB intercetta, disseziona e analizza malware che affliggono qualsiasi piattaforma, perfino le minacce più avanzate ed evasive. La metodologia utilizzata dai malware analyst consta di diverse fasi, tra cui la detonazione del malware attraverso una serie di sandbox configurate in modalità “anti-evasion”, l’analisi comportamentale del campione attraverso una sofisticata toolchain creata ad-hoc per fare in modo che la minaccia si manifesti in tutta la sua pienezza e l’analisi del codice sorgente estratto attraverso tecniche avanzate di Reverse Engineering. Sul tema della Cyber Threat Intelligence (CTI), il team analizza costantemente gli attacchi che affliggono il panorama cyber e attraverso l’analisi di tattiche, tecniche e procedure (TTP) messe in piedi dagli attaccanti, è in grado di fornire una visione completa di quelle che sono le minacce a cui uno specifico bersaglio potrebbe essere sottoposto. Attualmente siamo focalizzati sui malware per le infrastrutture critiche, le campagne APT (Advanced Persistent Threat n.d.r.) con particolare interesse per APT 28 (Sofacy) e Lazarus APT che seguiamo da tempo. La nostra attività è focalizzata nella comprensione delle sofisticate tecniche utilizzate dai malware per evadere i sistemi di detection. Spesso i malware utilizzano 0-day all’interno del codice di applicazioni fidate o API non documentate del sistema operativo per evitare l’individuazione. Uno dei nostri obbiettivi nel breve termine è sicuramente quello di affermarci come un centro di eccellenza e un osservatorio sulle minacce cyber, soprattutto per le minacce che colpiscono infrastrutture critiche, enti governativi e pubblica amministrazione. Siamo il primo laboratorio di malware analysis in Italia, collaboriamo con alcune tra le principali aziende di sicurezza informatica internazionali con le quali costantemente scambiamo informazioni. StartupItalia!: Quante sono le persone e quali sono gli skill che formano il laboratorio? Antonio Pirozzi: Il core team di ZLAB è attualmente  composto da cinque persone, me compreso in qualità di direttore. Crediamo nel team di elite, in un pool di super esperti verticali su specifiche tematiche.  Inoltre, abbiamo sviluppato una pipeline di formazione, continuamente attiva, che vede una decina tra laureandi e neolaureati affiancarci day-by-day durante la maggior parte delle nostre attività quotidiane e di ricerca. StartupItalia!: Che progetti seguite attualmente? Antonio Pirozzi:  Per quanto riguarda la Malware Analysis, attualmente ci stiamo focalizzando sui RaaS (Ransomware as a Service) ossia quelle piattaforme nel Dark Web che permettono la creazione di campagne ransomware mirate: ne abbiamo già identificate diverse. L’inizio del 2018 è stato segnato da alcuni fenomeni tra i quali citiamo Saturn, GrandCrab e Data Keeper: ransomware che sono stati sviluppati utilizzando appunto queste piattaforme. Rilasceremo a breve con un rapporto tecnico e un’analisi dettagliata del fenomeno. Ci stiamo inoltre focalizzando sugli impianti malware SCADA ICS (Supervisory Control And Data Acquisition, Industrial Control Systems, sistemi di controllo industriale basati su sistemi di supervisione controllo e acquisizione dei dati n.d.r.), minacce che prendono di mira le infrastrutture critiche come centrali elettriche, nucleari, idriche, piattaforme industriali al fine di sabotarle. Stiamo avviando inoltre uno studio di caratterizzazione e di filogenesi di queste minacce al fine di poter sviluppare, in una fase successiva, dei sistemi avanzati e intelligenti di detection. StartupItalia!: Chi lavora nello ZLAB che skill matura in ottica di collocamento lavorativo successivo?  Antonio Pirozzi:  Nel laboratorio attualmente vi sono alcuni tra i migliori malware analyst che si possono trovare in Italia al momento, tra i quali Luigi Martire e Antonio Farina. I Ricercatori di ZLAB sono molto verticali sulle tematiche di Malware Analysis e CTI, hanno una conoscenza molto profonda dei sistemi operativi. Conoscono avanzate tecniche di reverse engineering e di instrumentazione del codice. Inoltre per fare questo tipo di lavoro è importante conservare una mentalità “Out-of-the-Box”. L’approccio ingegneristico e scientifico è fondamentale per poter approcciare con metodologia all’analisi dei malware di qualsiasi genere. In italia, ma in ottica piu generale nel mondo, c’e’ un grandissimo skill-shortage rispetto a queste competenze. La cyber security sta avendo un ruolo sempre più centrale nelle nostre vite. Basti pensare che sono aumentati gli attacchi all’individuo, pensiamo agli attacchi che stanno emergendo sui dispositivi biomedicali o sulle smart home o automobili. Queste competenza saranno sempre più indispensabili e ricercate. StartupItalia!: Sono previsti ulteriori sviluppi sia in ambito ricerca sia territorialmente secondo questo primo esempio di partnership e collaborazione? Aaron Visaggio: CSE si sta facendo motore di iniziative di ricerca che vedono la partecipazione di importanti player internazionali sia del mondo industriale sia del mondo scientifico replicando, quindi, il loro approccio di forte connubio tra industria e ricerca. Stiamo attualmente lavorando all’analisi di nuove tipologie di malware destinati a target più critici e che hanno impatti molto più severi rispetto alla esfiltrazione di dati o all’interruzione di un servizio. Stiamo, infine, lavorando allo sviluppo di paradigmi nuovi  per la malware detection: paradigmi, cioè, che capovolgono completamente la prospettiva della detection. L’orizzonte, vicino, è quello di creare nel Sannio un centro di competenza sull’analisi del malware che possa diventare un riferimento, non solo per gli attori nazionali della cybersecurity. Approfondimenti sulle principali analisi e scoperte di ZLAB Il team si è fatto già notare nel panorama della cyber-security grazie ad alcune importanti analisi e scoperte, tra cui: Wonder Botnet (ottobre 2017): viene individuata una botnet basata su HTTPS durante le sue prime infezioni. Il malware che compone la rete malevola viene scaricato, attraverso un downloader, da una pagina del popolare sito “pastebin.com” contenente del codice codificato. Il centro di comando dell’intera botnet si nasconde dietro un sito fasullo che risulta essere la copia di un sito legittimo. Bad Rabbit (ottobre 2017): ZLAB è la prima firma italiana a pubblicare l’analisi del ransomware Bad Rabbit. Il malware ha scosso le comunità ucraine e polacche grazie alla sua velocità di infezione, dovuta allo sfruttamento della ormai nota vulnerabilità del protocollo SMB di Microsoft. Bad Rabbit si ispira ai ransomware dell’anno precedente, quali Petya e NotPetya, ma utilizza tecniche molto più avanzate di evasione e di anti-analisi. Skygofree (dicembre 2017): prima di Kaspersky, ZLAB pubblica l’analisi dello spyware Android “Made in Italy”, il quale, prima di essere diffuso attraverso una finta app di Sky, era già stato diffuso come un gestore di aggiornamenti per smartphone sotto il nome di “3MobileUpdater”. Il malware presenta delle capacità impressionanti sotto il profilo dello spionaggio, riuscendo a carpire tutti i dati sensibili dell’utente attaccato: chat dei social network e delle app di messaggistica, SMS e foto salvate. OpEvilTraffic (gennaio 2018): viene individuata una gigantesca rete di malvertising, volta a generare guadagni illeciti attraverso il redirect degli utenti su specifiche pagine web. La campagna di analisi condotta nei confronti di questa rete è stata denominata dagli scopritori “OpEvilTraffic”. La rete è composta da una serie di siti legittimi, compromessi usando una vulnerabilità di WordPress, e prevede l’utilizzo di un’architettura a più livelli necessari per effettuare il redirect degli utenti verso specifiche pagine. Tra le pagine web indirizzate da questa rete, oltre il gran numero di siti che generano guadagni attraverso il numero di visualizzazioni, sono presenti anche delle pagine fraudolente che, usando tecniche di phishing, invitano l’utente a inserire e trasmettere dati sensibili....

Articolo con fotogallery a cura di Umberto Pizzi pubblicato su formiche.net il 29/03/2018 Nimrod Kozlovski, uno dei massimi esperti di Cyber Security, Big Data Analytics, Internet law e New Media, cofounder di Jerusalem Venture Partners e professore alla Yale University, è stato il keynote speaker di una conferenza che si è tenuta il 26 marzo presso il Dipartimento di Ingegneria dell’Università Roma Tre. L’incontro, intitolato “How computers predict us”, è stato l’evento di lancio della terza edizione del Data Driven Innovation (DDI), kermesse italiana su big data e intelligenza artificiale organizzato il 18 e il 19 maggio da Roma Tre in collaborazione con “Maker Faire Rome – The European Edition” di Innova Camera, l’Azienda speciale della Camera di Commercio di Roma che organizza Maker Faire Rome. All’incontro, moderato dal direttore di Cyber Affairs, Michele Pierri, hanno partecipato, tra gli altri, il Magnifico Rettore di Roma Tre Luca Pietromarchi, l’Ambasciatore di Israele in Italia Ofer Sachs, il presidente di Innova Camera Luciano Mocci e il già ministro degli Esteri ambasciatore Giulio Terzi di Sant’Agata. Ecco alcuni scatti del convegno realizzati da Umberto Pizzi....

Articolo di Osvaldo Migotto, pubblicato su "Il Corriere del Ticino", del 21 marzo 2018   Sui retroscena dello scandalo relativo all’impiego illegale di dati di milioni di utenti di Facebook abbiamo sentito il parere di Pierluigi Paganini, Chief Technology Officer presso CSE Cybsec, nonché membro del Threat Landscape Stakeholder Group ENISA (European Union Agency for Network and Information Security). È sorpreso da questo scandalo? «No, non mi sorprende per nulla, in quanto è nota da tempo la possibilità di utilizzo di grosse quantità di dati provenienti dai social media per diverse finalità». Ogni volta che noi scarichiamo un’app sul nostro cellulare rischiamo un uso improprio dei nostri dati personali? «Dobbiamo imparare a gestire la nostra superficie d’attacco. Dico d’attacco in quanto quello che noi esponiamo verso l’esterno è un’attrazione per un possibile attaccante. Dove per attacco intendiamo il fatto che quando noi scarichiamo o utilizziamo un’applicazione siamo soggetti a possibili attacchi esterni». Come proteggersi dagli attacchi? «Innanzitutto occorre scaricare solo le applicazioni strettamente necessarie, poi quando utilizziamo un’applicazione dobbiamo fare attenzione a quali sono i permessi che ci vengono richiesti. Per quale motivo, ad esempio, un’applicazione per le previsioni meteo mi chiede l’accesso ai miei contatti? Qual è la logica di questa richiesta? Una possibilità è che si tratti di un’applicazione fraudolenta, volta ad ottenere dati dal mio cellulare che possano essere utilizzati per motivi commerciali o di spionaggio. Dall’altro lato dobbiamo prendere atto che quello che siamo abituati a ritenere gratis, alla fine gratis non lo è». Quando scarichiamo una nuova applicazione è però difficile che non ci venga chiesto l’accesso ai nostri contatti. Come fare allora? «Questo è vero, ma bisogna valutare i singoli casi. Se per esempio scarico un’applicazione bancaria, è normale se mi chiedono ad esempio l’accesso ai miei sms, ma per quale motivo se l’applicazione non utilizza un’attivazione di tipo facciale mi chiede l’accesso alla fotocamera del mio cellulare? Per evitare che le aziende che forniscono delle applicazioni richiedano una quantità eccessiva di dati agli utenti, il 25 maggio entrerà in vigore il nuovo regolamento europeo generale sulla protezione dei dati, denominato GDPR». Cosa cambierà con questo nuovo regolamento europeo sulla privacy? «Questo regolamento dovrà essere rispettato dalle società europee ma anche da società exreaeuropee che operano sul territorio dell’UE. Alle aziende straniere verrà chiesto, se stanno utilizzando dati di cittadini europei, qual è la finalità per cui questi dati vengono raccolti e per quanto tempo verranno tenuti registrati. Oggi è infatti scandaloso il fatto che i dati che vengono raccolti da una determinata azienda restino in suo possesso anche quando viene interrotto il contratto tra utente e azienda. Ciò con la GDPR non sarà più possibile». Ma sarà poi facile verificare se le aziende europee ed extraeuropee rispetteranno tali direttive? «Dopo l’entrata in vigore della GDPR tutte le società europee od extraeuropee che operano con dati di cittadini europei dovranno allinearsi alle nuove direttive in quanto vi saranno delle ispezioni a tappeto ordinate dai vari Governi. La cosa importante è che se una di queste aziende che raccolgono dati privati subirà un attacco esterno, avrà 72 ore per rendere noto che è stata vittima di un attacco informatico. Se i dati sottratti nell’attacco finiscono online, il GDPR stabilisce che l’azienda responsabile dei dati dovrà pagare un’ammenda pari al 4% del suo fatturato, ossia una sanzione pesante. Se l’ammenda raggiunge i 20 milioni di euro, per l’azienda in questione c’è l’interdizione all’utilizzo del dato pubblico». Se la normativa GDPR fosse già attiva a Facebook cosa sarebbe accaduto? «Nel caso di un riconoscimento di uso improprio dei dati raccolti, oltre all’ammenda del 4% sul fatturato di Facebook la società fondata da Zuckerberg non sarebbe più stata autorizzata a trattare dati privati». Nel 2011 Facebook aveva chiesto agli utenti alcune modifiche alle impostazioni sulla privacy. Una richiesta inusuale nel mondo dei social media? «No. Quello che è inusuale è quello che è accaduto dal 2015 in poi. Ossia quando ci si è accorti che qualcuno stava collezionando dati in un certo modo. Da quanto si è potuto leggere, anche se poi tutto è da verificare, Facebook avrebbe chiesto alle varie società coinvolte in questa raccolta di dati personali, di non fare utilizzo dei dati raccolti attraverso i profili postati sul social network. Questo però è ben diverso da quanto fatto da Facebook negli scorsi giorni, ossia ha sospeso l’account dell’azienda sospettata di collezionare dati privati». È appena uscito un suo libro sul dark web. Questo mondo ha a che fare con il furto di profili sui social media? «Molti dei mercati neri presenti sul dark web sono incentrati sull’identità, un business molto proficuo. È molto facile acquisire l’identità di un individuo proprio andando a vedere cosa viene offerto sul mercato nero. Il mio libro spiega diversi dettagli del black market sul web, quello che puoi comprare. Sul mercato nero si comprano pacchetti interi di dati e anche documenti che in qualche modo permettono di rubare l’identità di una persona. Se alle credenziali di una persona viene aggiunto un documento d’identità rubato e magari una bolletta telefonica, a questo punto posso aprire un conto a nome della persona di cui ho rubato identità e dati per operare in modo illegale»....

Articolo di ICTSecurityMgazine del 1 febbraio 2018 Intervista a Pierluigi Paganini, CTO presso CSE CybSec SPA e Membro dell’ENISA (European Union Agency for Network and Information Security) Threat Landscape Stakeholder Group and Cyber G7 Group Le tecniche, tattiche e procedure (TTP) degli attori malevoli appaiono sempre più complesse: pensiamo a gruppi come APT Lazarus, responsabile di attacchi condotti a livello globale contro giganti della tecnologia (come Samsung) e cryptocurrencies (bitcoin). Esistono strumenti di prevenzione contro tali minacce? Più che il numero preoccupa ormai il livello di complessità degli attacchi, in particolare per quanto concerne attori persistenti noti come APT (advanced persistent threat), che dispongono di notevoli risorse economiche e umane. Tra i fenomeni fonte di maggiore preoccupazione vi è, senza dubbio, il modello di crime-as-a-service, fenomeno in espansione che vede gruppi altamente specializzati offrire i propri prodotti e servizi ad organizzazioni criminali e talvolta ad attori nation-state. Parliamo di servizi, prodotti ed infrastrutture complete per gestire ed organizzare persino attacchi su larga scala in grado di arrecare danno ad organizzazioni di qualunque dimensione. Anche la varietà dei moventi è un tema di difficile analisi con notevoli sovrapposizioni – si può spaziare dai reati economici al terrorismo. L’analisi dei fenomeni impone un radicale cambio di approccio nel campo del contrasto e della prevenzione delle minacce. Metodologie di attacco più complesse richiedono un’attenzione più elevata, e da questo punto di vista il fattore umano è imprescindibile, così come l’information sharing tra attori della sicurezza. C’è da dire che sul piano della consapevolezza e dell’attenzione, anche mediatica, qualcosa sta cambiando (il GDPR è un segnale positivo, anche se molti opportunisti lo stanno usando come una sorta di “spauracchio” per vendere i propri prodotti per la sicurezza) ma la strada è ancora lunga. Guardiamo all’enorme espansione dell’IoT: senza porci il problema della sicurezza, siamo destinati a soccombere. La security non deve essere percepita come una spesa inutile ma come un investimento fondamentale per garantire l’appetibilità e, spesso, la stessa sopravvivenza del proprio business: ritengo che sia fondamentale diffondere awareness su questo concetto. Nelle sue previsioni per il 2017 in tema di cyber security, lei paventava “un significativo aumento del numero di infezioni causate da malware sempre più sofisticati”; un panorama nel quale “ransomware e mobile malware la faranno da padroni” e dove sarebbero aumentati gli “attacchi contro i sistemi di controllo industriale (ICS)”. Ritiene che questi scenari si siano verificati? Quali prospettive ipotizza, invece, per il 2018? Il modello estorsivo implementato tramite ransomware si è effettivamente imposto come predominante nel mercato del cybercrime; accennando a sistemi ICS ricordo come proprio in queste ore si stia discutendo del malware Triton – disegnato appositamente per attaccare sistemi industriali – che avrebbe compromesso diverse infrastrutture critiche in Arabia Saudita, con ricadute economiche inimmaginabili. Nel campo della tecnologia mobile, oggi grossi rischi sono veicolati dalle applicazioni: in questo gioca un ruolo importante la scarsa consapevolezza della minaccia, la totalità degli utenti ritiene che un’applicazione trovata su uno store ufficiale come Google Play sia sicura e la scaricano senza controllarne feedback e numero di download effettuati. Prevedo che questa tendenza proseguirà nel 2018, sfruttando il paradigma imperante dei dispositivi mobili. Minacce significative vengono, poi, anche dall’IoT: dobbiamo prepararci a malware in grado di attaccare centinaia di migliaia di macchine connesse – come è già successo con la botnet Mirai, che ha attaccato i sistemi DNS utilizzati dalle principali aziende statunitensi oscurando per diverse ore siti del calibro di Amazon e PayPal sulle reti Usa. Sembra prevedibile che l’interesse degli Stati per la sicurezza informatica – non più soltanto in termini di reazione agli attacchi ma anche di offensive defence – comporterà a breve significativi cambiamenti nell’approccio legislativo alle tematiche cyber. Pensa che il cosiddetto state sponsored hacking rappresenterà un fenomeno evolutivo nella cyber security o che rischierà, al contrario, di inasprire i conflitti e le disparità già esistenti tra diverse zone del mondo? Il Nation-state hacking e la corsa agli “armamenti cibernetici” sono già realtà da oltre un decennio; urgono regole vincolanti per prevenire scenari in cui davvero nessuno sarebbe al sicuro. A livello legislativo, in Europa già la Direttiva NIS mirava ad incentivare la comunicazione tra attori. Più specificamente la dichiarazione di Lucca (adottata l’11 aprile 2017 a conclusione del G7 degli Esteri, ndr) alla cui stesura ho preso parte come membro del Gruppo Cyber G7 del Ministero degli Esteri, cerca proprio di definire le norme di comportamento degli stati nel cyberspazio: è stata accettata dagli Stati membri del G7 in modalità non obbligatoria, a dimostrazione di un approccio più consapevole ma ancora non abbastanza forte rispetto alla proporzione dei rischi in gioco. Considerato che il cyberwarfare si muove su un piano parallelo e meno visibile, preparando o coadiuvando le modalità belliche più tradizionali, in assenza di regole d’ingaggio condivise tra gli Stati rischia senz’altro di trasformarsi in un’arma devastante su più fronti: basti pensare alla vulnerabilità delle infrastrutture critiche o all’uso del machine learning nella propaganda politica sul web. Il fatto che la sicurezza informatica sia ormai entrata ufficialmente nelle agende dei massimi summit internazionali, incluso il G7, per lei potrebbe definirsi “too little, too late” o segna, invece, un reale cambio di passo nella cooperazione tra potenze mondiali in materia di cyberdefense? Quali ritiene gli Stati più virtuosi da una prospettiva cyber? Non è troppo tardi, anche se siamo piuttosto indietro. Come anticipavo, Wannacry ha “dato la sveglia” in questo senso, quindi la consapevolezza dei pericoli è aumentata; ora esistono soprattutto esigenze di coordinamento e comunicazione, per evitare la dispersione di risorse che si determina quando ciascuno lavora per conto suo. Al G7 si è fatto un ottimo lavoro ma resta da vedere se seguiranno azioni concrete, strategie continuative e condivise, che è quello di cui c’è realmente bisogno. Analogamente alle aziende, gli Stati devono comprendere che la sicurezza informatica non è un costo ma un’opportunità – anche per attrarre investimenti e competere sul piano dell’innovazione – e mettere in campo risorse proporzionate. Molti Paesi già lo fanno: posso citare Israele e diversi Stati del Sud Est asiatico, specialmente la Corea del Sud ma anche la Malesia e il Vietnam, che da situazioni di povertà si stanno trasformando in eccellenze tecnologiche investendo in settori paradossalmente trascurati dai Paesi più “avanzati” nell’economia tradizionale. In Europa spicca l’Irlanda, che sta dimostrando una grande capacità attrattiva di capitali esteri determinata sicuramente dall’effetto Brexit, ma anche da massicci investimenti aziedali in termini di innovazione e sicurezza. Tornando ai bilanci di fine anno, gli ultimi mesi sono stati segnati da attacchi su larghissima scala capaci di determinare effetti a livello globale, come nei casi di WannaCry e NotPetya o del caso, di cui lei stesso ha scritto di recente, degli archivi dell’intelligence USA finiti in chiaro sui cloud server di Amazon. Potremmo anche richiamare, restando nei nostri confini nazionali, gli attacchi rivolti a Unicredit e Confindustria. Cosa possiamo imparare da queste esperienze? Innanzitutto ad aggiornare i sistemi (includendo il patch-management tra le priorità assolute) per non offrire il fianco a questo tipo di attacco. Poi l’information sharing, come dicevamo: la comunicazione tra attori e la condivisione di strumenti è assolutamente fondamentale. A questo proposito WannaCry ha dimostrato i pericoli e la pervasività di un attacco su larga scala – le multinazionali coinvolte hanno dichiarato danni, in media, per 2-300 milioni di euro – ma ricordiamo che ha fatto leva sulle falle di aggiornamento di codici microsoft; se avesse usato, ad esempio, codici Zeroday l’impatto avrebbe potuto essere infinitamente più devastante: se vogliamo prevenire un’eventualità del genere, le parole chiave restano consapevolezza e condivisione....