Articolo di Arturo Di Corinto per AGI.it del 16 luglio 2018 L’Italia è sotto attacco cibernetico? E chi sono gli attaccanti? Sono russi oppure no? In base a quello che hanno scoperto i ricercatori dello Z-Lab, il centro anti malware di Cse Cybsec, azienda italiana di cybersecurity, sembrerebbe di poter rispondere di sì. L’Italia sarebbe oggetto ormai da settimane di una campagna di spionaggio condotta da un gruppo russo prima di “andare in sonno.” E se questo è vero, da quanto durano questi attacchi e chi ne è il bersaglio finale sono le importanti domande a cui bisognerà rispondere. Gli esperti di Cse hanno infatti individuato sulle reti italiane una backdoor, una ‘porta posteriore’, usata per aggirare le difese dei sistemi sotto attacco, identificata come una nuova variante della famigerata backdoor X-Agent. Usata per colpire i sistemi Windows, la backdoor, parte dell’arsenale di APT28, un gruppo paramilitare russo, consentirebbe di esfiltrare dati dai computer compromessi per mandarli a un centro di Comando e Controllo situato in Asia. Le prove che portano agli hacker russi sarebbero diverse: il linguaggio in cui è scritto il virus che veicola la backdoor, il luogo di destinazione del traffico che genera, il tipo di minaccia, X-Agent, da tempo in possesso all’APT 28, gruppo di hacker collegato ai servizi segreti militari russi. L’inchiesta di CSE e la Marina Italiana L’inchiesta di Cse, avviata da un’indagine di routine su un campione di software malevolo inviato a Virus Total, una piattaforma di analisi online di virus e malware, ha permesso con l'aiuto di un ricercatore noto su Twitter come Drunk Binary di confrontarlo con una serie di campioni e segnalarli alle autorità per ulteriori indagini, in un rapporto accompagnato dalle cosiddette “regole Yara”, che servono a individuare l’azione in corso di eventuali malware. Ma gli esperti hanno anche analizzato altro codice malevolo, una DLL, una libreria dinamica di software, che viene caricata automaticamente durante l’esecuzione di un compito informatico. Apparentemente non correlata agli esempi precedenti, presenta molte somiglianze con altre cyber-armi in possesso del gruppo russo. In questo caso il malware contatta un server di comando e controllo che porta il nome "marina-info.net" che, dice Pierluigi Paganini, capo tecnologo di CSE Cybsec, “Se adottiamo le logiche degli attaccanti parrebbe un riferimento alla Marina militare italiana e ci invita a verificare l’ipotesi che quel codice malevolo sia stato sviluppato come parte di una serie di attacchi mirati contro la Marina o altre entità ad essa associate, come i suoi fornitori.” I ricercatori di CSE Cybsec non sono stati in grado di collegare direttamente il file DLL malevolo agli esemplari di X-Agent, ma credono che siano entrambe parti di un attacco chirurgico ben coordinato e alimentato dall'APT28 che Z-Lab ha chiamato “Operazione Vacanze Romane” perché potrebbe colpire organizzazioni italiane nel periodo estivo. Un momento delicato A supportare l’ipotesi che si tratti di una più ampia campagna di spionaggio ai danni dell’Italia potrebbe essere la situazione geopolitica attuale – i rapporti dell’Italia con la Russia -, il delicato momento temporale, a ridosso della visita di Trump in Europa, dell’incontro con Putin e dopo l’incriminazione da parte del procuratore speciale Mueller di 12 agenti russi coinvolti a vario titolo nel Russiagate. Il gruppo APT28 infatti è attivo dal 2007 e ha preso di mira governi, forze armate e organizzazioni di sicurezza. Ma, soprattutto, APT28 è uno dei gruppi hacker più famosi al mondo per essere stato coinvolto nel furto delle email di Hillary Clinton che portarono l’FBI di James Comey a indagarla poco prima delle elezioni presidenziali Usa spianando di fatto la strada al candidato Donald Trump. APT28, un acronimo che sta per Advanced Persistent Threath numero 28, prende il nome dalla tecnica utilizzata: una ‘Minaccia persistente avanzata’ è un tipo di minaccia informatica che una volta installata in server e sistemi vi rimane per svolgere il suo compito di monitoraggio ed esfiltrazione dei dati, in genere con finalità di spionaggio. Il gruppo, ben organizzato e finanziato - noto anche come Sofacy, Fancy Bear, Pawn Storm, Sednit e Stronzio -, era stato segnalato operante da Palo alto networks e Kaspersky Lab in Asia e Medio Oriente proprio negli ultimi mesi, dando l’idea di essersi allontanato dagli usuali bersagli della Nato e dell’Ucraina. Ma in base alle evidenze trovate dallo Z-Lab forse non è più così. Il rapporto completo sull'analisi del malware è scaricabile qui...

Articolo di John Leyden per The Register, del 16 luglio 2018   Researchers have claimed the infamous APT28 Kremlin-linked hacking group was behind a new cyber-espionage campaign they believe was targeted at the Italian military. Security researchers from the Z-Lab at CSE Cybsec spent the weekend unpicking a new malware-base cyber-espionage campaign allegedly conducted by APT28 (AKA Fancy Bear). The multi-stage campaign features an initial dropper malware, written in Delphi, and a new version of the X-agent backdoor, a strain of malicious code previously linked to APT28. One malicious library (dll) file associated with the campaign phones home to a command-and-control server with the name “marina-info.net”. This is a reference to the Italian Military corp, Marina Militare, according to the researchers. "The dll that connect[s] to 'marina-info.net' might be the last stage-malware that is triggered only when particular conditions occur, for example when the malware infects a system with an IP address belonging to specific ranges," claimed to the researchers. The Russian state-backed hackers may be targeting specific organisations including the Italian Marina Militare and its subcontractors, the researchers conclude. The targeting of Italian organisations during the summertime led the researchers to nickname the campaign "Roman Holiday". Researchers from Z-Lab worked with independent researcher Drunk Binary (@DrunkBinary) on malware samples spotted in the wild and uploaded them to VirusTotal as they put together their analysis. Further details on the malware samples analysed by CSE Cybsec, including the indications of compromise, are available in a report published by researchers at ZLAb here (pdf). Operation Roman Holiday – Hunting the Russian APT28 The APT28 hacking crew has been active since at least 2007, since when it has targeted governments, militaries, and other organisations worldwide. The group - identified by Western intel agencies as a unit of Russian military intelligence, the GRU - has also been alleged to be behind attacks on the German Bundestag, French TV station TV5Monde and (most notoriously) a hack and leak campaign that targeted the US Democrats during the 2016 US presidential election. More recently, in the second half of 2017, the group turned their attention away from NATO countries and Ukraine with attacks against countries included China, Mongolia, South Korea and Malaysia. Researchers from Palo Alto Networks spotted attacks against the various Asian countries that made use of the SPLM and the Zebrocy tools previously linked to the group. A dozen individuals who are alleged to be GRU intelligence operatives were indicted last week over a string of attacks that targeted 2016 US Presidential election. ®...

Articolo del sito dell'Agenzia per l'Italia Digitale, del 26 giugno 2018 Il malware è attivo almeno dal 2009, come riportato da Microsoft, ma nel corso del tempo si è evoluto e ha migliorato le tecniche di attacco. Recenti studi condotti da CSE Cybsec ZLab, hanno evidenziato la presenza in rete di altri documenti malevoli che utilizzano lo stesso filename pattern (“[NOME_COMPAGNIA_VITTIMA]_Richiesta.doc”) e mostrano la solita schermata con il messaggio "Questo file è stato creato con una versione precedente di Microsoft Office Word". Come da copione, per visualizzare il contenuto è necessario fare clic sul pulsante 'Abilita modifiche', situato sulla barra gialla in alto e poi cliccare su 'Abilita contenuto'". Dall'analisi dinamica eseguita da CSE Cybsec sul malware, risulta che: i files infetti contattavano domini diversi; ogni documento office conteneva macro diverse, scritte con almeno tre stili di codifica; con il passare dei giorni, i domini non risultavano più raggiungibili. Si ipotizza che gli autori dell'attacco abbiano deciso spontaneamente di disattivare o spostare i domini dopo essersi accorti di essere stati scoperti. Osservando il comportamento del processo e del traffico network che viene eseguito subito dopo l'apertura del doc, i ricercatori hanno collezionato una nuova serie di repository del malware. Di seguito viene riportato l'elenco dei sample (dropper) analizzati e i relativi domini associati: Nome del documento dominio IP Hash (MD5) AdelaideConsulting_Richiesta.doc qwdqwdqwd19.com 151.80.162.223 c97e623145f7b44497b31ef31a39efed AMLM_Richiesta.doc g94q1w8dqw.com 45.41.80.86 b48f658dbd0ef764778f953e788d38c9 Comune_di_Lequio_Tanaro_Richiesta.doc vqubwduhbsd.com 23.227.201.166 6f571b39fcde69100eb7aec3c0db0a98 ComunediVALDELLATORRE_Richiesta.doc fq1qwd8qwd4.com 172.106.170.85 29ca7312b356531f9a7a4c1c8d164bdd IV_Richiesta.doc wdq9d5q18wd.com - 535a4ebb8aef4c3f18d9b68331f4b964 OrdineDeiGiornalisti_Richiesta.doc fq1qwd8qwd4.com 172.106.170.85 347ce248b44f2b26adc600356b6e9034 WSGgroup_Richiesta.doc vqubwduhbsd.com 23.227.201.166 3c301ff033cb3f1af0652579ad5bc859 CB_Richiesta.doc fq1qwd8qwd4.com 172.106.170.85 1e8d75b5c93913f0f0e119a9beb533cb   Analizzando i domini tramite query WHOIS, si scopre che sono tutti registrati dallo stesso indirizzo email, "whois-protect[@]hotmail[.]com", che apparentemente sembrerebbe offuscato tramite un servizio per la protezione della privacy. In realtà si tratta di un semplice account e-mail creato tramite Hotmail utilizzato dall'attaccante per registrare molti altri domini. Questo indirizzo di posta in realtà era già noto, infatti viene citato il 18 gennaio 2018 sul blog di Talos Intelligence in un post relativo a Necurs, la botnet responsabile del 97% delle campagne di spam maligne in tutto il mondo e che causa la diffusione di malware, come TrickBot, Dridex, Loki, Emotet, Scarab, etc. Non è quindi da escludere che gli autori della campagna Ursnif possano aver iniziato una campagna per diffondere il trojan bancario sfruttando la botnet Necurs. Una panoramica dei repository rinvenuti è visibile sulla piattaforma Infosec dove è inoltre disponibile uno dei sample al momento oggetto di analisi. IOCs DOMAINS qwdqwdqwd19[.com g94q1w8dqw[.com vqubwduhbsd[.com fq1qwd8qwd4[.com wdq9d5q18wd[.com qwd1q6w1dq6wd1[.com qw8e78qw7e[.com qwdohqwnduasndwjd212[.com IP 23.227.201[.166 172.106.170[.85 89.37.226[.117 86.105.1[.131 62.113.238[.147 89.37.226[.156 198.55.107[.164 EMAIL whois-protect[@]hotmail[.com zhejiangshangbang[@]qq[.com HASH C97E623145F7B44497B31EF31A39EFED B48F658DBD0EF764778F953E788D38C9 6F571B39FCDE69100EB7AEC3C0DB0A98 29CA7312B356531F9A7A4C1C8D164BDD 535A4EBB8AEF4C3F18D9B68331F4B964 347CE248B44F2B26ADC600356B6E9034 3C301FF033CB3F1AF0652579AD5BC859 716D8D952102F313F65436DCB89E90AE FD26B4B73E73153F934E3535A42B7A16 ...

Articolo e riprese audio-video del convegno, a cura di Fabio Arena e Pantheon, pubblicato su radioradicale.it l'11 giugno 2018 Nell’occasione sarà presentato il libro "Il ruolo dell'Italia nella sicurezza cibernetica. Minacce, sfide e opportunità" (Franco Angeli Edizioni), a cura di Giulio Terzi di Sant’Agata, Valerio De Luca e Francesca Voce. In collaborazione con la rivista Cyber Affairs e gli Specialisti italiani della Cyber Security. Convegno "Lo stato dell'arte della Cyber Security italiana: prospettive a confronto", registrato a Roma lunedì 11 giugno 2018 alle ore 09:46. L'evento è stato organizzato da Centro Studi Americani e Fondazione Luigi Einaudi. Sono intervenuti: Nimvrod Kozlovski (associate professor for cyber studies TAU and Kellogg), Francesco Talò (ambasciatore, Coordinatore Cyber Security del MAECI), Nunzia Ciardi (direttore del Servizio Polizia Postale e delle Comunicazioni), Emanuele Spoto (ceo di Telsy Elettronica), Pierluigi Paganini (chief technology officer CSE Cybsec SpA), Michele Pierri (direttore di Cyber Affairs), Marco Castaldo (amministrazione Delegato di CSE Cybsec SpA), Gianluca Santilli (senior partner di Lexjus Sinacta), Pier Luigi Dal Pino (responsabile delle Relazioni Istituzionali e Industriali Microsoft), Andrea Rigoni (partner Deloitte, cofondatore Intellium), Domenico Raguseo (manager of Technical Sales in Europe for the Security Systems Division), Walter Arrighetti (professore presso la John Cabot University), Giulio Maria Terzi di Sant'Agata (presidente di CSE Cybsec SpA), Valerio De Luca (direttore del Dipartimento di Relazioni Internazionali della Fondazione Luigi Einaudi), Francesca Voce (Ricercatrice presso laScuola Superiore Sant’Anna di Pisa e l'Università di Trento). Sono stati discussi i seguenti argomenti: Agenzia Per L'italia Digitale, Controlli, Cooperazione, Economia, Europa, Finanza, Geopolitica, Impresa, Internet, Mercato, Politica, Prevenzione, Riservatezza, Sicurezza, Tecnologia, Unione Europea. La registrazione video di questo convegno ha una durata di 3 ore e 16 minuti. ...

Articolo di Fabrizio Ferrara per Fidelityhouse.eu del 13 giugno 2018 CSE CybSec Enterprise, società di consulenza attiva nella sicurezza e guidata (tra gli altri) anche dall’ambasciatore Giulio Terzi di Sant’Agata, ha annunciato l’individuazione di un pericoloso virus che, in queste ore, colpendo l’Italia, sta mettendo in serio pericolo la sicurezza dei suoi correntisti. Il virus in questione, denominato Ursnif e scovato da CSE CybSec, si propaga tramite l’allegato di una mail resa credibile dal riferimento ad una precedente conversazione tra chi la riceve e chi l’avrebbe mandata: il nome del file allegato, in formato Word, inoltre, fa riferimento alla precisa identità della vittima. Una volta aperto l’allegato, quest’ultimo si fa passare come redatto in una precedente versione del text editor del Pacchetto Office e, per essere fruito anche dal destinatario, chiede di abilitare dei comandi, in realtà corrispondenti alle macro, di norma disabilitate per default in caso di allegati ricevuti via mail. Ottenuto il via libera, gli hacker procedono a scaricare, dal server remoto, degli script con i quali infettare il computer della vittima, col risultato che – dopo un po’ – vengono rubate le credenziali per l’accesso alla mail, per i siti usati negli gli acquisti online, per il proprio home banking, con conseguenze negative facili da immaginare. CES precisa che tale virus sta colpendo, nel nostro Paese, giornalisti, impiegati di aziende, e semplici consumatori, con una certa difficoltà ad essere fermato: nel sito degli hacker, infatti, il rinvenimento di precedenti campioni di malware con tanto di statistiche di propagazione fa intendere un’adeguata preparazione del “colpo” e, se ancora ciò non bastasse, va considerato che tale malware – per garantirsi di continuare la sua azione criminosa – tende a tornare in esecuzione a ogni riavvio del computer, occultandosi nel processo di sistema (per la gestione delle finestre) “explorer.exe”. La security house Yoroi, invece, avvisa sull’ulteriore pericolosità di una variante di Ursnif, DMOSK, propagata tramite un allegato zip, e capace di eludere la maggior parte degli antivirus attualmente in circolazione (su VirusTotal, solo 9 engine su 69 la rilevano). Nel cautelarsi contro tale minaccia, CSE CybSec consiglia di prestare attenzione anche alla forma sgrammaticata dell’italiano in cui è redatta la mail “untrice”. COSA NE PENSA L’AUTORE Devo ammettere che era da un po' che non sentivo parlare di virus: già settimane fa si parlava dell'arrivo di malware di tipo bancario, o - appunto - bankware e, a quanto pare, in tempo per l'estate, con la prenotazione delle vacanze, l'acquisto di tv per gustarsi i mondiali, etc, con perfetto tempismo, è arrivato anche il virus che colpisce le finanze degli italiani. ...

Articolo di Francesco Garibaldi per Formiche.it del 12 giugno 2018 Il ministero degli Esteri italiano sta gradualmente sviluppando le peculiarità della sua cyber diplomacy, basandosi su tre elementi principali: l’aspetto difensivo, quello diplomatico e quello di sfruttamento delle opportunità. A spiegarlo a Formiche.net è Francesco Maria Talò, già ambasciatore italiano in Israele e oggi coordinatore per la cyber security alla Farnesina. Intervistato a margine di un evento organizzato da Cse CybSec in collaborazione con il Centro Studi Americani e Cyber Affairs, il diplomatico analizza le peculiarità dell’ecosistema informatico italiano, sottolineando la necessità di avere un occhio di riguardo alla promozione del Sistema-Paese. Ambasciatore Talò, quali misure crede prioritarie per migliorare l’assetto della cyber security italiana? La materia è in costante evoluzione. Ci siamo attrezzati con un dispositivo normativo recente che semplifica l’assetto e lo rende più compatto ed allo stesso tempo meglio raccordato. Un elemento cruciale in questo settore è quello della interdisciplinarietà, ossia la capacità di dialogo tra i vari attori. Questo sistema in Italia si basa essenzialmente su tre elementi: il pubblico, ossia le istituzioni; il privato, rappresentato dalle nostre imprese, e l’accademico, con i centri di ricerca. Queste tre “gambe” hanno delle ripercussioni importanti in ambito internazionale, di competenza della Farnesina, dove anche vige una sempre maggiore interdisciplinarietà nel trattamento della materia. Che cosa sta facendo, a riguardo, il ministero degli Affari esteri? Il Maeci sta gradualmente sviluppando le peculiarità della sua cyber diplomacy basandosi su tre ulteriori elementi: l’aspetto difensivo, quello diplomatico e quello di sfruttamento delle opportunità. Cyber significa infatti “opportunità”. L’Italia ha un sistema-paese forte, con una sezione pubblica che si sta strutturando bene, un settore privato con dei campioni di livello assoluto congiunti ad una rete di piccole e medie imprese oltre alle start-up. Inoltre, lo stivale ha un mondo accademico importante: l’esempio lampante è il consorzio “CINI” (Consorzio Interuniversitario per l’Informatica) che ha pubblicato un libro bianco disponibile sia in italiano che in inglese. Ciò che possiamo e dobbiamo attuare è una promozione del nostro “sistema-paese” nel mondo, dimostrando la nostra capacità di “fare cyber” mettendo in mostra le eccellenze delle nuove tecnologie made-in-Italy. Che strumenti ha, l’Italia, per promuovere all’estero le sue tecnologie cyber? La promozione del nostro sistema-Paese è comunque affiancata ad una efficace attività negoziale all’interno degli organismi internazionali di cui siamo membri, tra i quali le Nazioni Unite e l’Unione Europea. A Bruxelles, l’Italia deve far valere suoi punti di forza e le sue esigenze e sfruttare le opportunità nella valorizzazione degli interessi nazionali. Anche all’Osce, dove quest’anno abbiamo la Presidenza, siamo attivi in campo cyber dal momento che l’organizzazione ha sviluppato una serie di misure di fiducia reciproca in questo specifico settore. Nella Nato, invece, l’Italia è attiva insieme ai suoi alleati, dato che quella cyber è divenuta una delle cinque dimensioni di attività dell’Alleanza Atlantica, insieme a quelle tradizionali ossia terra-mare-cielo e spazio extra-atmosferico. Paesi diversi hanno idee diverse su come bilanciare due diritti come protezione dei dati personali e sicurezza degli utenti di Internet. Crede che, almeno in Europa, il nuovo Regolamento Privacy (il cosiddetto Gdpr) appianerà queste divergenze? Il panorama cyber in ambito europeo consta di una triade di valori che devono necessariamente coesistere: sicurezza, ossia la difesa dagli attacchi esterni; la libertà, ossia la sopravvivenza di cyber-space aperto; la privacy, per garantire la sicurezza e riservatezza delle informazioni degli individui. A questi valori, dobbiamo aggiungere il rispetto e la tolleranza altrui. Lo spazio cibernetico non può ad esempio accettare episodi di anti-semitismo, aspetto trattato nella conferenza che ho organizzato a fine gennaio al Maeci. Per quanto riguarda nello specifico il Gdpr, la nuova normativa riguarda soprattutto la privacy, ed il diritto dei cittadini europei a vedere rispettato questo elemento. Da questo punto di vista Ue si sta ponendo all’avanguardia. Il Gdpr può produrre risultati se ci impegneremo tutti per far sì che continui ad esistere uno spazio in cui ci si può comunque esprimere liberamente ed in sicurezza. Quali sono i prossimi appuntamenti fissati nell’agenda del Maeci per la promozione del mondo cyber? Vogliamo fortemente rendere l’Italia protagonista nel panorama cyber. Cybertech Europe (organizzata nel vecchio continente in collaborazione con il campione italiano dell’aerospazio e della Difesa Leonardo, ndr) è una prestigiosa manifestazione che Roma ospiterà per la terza volta il 26 e il 27 settembre prossimi. Mi sono prodigato personalmente per far sì che fosse la capitale italiana la sede prescelta per questa manifestazione. Auguro che si possano bissare, anzi aumentare, le quattromila presenze della edizione precedente presso la Nuvola di Fuksas. Da già ambasciatore d’Italia in Israele, quali auspici per la Cyber-Week della prossima settimana a Tel Aviv, nell’ambito della quale si tiene un panel dedicato proprio ai rapporti italo-israeliani? L’ambasciata a Tel Aviv è molto attiva per favorire la partecipazione attiva di nostri rappresentanti all’evento. Ormai è in corso un dialogo regolare tra attori italiani ed israeliani in tutti i settori. La Cyber-Week sarà senz’altro una ottima occasione di incontro per gli operatori italiani....

Articolo di Rebecca Mieli per Formiche.it dell'11 giugno 2018 Un aumento così significativo della protezione dei dati ha, paradossalmente, influito negativamente sulla loro sicurezza. A crederlo è l’avvocato israeliano Nimrod Kozlovski, uno dei massimi esperti di cyber security, investitore di venture capital (è cofondatore di Jerusalem Venture Partners) e professore alla Yale University. Il poliedrico personaggio è stato oggi il keynote speaker di una conferenza organizzata a Roma da Cse CybSec in collaborazione con il Centro Studi Americani e Cyber Affairs. Ecco una sua intervista con Formiche.net. Professor Kozlovski, come sta evolvendo la minaccia cyber? Sta evolvendo in modo importante. Gli attacchi sono sempre più raffinati e numerosi, lo sappiamo. Ma è il modo stesso con cui la società si affaccia alla sicurezza informatica che è cambiato: la nostra attenzione si è spostata dall’approccio con cui ogni organizzazione protegge se stessa, all’idea di Managed Security Services. Le compagnie di sicurezza che offrono soluzioni a numerose aziende allo stesso tempo e aggregano tutta la conoscenza acquisita. Cosa è cambiato? Ciò che è mutato è che siamo passati da un approccio di natura reattiva, mirato quindi a trovare una soluzione in seguito ad un attacco o un evento, fino ad un approccio nel quale diamo per scontato che questi attacchi avvengano in continuazione e tutto il sistema si concentra sulla prevenzione, anziché sulla risposta. Quali sono, oggi, i tratti distintivi della cyber security? La sicurezza di oggi tende a fornire soluzioni preventive per ogni genere possibile di attacco. L’Intelligence oggi tende a operare collezionando dati e analizzando i trend del momento, agendo poi in via preventiva. Oltre a questo, stiamo iniziando ad impiegare l’Intelligenza artificiale nella sicurezza, una tecnologia molto importante nelle operazioni di sicurezza più sofisticate. L’Intelligenza artificiale ci sta aiutando a capire come limitare ogni tipo di attacco e giocherà certamente un ruolo chiave nella creazione dei sistemi di sicurezza di nuova generazione. Per ultimo, credo che abbiamo capito di non aver investito abbastanza capitale umano nella sicurezza, stiamo iniziando ad aumentare il lato Humint unendovi e integrandovi le nuove tecnologie AI. In questo momento si parla tanto di data privacy e sicurezza informatica. C’è un nesso tra le due cose? Sì. Anche se credo che la privacy sia un elemento importante quando si approccia Internet e tutto l’ambiente “online”, ma penso che muovendoci nella direzione di un sempre maggior sviluppo, specialmente nell’ambito della protezione dei dati, la questione entri in conflitto con quanto concerne la sicurezza. Che genere di conflitto? La privacy è una questione molto importante ma anche la sicurezza lo è, e in alcuni è indispensabile privilegiare quest’ultimo aspetto. Un esempio: se vogliamo che le imprese operino con sistemi di sicurezza condivisi, dobbiamo dunque essere pronti a far sì che queste possano condividere dati tra loro. Alcune normative, come la direttiva Nis, tendono a favorire l’information sharing. Altre, come il Gdpr, tutelano i dati degli utenti. Pensa che siano incompatibili? Credo che se i miei dati sono criptati o non posso disporne liberamente perché non riesco ad accedervi, questa “protezione” va contro gli interessi della sicurezza. Un altro caso riguarda gli individui. Le operazioni di sicurezza spesso operano per individuare comportamenti anomali, quindi studiano le caratteristiche delle persone in questo senso. Per capire un comportamento dobbiamo, chiaramente, studiare l’individuo e il contesto in cui è inserito. Se proteggiamo le informazioni e i dati degli utenti, potremmo non trovare mai quei dati rilevanti che ci servirebbero per studiare quell’individuo che potrebbe mettere a rischio la sicurezza di un sistema. Un altro elemento riguarda i dati che viaggiano tra una nazione e l’altra, e il framework sulla protezione dei dati limita il modo in cui si possono condividere i dati d’oltreoceano, una questione, ancora, che è strettamente collegata alla sicurezza. Un ulteriore elemento di rilevanza è il ruolo che hanno i dati nelle operazioni di sicurezza, dove le costruzioni fondate per proteggere la privacy come il Gdpr rendono più riluttante la cittadinanza a fornire dati personali con leggerezza. Operazioni di sicurezza con queste restrizioni sono certamente rese più difficili, oggi stiamo affrontando un problema dove i dati nascosti e criptati – con l’obiettivo di proteggerne la privacy – non possono essere utilizzati neanche ai fini della sicurezza stessa. Pensa che troppa privacy possa penalizzare la sicurezza? Forse non si è riflettuto bene su come un aumento così significativo circa la protezione dei dati avrebbe influito sulla sicurezza degli stessi. Abbiamo di fronte a noi una sfida....

Articolo del 12 giugno 2018 pubblicato su libero.it L’Italia sotto attacco di nuova variante di un virus malevolo, un malware che si chiama Ursnif, capace di rubare password usate per l’home banking, gli acquisti online e la posta elettronica. E’ stata individuata dai ricercatori di CSE, CybSec Enterprise, e funziona in questo modo: le vittime ricevono un’email con allegato un documento Word che richiede l’abilitazione di una serie di comandi che permettono la visualizzazione dello stesso. L’email contiene anche una discussione pre-esistente tra mittente e destinatario. Per la società di sicurezza, il virus malevolo si sta diffondendo in queste ore facendo ingenti danni a consumatori, giornalisti, impiegati d’azienda. Il malware è programmato per sopravvivere e restare attivo anche al riavvio del computer, in questo modo il programma garantisce a se stesso la propria esecuzione ogni volta che il pc viene acceso. Analizzando il sito da cui viene scaricato – spiegano i ricercatori – si vede che all’interno è presente una sorta di collezione di campioni dello stesso malware e le statistiche di infezione per ogni file. Secondo CybSec Enterprise le caratteristiche del messaggio a cui fare attenzione sono queste: il testo della mail è formulato in un italiano scorretto; l’allegato è un documento Word che finge di essere stato creato con una versione precedente di Microsoft Office e invita l’utente ad abilitare le funzioni per essere letto; il nome di questo file è caratteristico, in quanto contiene un riferimento della vittima. Se si abilita il contenuto si attiva uno script malevolo che si collega a Internet e scarica dal proprio server il malware. “In uno scenario in cui i virus evolvono conservando le caratteristiche delle versioni precedenti aggiornate per aggirare ed eludere l’individuazione da parte dei software di protezione, in caso di individuazione degli elementi dannosi è importante rivolgersi subito a degli esperti per disinnescare la minaccia”, dicono i ricercatori di Cse Cybsec....

Articolo di secondopianonews.it del 12 giugno 2018 L’Italia sotto attacco di nuova variante di un virus malevolo, un malware che si chiama Ursnif, capace di rubare password usate per l’home banking, gli acquisti online e la posta elettronica. E’ stata individuata dai ricercatori di CSE, CybSec Enterprise, e funziona in questo modo: le vittime ricevono un’email con allegato un documento Word che richiede l’abilitazione di una serie di comandi che permettono la visualizzazione dello stesso. L’email contiene anche una discussione pre-esistente tra mittente e destinatario. Per la società di sicurezza, il virus malevolo si sta diffondendo in queste ore facendo ingenti danni a consumatori, giornalisti, impiegati d’azienda. Il malware è programmato per sopravvivere e restare attivo anche al riavvio del computer, in questo modo il programma garantisce a se stesso la propria esecuzione ogni volta che il pc viene acceso. Analizzando il sito da cui viene scaricato – spiegano i ricercatori – si vede che all’interno è presente una sorta di collezione di campioni dello stesso malware e le statistiche di infezione per ogni file. Secondo CybSec Enterprise le caratteristiche del messaggio a cui fare attenzione sono queste: il testo della mail è formulato in un italiano scorretto; l’allegato è un documento Word che finge di essere stato creato con una versione precedente di Microsoft Office e invita l’utente ad abilitare le funzioni per essere letto; il nome di questo file è caratteristico, in quanto contiene un riferimento della vittima. Se si abilita il contenuto si attiva uno script malevolo che si collega a Internet e scarica dal proprio server il malware. “In uno scenario in cui i virus evolvono conservando le caratteristiche delle versioni precedenti aggiornate per aggirare ed eludere l’individuazione da parte dei software di protezione, in caso di individuazione degli elementi dannosi è importante rivolgersi subito a degli esperti per disinnescare la minaccia”, dicono i ricercatori di Cse Cybsec....

Articolo pubblicato su Promuoviweb.net l'11 giugno 2018 Il virus arriva via posta elettronica con un finto allegato Word scritto in italiano scorretto e ruba le credenziali email e homebanking Le caratteristiche del malware per riconoscerlo e difendersi  Il trojan bancario si sta diffondendo in queste ore provocando già diversi attacchi ed è programmato per restare attivo anche al riavvio del computer, quindi ogni volta che il pc viene acceso. L’ignara vittima riceve una mail con un documento Word in allegato, che richiede di confermare un’azione per poterlo visualizzare, la quale in realtà innescherà la procedura di attivazione del virus. Nel dettaglio, il malware funziona in questo modo Il testo della mail è formato da poche parole scritte in un italiano scorretto, dove si chiede semplicemente di confermare l’azione richiesta da un file in allegato. L’email contiene anche una specie di discussione pre-esistente tra mittente e destinatario. Il nome del documento Word allegato è una concatenazione del nome dell’azienda farlocca, quello della vittima e la parola “Richiesta” e sembra essere stato essere stato creato con una versione precedente di Microsoft Office. Pertanto invita l’utente ad abilitare una serie di comandi per poterlo leggere correttamente; A questo punto una volta abilitato il contenuto viene attivato uno script malevolo che si collega a Internet e scarica dal proprio server il payload, cioè il malware vero e proprio, pronto a eseguire le proprie attività malevole. Consigliamo vivamente di non aprire email sospette, soprattutto quelle simili dalle caratteristiche simili a quelle che vi abbiamo appena illustrato, in quanto il virus è estremamente pericoloso. I tecnici della CSE hanno individuato il magazzino che conserva le varianti del virus, ma è importante fare attenzione per evitare di contrarre l’infezione....