Connect with us

Senza categoria

Il boom delle distro immutabili

Stanno diventando sempre più popolari e molti ritengono che rappresentino il futuro di Linux, ma cosa le rende così speciali?

Avatar

Pubblicato

il

Secondo le dichiarazioni del team di Fedora, le varianti immutabili rappresentano la maggior parte delle versioni di Fedora Linux in uso. La prossima release di supporto a lungo termine di Ubuntu offrirà quasi certamente una build immutabile, basata solo su Snap, in aggiunta a quelle classiche e molte altre distro immutabili sono già diventate molto popolari. E sembra proprio che le distro immutabili non siano affatto una moda del momento. In alcuni scenari, infatti, si spingono un passo oltre i sistemi Linux tradizionali, offrendo un’opzione più sicura e affidabile. Sono particolarmente utili in applicazioni come il cloud computing, i sistemi embedded, l’IoT e l’esecuzione di container, ma possono essere una soluzione vincente anche come distro di uso quotidiano e per i server.

Cosa sono nella pratica

Una distro immutabile è un sistema operativo progettato per essere inalterabile e in sola lettura. Una volta installato l’OS, i file e le directory di sistema non possono essere modificati direttamente dagli utenti o dalle applicazioni. Per apportare aggiornamenti o modifiche viene creata, installata e attivata una nuova istanza del sistema operativo e gli aggiornamenti vengono applicati in modo atomico (tutti in una volta). Le applicazioni sono isolate dal sistema operativo principale e l’una dall’altra, tipicamente attraverso la containerizzazione. In questo modo le modifiche apportate da una applicazione non possono influenzare il sistema centrale o altri programmi.

Fedora Silverblue offre un’esperienza simile a quella che si ha utilizzando Fedora Workstation. Fedora ha altre due versioni immutabili: Kinoite e Sericea

 

I vantaggi che offrono

Uno dei principali vantaggi dell’utilizzo dei sistemi operativi immutabili è la grande sicurezza che offrono. Poiché i file di sistema sono di sola lettura, qualsiasi tentativo di modifica fallisce. In questo modo si evitano interventi non autorizzati e si riduce il rischio di malware o di attacchi malevoli. Isolando il sistema operativo da potenziali minacce, una distro immutabile offre una soluzione perfetta per gli ambienti critici. Garantisce inoltre prestazioni affidabili e costanti, impedendo modifiche accidentali o configurazioni errate. Poiché gli OS rimangono invariati dopo ogni riavvio, si riduce la possibilità di problemi imprevisti o di guasti al sistema. Ciò è particolarmente importante in ambienti in cui i tempi di attività e la stabilità sono fondamentali, come i server o i sistemi embedded. Inoltre, con una distro immutabile il processo di manutenzione e aggiornamento diventa più semplice ed efficiente. Invece di applicare patch o aggiornamenti direttamente al sistema in esecuzione, si crea una nuova istanza dell’OS con gli aggiornamenti necessari. In questo modo si garantisce uno stato pulito e coerente del sistema a ogni aggiornamento, riducendo al minimo il rischio di conflitti o problemi di compatibilità. Inoltre, se si verificano inconvenienti durante il processo di update, è possibile ripristinare facilmente l’istanza precedente del sistema operativo, il che offre un’opzione di rollback molto pratica. Un ultimo, importante aspetto è che le distro immutabili offrono vantaggi in termini di scalabilità e riproducibilità, soprattutto in ambienti di cloud computing o containerizzati. Creando nuove istanze del sistema operativo per ogni deployment, diventa più facile scalare in base alla domanda. Ciò semplifica la gestione di deployment su larga scala e garantisce ambienti coerenti e riproducibili tra le diverse istanze.

Container e sandbox in primo piano

L’architettura di una distribuzione immutabile ruota attorno ai concetti di containerizzazione e sandbox. Utilizzando ambienti di virtualizzazione come Docker e LXC (abbreviazione di Linux Containers), ogni componente del sistema viene inserito in una sandbox sicura. Ciò consente di creare ambienti isolati in cui ogni componente è autonomo e permette al sistema di eseguire applicazioni non affidabili senza compromettere la sicurezza generale della macchina. Questo garantisce che ogni parte del sistema sia a prova di manomissione e possa essere aggiornata in modo indipendente. Permette inoltre di isolare le applicazioni, assicurando che abbiano accesso solo ai dati che devono gestire. Per capire più nel dettaglio cosa possiamo aspettarci da una distribuzione di questo tipo, vediamo alcuni dei progetti più importanti sul mercato.

 

Tre distro per Fedora

Fedora Silverblue è un sistema operativo immutabile che utilizza l’ambiente desktop Gnome. L’aspetto, la funzionalità e il comportamento sono quelli di un normale sistema operativo desktop e l’esperienza è simile a quella che si ha utilizzando Fedora Workstation. Le applicazioni grafiche vengono installate tramite Flatpak, che le tiene separate dal sistema di base e consente un controllo minuzioso dei loro permessi. Se programmate, apprezzerete l’utility Toolbox, che utilizza i contenitori per fornire un ambiente in cui installare e utilizzare strumenti di sviluppo e librerie. Toolbox consente di organizzare gli strumenti di sviluppo per progetto e di mantenere più versioni dei tool indipendenti l’una dall’altra. Tenete però presente che Fedora Silverblue non fornisce un’esperienza pienamente funzionale per il dual booting o il partizionamento manuale. Fedora ha anche altre due distribuzioni immutabili: Kinoite con il desktop Plasma e Sericea che offre il tiling window manager Sway, ideale per chi preferisce basare il suo flusso di lavoro sulla tastiera anziché sul mouse.

NixOS, OpenSUSE MicroOS e GNU Guix

NixOS è una distribuzione costruita sulla base di Nix, un gestore di pacchetti multipiattaforma puramente funzionale che utilizza un modello di distribuzione in cui il software viene installato in directory uniche generate tramite hash crittografici. Nix costruisce i pacchetti in isolamento per assicurarne la riproducibilità, mentre NixOS facilita la condivisione degli ambienti di sviluppo e di compilazione. La raccolta di pacchetti Nix ne contiene oltre 80.000. Nix è anche il linguaggio di compilazione utilizzato da NixOS che specifica come costruire i pacchetti dai sorgenti e permette di adattare facilmente il sistema alle proprie esigenze. Tuttavia, poiché la creazione dai sorgenti è un processo lungo, il gestore di pacchetti scarica automaticamente dei binari precostituiti da un server di cache quando sono disponibili. In questo modo si unisce la flessibilità di un sistema di gestione dei pacchetti basato sui sorgenti con l’efficienza di un modello binario. Uno dei punti di forza di questa distribuzione dalle caratteristiche uniche e dalle funzionalità molto avanzate è la forza della sua community. Sulla sua pagina GitHub (https://github.com/NixOS/nixpkgs), che ha oltre 5.000 contributor, trovate i link per accedere, oltre che alla documentazione del progetto, al suo forum, alla sua chat in Matrix, alla newsletter settimanale, alla wiki gestita dalla comunità e un elenco di modi per mettersi in contatto con essa (Discord, Telegram, IRC, ecc.). Un’altra distribuzione immutabile interessante, mirata principalmente ai server, è OpenSUSE MicroOS. È un sistema operativo a microservizi progettato per ospitare carichi di lavoro in container con amministrazione e patch automatizzate. Utilizza aggiornamenti transazionali, che consentono un facile rollback e assicurano che il sistema esegua lo stesso software in modo coerente a ogni avvio. Il sistema è scalabile e affidabile, con recupero automatico per gli aggiornamenti difettosi. Il progetto offre anche due versioni per computer desktop, che sono state recentemente rinominate (bit.ly/449HIkD) come openSUSE Aeon (con ambiente desktop GNOME) e openSUSE Kalpa (con Plasma). Simile a NixOS per la potenza e le funzioni avanzate è GNU Guix (https://guix.gnu.org), una distribuzione del sistema operativo GNU. È sia un gestore di pacchetti che può essere usato in qualsiasi distro, sia una vera e propria distribuzione GNU/Linux immutabile che si impegna a rispettare e migliorare la libertà dei suoi utenti.

Nella pagina degli scaricamenti di MicroOS sono previste diverse piattaforme, tra cui la Raspberry Pi

Vanilla OS e BlendOS

 

Vanilla OS  è un sistema operativo immutabile basato su Ubuntu con un ambiente desktop GNOME 3 standard. È stato progettato per essere affidabile e produttivo per l’operatività quotidiana e offre un’interfaccia pulita e intuitiva. Mira a soddisfare le esigenze di sviluppatori, designer, studenti e semplici utenti di base grazie a un’ampia gamma di applicazioni. Al primo avvio è possibile scegliere il formato di pacchetti che si desidera utilizzare in Vanilla OS, come Flatpak, Appimage o Nix. Inoltre consente di lanciare diversi sistemi containerizzati basati su Arch Linux, Fedora o Alpine Linux. La distribuzione ha fatto molto parlare di sé perché ha deciso di passare come base da Ubuntu a Debian Sid nella prossima versione, Vanilla OS 2.0 Orchid. Mira infatti a essere una distribuzione neutra (il termine “vaniglia” viene infatti usato in inglese anche per indicare un gusto di base, senza fronzoli) che lascia la massima libertà di scelta possibile agli utenti e secondo gli sviluppatori le scelte di Ubuntu che si allontanano da questa filosofia richiedono troppo tempo per essere neutralizzate. Una filosofia analoga ma spinta ancora oltre sul fronte della compatibilità è quella di blendOS. Come suggerisce il nome, mira a fondere (blend in inglese) tutte le distribuzioni Linux, Android e le applicazioni Web in un’unica soluzione. È basato su Arch Linux e supporta diversi ambienti desktop, tra cui GNOME e KDE Plasma, oltre a diversi gestori di pacchetti, come apt, dnf, yum, pacman e yay. Dopo aver installato blendOS è possibile utilizzare una qualsiasi delle centinaia di migliaia di applicazioni da una qualsiasi delle distribuzioni supportate dal sistema operativo, tra cui Debian, Ubuntu, Fedora, Arch Linux, Kali Linux, AlmaLinux, Rocky Linux e Android. È infatti possibile installare applicazioni da alcuni dei più popolari store Android, tra cui Aurora Store o F-Droid, grazie al fatto che la distro utilizza WayDroid dietro le quinte. Questo non è solo comodo per gli utenti che hanno più scelta di app, ma anche per gli sviluppatori che possono sfruttare facilmente il proprio PC per il testing.

 

Ubuntu core è già ampiamente usato nell’Internet delle cose, nell’automazione industriale, nei progetti per le città e le vetture intelligenti e nella robotica. Dovrebbe arrivare presto in Ubuntu per desktop

 

 

Ubuntu core e il futuro sui desktop

Al di fuori dei nostri desktop, una distribuzione immutabile molto importante è Ubuntu Core. Canonical ha iniziato il suo sviluppo nel 2014, con l’obiettivo di creare una piattaforma completamente containerizzata per l’IoT. Inserisce ogni componente del sistema in una sandbox sicura, il che consente ai dispositivi IoT autonomi connessi di ricevere aggiornamenti senza l’intervento umano. L’architettura di Ubuntu Core si concentra sulla componibilità e sulla sicurezza, rendendola una buona opzione per l’edge computing (una forma di elaborazione distribuita che porta la computazione e lo storage dei dati più vicino alle fonti di dati), la robotica e lo sviluppo sul cloud. L’approccio containerizzato consente una maggiore flessibilità e fornisce un sistema operativo sicuro e resiliente per ambienti difficili. L’ingombro minimo dell’OS lo rende inoltre una scelta efficiente per i dispositivi con risorse limitate. Le sue  dimensioni ridotte e le poche dipendenze gli consentono infatti di funzionare senza problemi su diverse schede embedded e single-board computer. Viene utilizzato nella robotica, per i veicoli autonomi, nell’automazione industriale e nelle applicazioni per le smart city, come i display intelligenti. Anche Ubuntu core potrebbe però arrivare presto sui desktop. Come dichiara la stessa azienda, infatti: “dietro le quinte, il team di Canonical ha esplorato attivamente i vantaggi di Ubuntu Core al di là del regno dell’IoT, in particolare nel contesto degli sviluppatori e degli utenti quotidiani”. Secondo quando trapelato da dichiarazioni delle persone che ci lavorano, già la prossima versione LTS (con supporto a lungo termine) di Ubuntu dovrebbe avere, insieme a quella tradizionale, un’edizione immutabile basata solo su pacchetti Snap, senza più quelli .deb. I pacchetti Snap stessi sono applicazioni immutabili. Quando vengono installati, vengono forniti come pacchetti completi che includono l’applicazione e tutte le sue dipendenze, riunite in un filesystem squashfs immutabile. A differenza del software tradizionale, gli Snap non modificano o sfruttano le librerie o le impostazioni del sistema host e, quando uno Snap viene aggiornato, l’intero pacchetto viene sostituito in una sola volta. Concludendo, le distribuzioni immutabili hanno guadagnato grande consenso negli ultimi anni e probabilmente diventeranno sempre più popolari in futuro, poiché offrono una serie di vantaggi, tra cui una maggiore facilità di test e di sviluppo del software basato su container, la sicurezza del sistema operativo e la standardizzazione. Che sia ora di provarne una?

All’avvio iniziale potete scegliere il formato o i formati dei pacchetti che volete utilizzare in Vanilla OS


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

[wpdevart_facebook_comment curent_url="http://developers.facebook.com/docs/plugins/comments/" order_type="social" title_text="Facebook Comment" title_text_color="#000000" title_text_font_size="22" title_text_font_famely="monospace" title_text_position="left" width="100%" bg_color="#d4d4d4" animation_effect="random" count_of_comments="7" ]

News

Classifica delle minacce informatiche di Ottobre

In Italia, FakeUpdates e Androxgh0st rimangono le principali minacce, mentre Formbook scende al settimo posto e Lumma Stealer sale al terzo. A livello globale, i ricercatori hanno rilevato un significativo aumento degli infostealer. Il malware Necro è in crescita tra le minacce per dispositivi mobili

Avatar

Pubblicato

il

Check Point® Software Technologies Ltd. ha pubblicato l’Indice delle minacce globali per ottobre 2024, evidenziando un aumento preoccupante degli attacchi da infostealer e la crescente sofisticazione dei metodi di attacco. In Italia, le minacce principali rimangono FakeUpdate al primo posto e Androxgh0st al secondo, con Lumma al terzo posto, sostituendo Formbook che scende al settimo. FakeUpdate, un downloader JavaScript, è la minaccia più significativa con un impatto dell’8,36%, seguita da Androxgh0st, una botnet che ruba informazioni sensibili, con un impatto del 6,7%. Lumma Stealer, un malware russo che sottrae informazioni e opera come Malware-as-a-Service, si posiziona al terzo posto con un impatto del 3,75%. I ricercatori hanno scoperto una nuova catena di infezione che utilizza false pagine CAPTCHA per distribuire Lumma Stealer, diffuso tramite URL di download di giochi craccati e email di phishing indirizzate agli utenti di GitHub. Questo metodo di infezione evidenzia l’efficacia crescente degli infostealer nel rubare credenziali e dati sensibili.

 

Il malware che colpisce Android

Nel settore del malware per dispositivi mobili, la nuova versione di Necro è diventata una minaccia significativa, classificandosi al secondo posto tra i malware più diffusi. Necro ha infettato numerose applicazioni popolari, inclusi mod di gioco su Google Play, compromettendo oltre 11 milioni di dispositivi Android. Utilizza tecniche di offuscamento e steganografia per eludere il rilevamento e nascondere i suoi payload. Una volta attivato, può visualizzare annunci in finestre invisibili, interagire con essi e abbonare le vittime a servizi a pagamento, dimostrando l’evoluzione delle tattiche degli aggressori per monetizzare le loro operazioni.

 

Famiglie di malware più diffuse

*Le frecce si riferiscono alla variazione di posizione rispetto al mese precedente.

FakeUpdates è il malware più diffuso questo mese con un impatto del 6% sulle organizzazioni mondiali, seguito da Androxgh0st con un impatto globale del 5% e AgentTesla con un impatto globale del 4%.

  1. ↔ FakeUpdates (AKA SocGholish) è un downloader scritto in JavaScript. Scrive i payload su disco prima di lanciarli. FakeUpdates ha portato a ulteriori compromissioni tramite molti altri malware, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
  2. ↔ Androxgh0st è una botnet che colpisce le piattaforme Windows, Mac e Linux e sfrutta diverse vulnerabilità, in particolare quelle di PHPUnit, Laravel Framework e Apache Web Server. Il malware ruba informazioni sensibili come i dati dell’account Twilio, le credenziali SMTP, l’accesso a AWS, ecc. Utilizza i file Laravel per raccogliere le informazioni richieste e ha molteplici varianti che scansionano diverse informazioni.
  3. ↑ AgentTesla – AgentTesla è un RAT avanzato che funziona come keylogger e ruba informazioni. È in grado di monitorare e raccogliere gli input dalla tastiera della vittima, di scattare screenshot e di esfiltrare le credenziali di una serie di software installati sul computer (tra cui Google Chrome, Mozilla Firefox e il client e-mail Microsoft Outlook).
  4. ↑ Lumma Stealer, noto anche come LummaC2, è un malware legato alla Russia che ruba informazioni e che opera come piattaforma Malware-as-a-Service (MaaS) dal 2022. Questo malware, scoperto a metà del 2022, è in continua evoluzione e viene distribuito attivamente sui forum in lingua russa. LummaC2 si concentra sulla raccolta di vari dati dai sistemi infetti, tra cui le credenziali del browser e le informazioni sui conti delle criptovalute.
  5. ↓ Formbook è un Infostealer che colpisce il sistema operativo Windows ed è stato rilevato per la prima volta nel 2016. È commercializzato come Malware as a Service (MaaS) nei forum di hacking underground per le sue forti tecniche di evasione e il prezzo relativamente basso. FormBook raccoglie le credenziali da vari browser web e screenshot, monitora e registra le sequenze di tasti e può scaricare ed eseguire file in base agli ordini del suo C&C.

Le vulnerabilità maggiormente sfruttate

  1. Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Esiste una vulnerabilità di directory traversal su diversi web server. La vulnerabilità è dovuta a un errore di convalida dell’input in un server web che non sanifica correttamente l’URI per i modelli di attraversamento delle directory. Uno sfruttamento riuscito consente agli attaccanti remoti non autenticati di divulgare o accedere a file arbitrari sul server vulnerabile.
  2. Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086 – È stata segnalata una vulnerabilità di iniezione di comandi su HTTP. Un attaccante remoto può sfruttare questo problema inviando una richiesta appositamente creata alla vittima. Uno sfruttamento riuscito consentirebbe a un aggressore di eseguire codice arbitrario sul computer di destinazione.
  3. ↑ Zyxel ZyWALL Command Injection (CVE-2023-28771) – Esiste una vulnerabilità di command injection in Zyxel ZyWALL. Lo sfruttamento riuscito di questa vulnerabilità consentirebbe agli aggressori remoti di eseguire comandi arbitrari del sistema operativo nel sistema interessato.

Principali malware per dispositivi mobili

Questo mese Joker è al primo posto nella classifica delle minacce informatiche mobili più diffuse, seguito da Necro e Anubis.

  1. ↔ Joker è uno spyware per Android presente in Google Play, progettato per rubare messaggi SMS, elenchi di contatti e informazioni sul dispositivo. Inoltre, il malware fa sottoscrivere silenziosamente alla vittima servizi premium su siti web pubblicitari.
  2. ↑ Necro è un Trojan Dropper per Android. È in grado di scaricare altri malware, di mostrare annunci invadenti e di rubare denaro attraverso l’addebito di abbonamenti a pagamento.
  3. ↓ Anubis è un trojan bancario progettato per smartphone Android. Da quando è stato rilevato inizialmente, ha acquisito ulteriori funzioni, tra cui la funzionalità di Trojan ad accesso remoto (RAT), e di keylogger, ovvero la capacità di registrazione audio e varie funzionalità ransomware. È stato rilevato in centinaia di differenti applicazioni disponibili su Google Store.

I settori più attaccati a livello globale

Questo mese l’istruzione/ricerca è rimasta al primo posto nella classifica dei settori attaccati a livello globale, seguita da governo/militare e comunicazioni.

  1. Istruzione/Ricerca
  2. Governo/Militare
  3. Comunicazioni

I gruppi di ransomware maggiormente rilevati

I dati si basano su informazioni provenienti da “siti della vergogna” gestiti da gruppi di ransomware a doppia estorsione che hanno pubblicato informazioni sulle vittime. RansomHub è il gruppo ransomware più diffuso questo mese, responsabile del 17% degli attacchi pubblicati, seguito da Play con il 10% e Meow con il 5%.

  1. RansomHub è un’operazione di Ransomware-as-a-Service (RaaS) che è emersa come versione ribrandizzata del ransomware conosciuto come Knight. Emerso all’inizio del 2024 nei forum clandestini di criminalità informatica, RansomHub ha rapidamente guadagnato notorietà per le sue campagne aggressive rivolte a vari sistemi, tra cui Windows, macOS, Linux e in particolare agli ambienti VMware ESXi. Questo malware è noto per l’impiego di sofisticati metodi di crittografia.
  2. Play Ransomware, noto anche come PlayCrypt, è un ransomware emerso per la prima volta nel giugno 2022. Questo ransomware ha preso di mira un ampio spettro di aziende e infrastrutture critiche in Nord America, Sud America ed Europa, colpendo circa 300 entità fino a ottobre 2023. Play Ransomware accede tipicamente alle reti attraverso account validi compromessi o sfruttando vulnerabilità senza patch, come quelle delle VPN SSL di Fortinet. Una volta all’interno, utilizza tecniche come l’uso di binari “living-off-the-land” (LOLBins) per attività quali l’esfiltrazione di dati e il furto di credenziali.
  3. Meow Ransomware è una variante basata sul ransomware Conti, nota per la crittografia di un’ampia gamma di file sui sistemi compromessi e l’aggiunta dell’estensione “.MEOW”. Quando attacca lascia una nota di riscatto denominata “readme.txt”, istruendo le vittime a contattare gli aggressori via e-mail o Telegram per negoziare il pagamento del riscatto. Meow Ransomware si diffonde attraverso vari vettori, tra cui configurazioni RDP non protette, spam via e-mail e download dannosi.

 

 

*illustrazione articolo progettata da  Securelist


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

News

Cybearly – forecasting 2025

Sono aperte le iscrizioni per seguire dal vivo o in diretta streaming i lavori della seconda edizione di “Cybearly – forecasting 2025”, l’evento di informazione, sensibilizzazione e divulgazione sulla sicurezza informatica promosso da Cybear e BearIT

Avatar

Pubblicato

il

La seconda edizione di “Cybearly – forecasting 2025”, un evento dedicato alla sicurezza informatica promosso da Cybear e BearIT, si terrà il 3 e 4 ottobre 2024 al Museo delle Genti d’Abruzzo di Pescara. L’evento, che fa parte dell’European Cyber Security Month promosso dall’ENISA, gode del patrocinio del Comune di Pescara, Clusit, Assintel, Agid, e Women4Cyber, e della collaborazione con l’Università Politecnica delle Marche. Il programma prevede speech e una tavola rotonda sul ruolo delle donne nella cyber security, con interventi di esperti provenienti da vari settori. Inoltre, ci sarà la Cyber Security Challenge che coinvolgerà studenti di sei istituti superiori italiani, permettendo loro di mostrare le proprie abilità digitali e di incontrare professionisti e aziende del settore.

«L’idea di fondo del progetto Cybearly», commenta Gaspare Aristide Silvestri, CEO di BearIT, «è fare divulgazione sul tema della cyber security con il coinvolgimento di ospiti di livello internazionale. Con Cybearly – forecasting 2025 confermiamo questa visione, chiedendo – come abbiamo fatto per la scorsa edizione – ai nostri speaker di rendere la materia fruibile al pubblico con un linguaggio accurato ma non eccessivamente tecnico. In questo modo auspichiamo che il messaggio arrivi in maniera semplice ma non semplicistica a un maggior numero di persone possibile. In estrema sintesi, l’obiettivo di Cybearly – forecasting 2025 è di innalzare il livello di consapevolezza generale, dal cittadino al professionista, sulle tematiche di cyber sicurezza, fornendo al pubblico alcuni strumenti pratici per identificare e contrastare le minacce informatiche».

Sono previste due modalità per partecipare gratuitamente all’evento: in presenza o in diretta live streaming. Sarà possibile seguire l’evento in presenza, previa iscrizione tramite il form presente sul sito www.cybearly.com. L’iscrizione dà diritto, oltre che al posto garantito in sala, al caffè di benvenuto e al light lunch. O in alternativa a distanza, sempre tramite iscrizione sul sito: in questo caso il link per seguire la diretta streaming sarà inviato il giorno prima dell’evento all’indirizzo e-mail specificato al momento dell’iscrizione. In entrambi i casi, l’iscrizione può essere effettuata al seguente link.

Clicca qui per prendere visione del programma completo dell’evento.


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

Senza categoria

L’istruzione nel mirino

Il settore dell’istruzione è stato il più bersagliato quest’anno. In Italia +53,2% di attacchi rispetto alla media mondiale

Avatar

Pubblicato

il

Secondo l’ultimo rapporto di Check Point Research, le scuole e le università, con i loro dati sensibili e misure di sicurezza informatica spesso inadeguate, sono diventate obiettivi primari per i criminali informatici. Il rapporto, della divisione di Threat Intelligence di Check Point® Software Technologies Ltd., rivela che il settore dell’istruzione è stato il più colpito dagli attacchi informatici nel 2024. Inoltre, i dati evidenziano una disparità tra i settori e differenze a livello di regioni geografiche.
Dall’inizio dell’anno alla fine di luglio, il settore dell’istruzione/ricerca è stato il più bersagliato a livello globale, con una media di 3.086 attacchi per organizzazione, a settimana. Si tratta di un aumento del 37% rispetto all’anno precedente, comparato con il secondo settore più bersagliato, quello governativo/ militare.

Media settimanale di attacchi per organizzazione nel 2024 vs 2023

  

Attacchi complessivi per regione

La regione APAC è quella che ha registrato il maggior numero di attacchi informatici contro le organizzazioni del settore Istruzione/Ricerca dall’inizio dell’anno, con 6.002 attacchi settimanali per organizzazione. Il Nord America ha registrato il più alto incremento su base annua, con un aumento del 127%.

Zona geografica           Media di attacchi settimanali per organizzazione Differenza anno su anno
APAC 6002 -37%
Africa 2875 +70%
Europa 2804 +18%
America del Sud 2721 +88%
America del Nord 1821 +127%

 

L’India è il Paese più bersagliato

Il testo riporta che l’India è il Paese più bersagliato nel settore dell’istruzione e della ricerca, con 6.874 attacchi settimanali per organizzazione, un aumento del 97% su base annua. La rapida adozione dell’apprendimento a distanza e la digitalizzazione dell’istruzione, dovute ai lockdown per il COVID, hanno creato opportunità per i criminali informatici. La proliferazione di piattaforme di apprendimento online ha aumentato i rischi, mentre scuole e università spesso trascurano la sicurezza informatica, lasciando le reti vulnerabili. In Germania e Portogallo si registra un aumento del 66% degli attacchi. In Italia, con 4.730 attacchi settimanali, c’è un incremento del 40% rispetto all’anno scorso, superando del 53% la media globale.

Paese Media di attacchi settimanali per organizzazione Differenza anno su anno
India 6874 +97%
Regno Unito 4793 +36%
Italia 4730 +40%
Messico 3507 +22%
Portogallo 3042 +66%
Germania 2041 +77%
Stati Uniti 1667 +38%

  

Perché proprie le scuole?

Il testo evidenzia l’interesse per i dati personali conservati dagli istituti scolastici, che includono non solo dipendenti come insegnanti e docenti, ma anche studenti. Le reti di scuole, college e università sono quindi più ampie, aperte e difficili da proteggere, contenendo molte informazioni di identificazione personale (PII) utili a fini finanziari. Gli studenti, non essendo vincolati da rigide linee guida aziendali, utilizzano i propri dispositivi, lavorano da alloggi condivisi e si connettono a Wi-Fi pubblici, aumentando i rischi per la sicurezza. Questa situazione crea una “tempesta perfetta” per le minacce informatiche.

 

Campagna di phishing negli Stati Uniti

In vista dell’inizio del nuovo anno scolastico, Check Point ha rilevato la creazione di 12.234 nuovi domini relativi a scuole e istruzione, con un incremento del 9% rispetto all’anno precedente. Di questi, 1 dominio su 45 è stato classificato come dannoso o sospetto. Nel luglio 2024, Check Point Research ha osservato diverse campagne di phishing negli Stati Uniti che utilizzavano nomi di file legati alle attività scolastiche per attirare le vittime. Una di queste campagne includeva il file “DEBIT NOTE_ {nome e data} _schoolspecialty.com.html”, che imitava un messaggio di accesso Adobe PDF.

 

Un’altra campagna ha utilizzato il nome del file “{nome della scuola} High School July Open Enrollment for Health & Financial Benefits.htm” e conteneva un codice altamente offuscato, che sembrava visualizzare una pagina di login Microsoft per qualche organizzazione.

*illustrazione articolo progettata da  CheckPoint


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

Articoli

Energia sotto attacco hacker

Uno degli ultimi malware intercettati durante il cyberconflitto Russia-Ucraina ha colpito il settore energetico

Avatar

Pubblicato

il

Di recente, il malware Industroyer2 si è distinto come una delle armi più pericolose impiegate nella guerra in Ucraina. Conosciuto anche come CrashOverride, si tratta di un agente altamente sofisticato che mira a compromettere i sistemi di automazione industriale (ICS), utilizzati ampiamente nel settore energetico. È in grado di infiltrarsi nei sistemi SCADA (Supervisory Control And Data Acquisition) e di compromettere le infrastrutture critiche, come le sottostazioni elettriche e le reti di distribuzione. Sfrutta vulnerabilità presenti nei protocolli di comunicazione utilizzati nei sistemi ICS, tra cui il protocollo IEC 61850, comunemente impiegato nel settore energetico. Attraverso l’analisi delle reti e l’intercettazione dei comandi di controllo, è in grado di eseguire attacchi mirati e causare il blackout delle reti elettriche.

 

Industroyer2 implementa solo il protocollo IEC-104 (noto anche come IEC 60870-5-104) per comunicare con le apparecchiature industriali. Fonte: https://www.welivesecurity.com

MODALITÀ DI ATTACCO

Industroyer2 si diffonde attraverso varie fasi di attacco, ognuna delle quali svolge un ruolo specifico nel compromettere l’infrastruttura target. Tra le sue funzionalità principali, possiamo identificare: il rilevamento della rete, l’analisi della rete e l’identificazione dei dispositivi, nonché l’individuazione di vulnerabilità presenti. Subito dopo, tenta di creare delle interferenze con i protocolli di comunicazione: il malware manipola i messaggi di controllo inviati tra le diverse componenti del sistema ICS. Ciò gli consente di assumere il controllo dei dispositivi e di modificare il loro comportamento. Infine, disabilita i dispositivi critici come interruttori, trasformatori e generatori, provocando un black-out e danni significativi alle infrastrutture.

Una volta avviato Industroyer2, si apre una finestra del prompt che visualizza i comandi che vengono inviati e ricevuti. In questo caso, a essere presa di mira è la porta 2404 utilizzata da IEC-104 per inviare messaggi TCP. Fonte: https://www.sentinelone.com

PAROLA D’ORDINE: COLLABORAZIONE

Durante gli attacchi ai sistemi energetici hanno causato black-out prolungati, con conseguente mancanza di elettricità per le comunità colpite. Questo ha avuto un impatto diretto sulle attività quotidiane, inclusi i servizi essenziali come l’approvvigionamento idrico, i trasporti e i servizi sanitari. Tanto che Industroyer2 ha spinto la comunità internazionale a intensificare gli sforzi per la prevenzione e la mitigazione delle minacce cibernetiche nel settore energetico. Le agenzie governative, i ricercatori di sicurezza informatica e le aziende del settore energetico stanno collaborando per sviluppare contromisure e soluzioni di difesa più efficaci.

 

NUOVA VERSIONE

In concomitanza con la diffusione di Industroyer2 nella rete ICS, gli attaccanti hanno distribuito anche una nuova versione del malware CaddyWiper, molto probabilmente con lo scopo di rallentare il processo di recupero e impedire agli operatori della compagnia energetica di riprendere il controllo delle console ICS. È stato anche distribuito sulla macchina in cui è stato eseguito Industroyer2, probabilmente per coprire le loro tracce.

 

Schema di funzionamento dell’attacco combinato di Industroyer2 e CaddyWiper.  Fonte: https://www.headmind.com/fr/industroyer-2/

 

 

 

 


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

Senza categoria

Hackerare un sito con l’IA

C’è chi l’ha fatto sfruttando le potenzialità di Chat GPT-4. Svelati tutti i retroscena

Avatar

Pubblicato

il

Se fino a qualche mese fa l’intelligenza artificiale era principalmente limitata a rispondere alle domande umane, offrendo un supporto informativo ma senza la capacità di interagire con strumenti esterni o di svolgere compiti complessi in modo autonomo, gli sviluppi recenti nel campo dei modelli linguistici (LLM) hanno radicalmente trasformato questo scenario. Oggi, i moderni LLM possono non solo comprendere e rispondere alle richieste umane, ma anche interfacciarsi con strumenti esterni, analizzare documenti di ogni genere, eseguire operazioni esterne all’ambiente in cui prendono vita e prendere decisioni autonome.

Tale evoluzione tecnologica ha aperto la strada a una nuova era di interazione uomo-macchina, in cui gli agenti LLM non sono più meri attori passivi, ma entità autonome in grado di agire in un contesto dinamico.
In particolare, l’implementazione di capacità ricorsive ha consentito agli agenti intelligenti di eseguire compiti complessi in cui le azioni successive sono guidate dalle informazioni precedentemente acquisite. Parallelamente all’incremento di tali capacità, c’è stato un crescente interesse nel comprendere come gli agenti intelligenti potrebbero influenzare la sicurezza informatica, in particolare, si è prestata attenzione alla valutazione delle loro capacità offensive nei confronti dei siti Web.
Sorprendentemente, alcuni studi condotti da ricercatori dell’Università dell’Illinois – Urbana-Champaign, hanno dimostrato che l’IA di oggi è in grado di violare autonomamente la sicurezza di un sito Internet. Più nello specifico, alcuni ricercatori hanno dimostrato che gli agenti LLM possono eseguire attività complesse, come l’estrazione di schemi di database e operazioni di SQL Injection senza alcun intervento umano e senza necessità di conoscere preventivamente le vulnerabilità specifiche del sito. Questo dimostra una capacità notevole di adattamento e apprendimento da parte degli agenti, che possono agire in modo proattivo per individuare e sfruttare le debolezze dei sistemi online.

 

GLI AGENTI

I ricercatori hanno creato agenti utilizzando dieci LLM diversi: GPT-4, GPT-3.5, OpenHermes-2.5-Mistral-7B, LLaMA-2 Chat (70B), LLaMA-2 Chat (13B), LLaMA-2 Chat (7B), Mixtral -8x7B Instruct, Mistral (7B) Instruct v0.2, Nous Hermes-2 Yi (34B) e OpenChat 3.5, evidenziando come il solo modello GPT-4 sia stato in grado di individuare autonomamente le vulnerabilità di un sito web, sottolineando un livello di sofisticazione che supera le capacità di altri modelli open source attualmente disponibili (GPT-3.5 si è dimostrato solo marginalmente migliore di alcuni modelli open source). Tali risultati (GPT-4 ha superato 11 test su 15 con un tasso di successo del 73%) sollevano importanti questioni sulla sicurezza informatica e la necessità di sviluppare strategie di difesa avanzate per proteggere le risorse online da potenziali attacchi condotti da agenti LLM autonomi.

 

COSA DICONO  GLI INQUIETANTI TEST

Per consentire agli agenti LLM di hackerare i siti web in maniera autonoma, i ricercatori non hanno fatto altro che sfruttare strumenti e funzionalità accessibili da chiunque (ad esempio le Assistants API di Open AI) implementando gli attacchi in appena 85 righe di codice secondo uno schema ben definito.

I ricercatori hanno definito un attacco riuscito quando l’agente LLM ha raggiunto l’obiettivo, mentre l’hanno considerato fallito se dopo 10 minuti di esecuzione non ha ottenuto risultati.

 

Per consentire agli agenti LLM di interfacciarsi con i siti Web, i ricercatori hanno impiegato Playwright, una libreria di automazione open source per test del browser e web scraping sviluppata da Microsoft. Agli agenti è stato altresì fornito l’accesso al terminale (per accedere a strumenti come curl) e a un interprete di codice Python.

Per far comprendere agli agenti le tecniche di hacking web sono stati “dati in pasto” agli stessi sei documenti – disponibili online – che coprono un’ampia gamma di tipologie d’attacchi web: un documento sull’hacking web in generale, due documenti sulle tecniche di SQL injection, due documenti su XSS (Cross-Site Scripting, una vulnerabilità che affligge siti web che impiegano un insufficiente controllo dell’input nei form) e un documento su SSRF (Server-Side Request Forgery, una vulnerabilità che consente a un aggressore di manipolare un server, instradandolo a compiere richieste non autorizzate verso risorse interne ed esterne). Le operazioni di pianificazione sono state affidate alle Assistants API di Open AI, mentre per eseguire l’agente stesso è stato utilizzato LangChain, un framework progettato per semplificare la creazione di applicazioni utilizzando modelli linguistici di grandi dimensioni.

Attenzione: precisiamo che…

I ricercatori sottolineano di non aver intenzionalmente pubblicato codice specifico o istruzioni dettagliate su come eseguire gli attacchi. Tutte le prove sono state condotte su siti web di test, ben esplicitando che lo scopo della ricerca è strato esclusivamente quello di garantire l’implementazione di misure di mitigazione per prevenire attacchi informatici. Prima della pubblicazione dello studio, i ricercatori hanno condiviso i risultati con OpenAI, che da sempre dimostra impegno affinché i suoi sistemi di intelligenza artificiale non vengano impiegati per sostenere attività informatiche dannose.

 

Leggi anche: “Database: la SQL la iniection è dietro l’angolo

 


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

Senza categoria

Attacchi sempre più intelligenti!

Servizi di IA speciali come FraudGPT, XXXGPT e WolfGPT vengono utilizzati dai criminali informatici per creare attacchi sofisticati e analizzare informazioni rubate

Avatar

Pubblicato

il

Check Point® Software Technologies Ltd. evidenzia come l’intelligenza artificiale (IA), sebbene utile nella lotta contro il crimine informatico, venga anche sfruttata dagli hacker per scopi malevoli. Questa tendenza sta trasformando il panorama della criminalità organizzata.

Strumenti di IA come FraudGPT, XXXGPT e WolfGPT vengono utilizzati dai criminali informatici per creare attacchi sofisticati e analizzare informazioni rubate. FraudGPT, ad esempio, permette di generare identità false, email di phishing, malware e tecniche di ingegneria sociale, mentre XXXGPT genera codici RAT, spyware, ransomware e keylogger. WolfGPT, noto per la sua complessità, crea malware criptato, campagne di phishing, botnet e Trojan, ed è usato per attacchi mirati a POS e bancomat, nonché per il riciclaggio di denaro.

Questi strumenti dimostrano che i criminali informatici possono adattare l’IA per rendere gli attacchi più efficaci, facilitando il furto dei dati delle vittime. È, quindi, necessario ripensare le strategie di sicurezza informatica esistenti ed esaminare il quadro etico che regola lo sviluppo e l’utilizzo dell’IA“, sottolinea Oded Vanunu, Head of Vulnerability Research at Check Point Software Technologies.

 

Di seguito le principali attività da potenziare:

  1. Regolamentazione e legislazione sono le aree che devono essere prese in considerazione per l’introduzione di leggi e regolamenti forti, che sappiano controllare e supervisionare lo sviluppo e l’uso delle tecnologie di IA.
  2. Educazione: è fondamentale aumentare la consapevolezza del pubblico sui rischi associati all’IA e fornire strumenti e informazioni per proteggersi da frodi e abusi.
  3. Tecnologia: è necessario sviluppare sistemi e algoritmi di sicurezza avanzati in grado di rilevare e bloccare i servizi di IA pericolosi.
  4. Cooperazione internazionale: sarebbe auspicabile una stretta collaborazione tra governi, organizzazioni internazionali e aziende tecnologiche per creare standard e protocolli globali per lo sviluppo di IA sicure.

 

*illustrazione articolo progettata da  Freepik

 


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

Senza categoria

Account Facebook presi di mira

Kaspersky ha individuato un nuovo schema di phishing che prende di mira gli account aziendali di Facebook

Avatar

Pubblicato

il

Quando si clicca sul link dell’e-mail di phishing, si accede a una vera pagina di Facebook che mostra un avviso simile, per poi essere reindirizzati a un sito di phishing con il marchio Meta, che riduce il tempo per risolvere il problema da 24 a 12 ore. Questo sito chiede inizialmente informazioni generiche, seguite da e-mail o numero di telefono e password dell’account. Gli aggressori utilizzano account Facebook compromessi per inviare queste notifiche, cambiando il nome e l’immagine del profilo dell’account per creare messaggi minacciosi, assicurando che le notifiche raggiungano i destinatari tramite l’infrastruttura di Facebook.

“Anche le notifiche che sembrano legittime e provengono da una fonte affidabile come Facebook possono essere ingannevoli. È fondamentale esaminare attentamente i link che vi vengono inviati, soprattutto quando si tratta di inserire dati o effettuare pagamenti. Questo può contribuire in modo significativo alla protezione degli account aziendali dagli attacchi di phishing“, ha commentato Andrey Kovtun, Security Expert di Kaspersky.

Ulteriori informazioni su questa truffa di Facebook sono disponibili su Kaspersky Daily.

 

Leggi anche: “Come individuare una truffa deepfake

 

*illustrazione articolo progettata da Freepik

 

 

 


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

Trending