Nel mondo della sicurezza informatica (cybersecurity) vengono usati termini tecnici, spesso in inglese, molto specifici, comprensibili quasi solo dagli esperti del settore. Questi termini ritornano con frequenza anche su articoli divulgativi, notizie di giornale, report di incidenti. Abbiamo quindi pensato di realizzare un piccolo dizionario per aiutare i nostri lettori a districarsi in questo mare di lemmi oscuri.

Malware

Un tempo, le minacce informatiche venivano indicate come generici virus. Un termine comprensibile anche al grande pubblico, ma non sufficientemente preciso. Un virus, di per sé, è infatti un programma progettato per replicarsi su più macchine, e non necessariamente per fare danni. Ci sono anche i worm, simili ai virus, ma che non necessitano di file per propagarsi da un sistema all’altro, e i trojan (cavalli di troia) che si celano all’interno di normali software ma svolgono di nascosto altre operazioni, come sottrarre credenziali di accesso, registrare screenshot e inviarli agli attaccanti, installare backdoor e via dicendo. Questi sono a tutti gli effetti dei malware. Sintetizzando, possiamo dire che con malware si intendono quei programmi progettati proprio per spiare le vittime, sottrarre informazioni o danneggiare i sistemi informatici.

DDoS

Acronimo di Distributed Denial of Service, un attacco distribuito mirato a rendere inaccessibili delle risorse online. Sono attacchi molto diffusi anche perché, grazie a strumenti reperibili in Rete, sono facilissimi da portare avanti anche per utenti con scarse competenze tecniche. È, per esempio, il caso delle manifestazioni di dissenso degli hacktivisti (inclusi i membri di Anonymous), che per protesta si organizzano per mettere fuori uso per alcune ore il sito di specifiche aziende. A volte vengono usati anche dai criminali o da aziende poco corrette per sabotare la concorrenza: bloccare un sito di e-commerce, magari durante i saldi o il periodo natalizio, può avere serie conseguenze economiche per le vittime.

IT/OT

Acronimi di Information Technology e Operational Technology. Bene o male, sappiamo tutti che l’IT si riferisce a server, computer, switch, infrastrutture di rete, router, firewall… insomma, tutto quello che riguarda l’aspetto informatico. Meno noto l’OT, che è quell’insieme di tecnologie usate in fabbrica e in generale nel mondo manifatturiero: macchine utensili, fresatrici, macchinari CNC, robot industriali e collaborativi, macchine per il packaging e via dicendo. Se un tempo questi dispositivi erano totalmente sconnessi dalla rete e non raggiungibili dall’esterno, con il paradigma di Industria 4.0 l’approccio è cambiato. Connettendo questi dispositivi (detti asset) alla rete è possibile controllarli e gestirli da remoto, abilitare soluzioni di manutenzione predittiva e migliorarne le prestazioni. Il rovescio della medaglia è che l’OT è diventato un bersaglio per gli attaccanti. E, trattandosi spesso di macchinari con 30 o più anni sulle spalle, non sono concepiti per resistere agli attacchi informatici. Per questo motivo le aziende manifatturiere vanno alla ricerca di esperti di cybersecurity in grado di aiutarli a mettere in sicurezza anche la parte OT.

SOC

I Security Operation Center sono delle sale attrezzate appositamente per reagire in caso di incidente informatico. Sono strutturate con svariati computer, server e monitor per tenere sotto controllo l’intera infrastruttura e rispondere agli attacchi e agli incidenti informatici, così da mitigarli. I SOC possono essere interni all’azienda, anche se questo accade solamente per le realtà più strutturate, che hanno il budget per gestire questi centri. Realtà più piccole si affidano ad aziende esterne che offrono servizio di SOC gestiti, in grado di rispondere 24/7, ma che sono molto meno onerosi in termini economici.

Phishing

Il phishing è una tecnica di attacco molto utilizzata per ottenere un accesso iniziale nei sistemi informatici delle aziende. Ma anche per “fregare” semplici utenti, spingendoli a cliccare su link che portano a contenuti pericolosi o a scaricare file contenenti malware. Ricordate le tantissime email che avevano come oggetto frasi tipo “Enlarge your penis” o “Compra Viagra online”? Ecco: questi sono classici esempi di phishing. Il nome della tecnica (“pescare”, in italiano) deriva dal fatto che gli attaccanti inviavano centinaia di migliaia di email a ignari utenti, nella speranza che una piccola percentuale ci cascasse. Oggi i cyber criminali sono più attenti e usano contro le aziende un’evoluzione di questa tecnica, chiamata Spear Phishing, pescare con le lance. La differenza è che invece di sparare nel mucchio, gli attaccanti si concentrano su specifiche figure aziendali, mandando email molto ben confezionate, che in molti casi sembrano legittime richieste di fornitori, partner o dei superiori. Ancora oggi, è una delle tecniche più efficaci per ottenere un accesso iniziale ai sistemi delle vittime. L’essere umano, alla fine, è ancora l’anello più debole della catena.

Social engineering (ingegneria sociale)

Molti attacchi informatici non avvengono grazie alle competenze tecniche dei cracker, ma per merito delle loro tecniche di ingegneria sociale. In pratica, si spacciano per qualcun altro (un tecnico o un responsabile della sicurezza, per esempio) per carpire informazioni chiave sull’infrastruttura, codici o credenziali di accesso. O, anche, spingono le vittime a compiere una serie di azioni che poi consentiranno agli attaccanti di avere accesso ai sistemi informatici presi di mira. Insieme al phishing, è uno degli approcci più efficaci e più utilizzati. Uno dei maestri di questa arte era il Condor, Kevin Mitnick, celeberrimo black hat hacker poi passato dalla parte dei “buoni”.

APT

Acronimo di Advanced Persistent Threat (Minaccia Persistente Avanzata), è un termine che fa riferimento a un tipo di attività di hacking sofisticato e mirato, spesso condotta da attori altamente competenti, come gruppi di cracker sponsorizzati da uno Stato o da organizzazioni criminali avanzate. Aziende specializzate in sicurezza informatica, come FireEye, indicano con questo nome gruppi che si suppone siano legati a governi o servizi segreti e che riescano a ottenere un accesso persistente nei sistemi delle vittime. Spesso, solo dopo parecchi mesi, se non anni, si scopre che gli attaccanti agivano indisturbati all’interno dei sistemi. Fra i più famosi, APT39, attribuito a gruppi sponsorizzati dall’Iran. APT40 e 41 (gruppi legati alla Cina che stanno prendendo di mira le aziende coinvolte nella Nuova via della seta), APT38 (Corea del Nord).

Hands on keyboard attack

Gli attacchi di tipo Hands on keyboard attack (mani sulla tastiera) sono quelli dove i criminali letteralmente si mettono dietro alla tastiera nel tentativo di violare le misure antiintrusione delle proprie vittime. Si differenziano rispetto agli attacchi più tradizionali in quanto non si sfruttano script o automazioni, come spesso accade, ma richiedono l’intervento manuale di un attaccante.

RANSOMWARE

I ransomware sono i malware a oggi più diffusi, in quanto permettono ai criminali informatici di fare soldi in maniera relativamente facile. Utilizzando un ransomware, gli attaccanti cifrano i dati delle vittime e successivamente chiedono un riscatto in bitcoin o altre criptovalute per fornire la chiave necessaria a decifrarli. Quando un’azienda viene colpita da un ransomware, si trova a tutti gli effetti impossibilitata a proseguire le sue attività, dato che un malware di  questo tipo può arrivare a bloccare tutti i sistemi produttivi. Per questo motivo, spesso le vittime cedono al ricatto: il danno scaturito dalla mancata produttività è infatti spesso superiore al costo del riscatto stesso. “Ma basta avere i backup”, viene spontaneo pensare. Vero, ma i criminali con il tempo si sono fatti furbi e usano la tecnica della doppia estorsione: prima di cifrare i dati, li sottraggono, minacciando le aziende di divulgarli se non pagano. E quando si tratta di segreti industriali o dati sensibili sui clienti (pensiamo a un ospedale), spesso conviene cedere pur di vedere la propria reputazione distrutta.

Cerchiamo il significato di altri termini? Fai un salto qui:

Red Hat ha annunciato a fine giugno che limiterà l’accesso pubblico al codice sorgente di Red Hat Enterprise Linux (RHEL) a CentOS Stream. Questa decisione ha suscitato la preoccupazione di alcuni membri della comunità Linux, poiché RHEL è essenziale per molti progetti Open Source, come Rocky Linux, AlmaLinux e Oracle Linux. Il team di Rocky Linux, per esempio, ha espresso il suo disappunto per la scelta di Red Hat in termini poco equivoci scrivendo: “I Termini di Servizio e gli Accordi di Licenza con l’Utente Finale di Red Hat impongono condizioni che cercano di ostacolare i clienti legittimi nell’esercizio dei loro diritti garantiti dalla licenza GPL.
Mentre la comunità discute se ciò violi la GPL, noi crediamo fermamente che tali accordi violino lo spirito e lo scopo dell’Open Source”. AlmaLinux ha espresso concetti non dissimili.
La decisione di Red Hat di limitare l’accesso al codice sorgente di RHEL si ripercuote su altre distribuzioni Linux in diversi modi, ma tutti sono determinati a continuare con i propri aggiornamenti senza creare problemi agli utenti, anche se ora la procedura risulta più complessa. AlmaLinux ha sottolineato che il futuro della distribuzione è roseo, ma ha deciso di abbandonare l’obiettivo di essere compatibile 1:1 con RHEL.

Nel frattempo Red Hat ha accaloratamente difeso la sua posizione e ha dichiarato di rimanere impegnata nello sviluppo Open Source e di continuare a contribuire con il proprio codice upstream.

Un importante sviluppo in questa catena di eventi è che SUSE intende investire 10 milioni di dollari per creare un fork di RHEL e sviluppare una distribuzione compatibile. SUSE dichiara di mirare a preservare l’innovazione e a fornire ai clienti e alla comunità Open Source delle scelte autentiche. Anche se non c’è una data di rilascio precisa, l’investimento significativo garantisce il progresso del progetto nei prossimi anni.

L’annuncio della limitazione dell’accesso pubblico al codice sorgente di RHEL ha suscitato forti reazioni di alcuni membri della comunità Linux e delle distribuzioni che sono basate su quella di Red Hat

Leggi anche: “Kali Linux 2023.3 è qui!“

Sono stati rilasciati nuovi aggiornamenti di emergenza, confermati dalla stessa Apple, volti a correggere tre vulnerabilità zero-day nei sistemi operativi Apple iOS, iPadOS e MacOS. Il bollettino di sicurezza pubblicato dal CSIRT Italia, cataloga come grave/rosso (75,38/100) l’impatto delle vulnerabilità.

Secondo Bill Marczak del Citizen Lab della Munk School dell’Università di Toronto e Maddie Stone del Threat Analysis Group (TAG) di Google, questi nuovi 0day potrebbero essere stati utilizzati come parte di spyware, altamente mirati, destinati a scopi civili. Con queste tre nuove vulnerabilità arrivano a 16 il numero totale di bug zero-day scoperti nel software Apple dall’inizio di quest’anno.

Ecco in dettaglio l’elenco delle vulnerabilità della sicurezza:

• CVE-2023-41991: problema riscontrato nella convalida del certificato nel framework di sicurezza. Questo potrebbe permettere a un’app dannosa di ignorare la convalida della firma;
• CVE-2023-41992: si tratta di una falla di sicurezza presentenel kernel che potrebbe consentire a un utente malintenzionato di elevare i propri privilegi;
• CVE-2023-41993: un attaccante potrebbe sfruttare un difetto all’interno del WebKit per eseguire codice arbitrario durante l’elaborazione di contenuti Web appositamente predisposti.

Apple è corsa subito ai ripari fornendo gli aggiornamenti per i seguenti dispositivi e sistemi operativi:

iOS 16.7 e iPadOS 16.7: iPhone 8 e successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e successivi, iPad 5a generazione e successivi e iPad mini 5a generazione e successivi.

iOS 17.0.1 e iPadOS 17.0.1 – iPhone XS e successivi, iPad Pro 12,9 pollici 2a generazione e successivi, iPad Pro 10,5 pollici, iPad Pro 11 pollici 1a generazione e successivi, iPad Air 3a generazione e successivi, iPad 6a generazione e successive, iPad mini 5a generazione e successive.

MacOS Monterey 12.7 e MacOS Ventura 13.6

WatchOS 9.6.3 e WatchOS 10.0.1 – Apple Watch Series 4 e versioni successive.

Safari 16.6.1 – macOS Big Sur e macOS Monterey

*illustrazione articolo progettata da  Freepik

Con il file manager già incluso in Ubuntu, Nautilus, si possono gestire facilmente file e cartelle. La sua implementazione in altre distribuzioni, come Fedora, offre però una funzione che è assente nel nostro sistema operativo. Se infatti vogliamo riordinare i nostri file in diverse cartelle, quando trasciniamo un file all’interno di una di esse, questo si sposta ma la cartella non si apre e non ne vediamo subito il contenuto. Possiamo però impostare Ubuntu per far sì che, quando trasciniamo un file su una cartella in Nautilus nella visualizzazione a icone, se non lo lasciamo andare la cartella si apre direttamente, senza bisogno di una nuova finestra o di una nuova scheda. Questo è molto pratico se dobbiamo smistare tanti file, per esempio nel caso in cui si accumulino un po’ di download nella cartella Scaricati.

IN PRATICA

L’impostazione predefinita. Normalmente quando abbiamo dei file che vogliamo spostare in una cartella in Nautilus possiamo trascinarceli ma non si apre automaticamente. Per cambiare questa impostazione apriamo il Terminale.

Due comandi. Scriviamo gsettings set org.gnome.nautilus.preferences open-folder-on-dnd-hover true e diamo Invio. Per tornare indietro basta scrivere gsettings set org.gnome.nautilus.preferences open-folder-on-dnd-hover false e premere Invio.

Spostare il file in una cartella. Apriamo Nautilus (con la visualizzazione a icone abilitata) e vedremo che ora, quando trasciniamo un file su una cartella, questa si apre direttamente dove siamo. Lasciamo andare il file per inserirlo nella cartella.

Accedere alle sottocartelle. Se la nostra cartella contiene delle sottocartelle, teniamo premuto il file e passiamo il mouse su una di esse per aprirla. Possiamo continuare per più cartelle annidate procedendo molto velocemente.

Leggi anche: “Diamo una marcia in più a cartelle e file”

Nasce HWG Sababa, una nuova azienda italiana pronta ad affrontare le continue sfide del mercato della cybersecurity come fornitore consolidato di sicurezza informatica end-to-end. Il nuovo polo d’eccellenza italiano nella cybersecurity nasce in seguito all’accordo tra HWG S.r.l., azienda specializzata nell’erogazione di servizi gestiti e consulenza in ambito cyber, e Sababa Security S.p.A., primario fornitore di cybersecurity di soluzioni di sicurezza integrate e personalizzate per la protezione dell’IT, OT e ambienti IoT dalle minacce informatiche.

L’obiettivo principale di HWG Sababa è consolidare la posizione di riferimento in Italia e nell’area mediterranea in grado di far fronte alle complesse sfide del mercato, offrendo ai clienti servizi specializzati e completi grazie al supporto di oltre 170 risorse completamente focalizzate sulla cybersecurity, e a investimenti in Ricerca e Sviluppo nella sicurezza digitale in tematiche emergenti e fondamentali per la resilienza del sistema paese, come OT, IoT e Automotive, supportati da una forte collaborazione con università e centri di eccellenza.

“Con alle spalle venti anni di esperienza verticale nel settore della cyber security, la fusione delle due aziende HWG e Sababa ci rende una realtà ancora più forte sul mercato. HWG Sababa rappresenta infatti l’inizio di un nuovo percorso volto a rafforzare ulteriormente un rapporto già consolidato negli anni. Questa fusione non farà altro che incrementare la nostra presenza a livello globale con un occhio orientato sempre al futuro per prevedere nuove minacce prima che arrivino ai clienti, aiutandoli ad implementare programmi avanzati di resilienza”, ha commentato Alessio Aceti, CEO di HWG Sababa.

“Il nostro obiettivo è quello di proteggere l’infrastruttura e analizzare il rischio aziendale per migliorare la postura di sicurezza e consentire la continuità del business. Insieme a Sababa saremo in grado di fornire ai nostri clienti un portafoglio completo di servizi di sicurezza in ambito cyber, in grado di coprire l’intero processo della catena del valore. La combinazione delle competenze di queste due aziende ha come obiettivo quello di diventare uno dei più rilevanti operatori di sicurezza informatica della regione del Mediterraneo”, ha commentato Enrico Orlandi, Presidente di HWG Sababa.

Leggi anche: ” ACN: strategia nazionale di cybersicurezza italiana 2022-2026″

Il recente rapporto Cyber Signals evidenzia un preoccupante trend di attacchi rivolti a grandi eventi sportivi e di intrattenimento. Tracciando i dati interni e la telemetria ottenuta durante la fornitura di supporto per la cybersecurity delle infrastrutture critiche durante l’organizzazione della Coppa del Mondo FIFA, Microsoft ha analizzato oltre 634,6 milioni di eventi, proteggendo infrastrutture e organizzazioni in Qatar. La ricerca ha incluso la tutela di 45 organizzazioni e 144 mila identità, e ha permesso l’analisi di 14,6 milioni di flussi di email, 634,6 milioni di autenticazioni e 4,35 miliardi di connessioni di rete. L’alto afflusso di persone e la conseguente circolazione di dati sensibili attraverso i loro dispositivi aumenta la superficie di attacco.
Questo si traduce in un’opportunità unica per i criminali informatici, specialmente coloro specializzati in attacchi ransomware, compromissione di e-mail aziendali e furto di dati finanziari.

Società leader nella sicurezza informatica, Mandiant ha da poco pubblicato una ricerca approfondita su UNC3886, un sofisticato attore di minacce cinese con una solida competenza in attività di spionaggio informatico. Questo gruppo è ora stato segnalato per l’uso di un’exploit zero-day per gli hypervisor VMware ESXi, identificato come CVE-2023-20867.
Charles Carmakal, CTO di Mandiant Consulting e Google Cloud, descrive UNC3886 come “uno degli attori legati alla Cina più abili nell’ambito dello spionaggio informatico”. La vulnerabilità scoperta consente all’attore delle minacce di eseguire comandi su una VM guest dall’hypervisor, senza necessità di una password di amministratore/root della VM guest. L’attaccante dovrà prima ottenere l’accesso a un hypervisor, per esempio tramite credenziali rubate. Dal punto di vista forense, questi processi sembrano legittimi, originati da un file eseguibile VMware autentico e firmato digitalmente, come vmtoolsd.exe su VM guest Windows. Significativamente, Mandiant ha rilevato UNC3886 che sfrutta i socket VMCI. Dopo l’implementazione di una backdoor VMCI su un hypervisor, è possibile riconnettersi alla backdoor da qualsiasi macchina guest in cui viene eseguita, indipendentemente dalla connettività di rete o dalle configurazioni VLAN.