Binance violato, spariti 7000 bitcoin

Binance, uno dei maggiori exchange di cryptovalute, è stato violato da ignoti; come risultato, 7000 Bitcoin (circa 44 milioni di dollari) sono stati rubati e trasferiti su vari wallet; attualmente i criminali sono all’opera per distribuire il malloppo in molteplici altri wallet, nel tentativo di “far perdere le tracce”.

Molti pseudo-esperti, invece di focalizzare l’attenzione sul problema reale (insicurezza di tutti gli exchange, ma non solo) propongono soluzioni paradossali.

Come sempre, rimane difficilissimo da digerire il concetto di security by design; generalmente, quando occorre lanciare un servizio, saltiamo del tutto le fasi di progettazione e programmazione sicura, facciamo scrivere da programmatori junior – alla meno peggio – un software che fa quanto serve, tralasciamo del tutto gli assessment di sicurezza in quanto troppo onerosi, lo mettiamo on-line ed incrociamo le dita.

Spesso anche quando tale software o infrastruttura informativa gestisce cifre rilevanti o dati importanti.

Poi capita che vengono rubati milioni di euro, ma i clienti non debbono preoccuparsi in quanto “Binance utilizzerà il fondo SAFU per coprire le perdite provocate dagli hacker” (che in questo caso non sono hacker ma cracker); quindi nessun problema.

PEC ordine avvocati Roma violata

Giunge notizia che “i soliti ignoti” avrebbero violato oltre 30.000 caselle PEC relative all’ordine degli avvocati di Roma.

Il condizionale è d’obbligo in quanto, pur essendo già disponibili sui MEGA e PRIVATEBIN gli archivi con il frutto dell’hacking, non ho ovviamente scaricato nulla in quanto illegale; le schermate mostrate confermerebbero il fatto.

Come sempre, sicurezza informatica cercasi.

Exodus – spyware all’italiana

Gli “addetti ai lavori”, da ieri, non parlano d’altro; un software creato per intercettazioni di stato, il cosidetto captatore informatico (sic!) è uscito dal vaso di Pandora.

Per ulteriori informazioni tecniche potete visitare la pagina di analisi predisposta dalla crew Security Without Borders, mentre per i vari commenti degli esperti basta cercare sui motori di ricerca (consiglio QWANT).

Permettetemi alcune considerazioni che non sono state troppo evidenziate:

  • in Italia, chi controlla i controllori (traduzione – la sicurezza e le caratteristiche del software e della infrastruttura di sostegno del famoso captatore informatico, per il quale sono state spese delle belle sommette dei contribuenti)?
  • che figura ci fa Google, con le circa venticinque copie di software dotato di “malware approssimativo“, presenti nel suo store?
  • e quale proposito avranno avuto coloro che hanno installato una delle “APP mascherate”, dalle funzionalità assolutamente inutili?

Segnalo, a chi di dovere, che un cellulare aziendale colpito da Exodus è un limpido caso di Data-Breach (aziendale).

Da tempo consiglio alle aziende di evitare l’ambiente Android quando la sicurezza della propria organizzazione ha fondamentale importanza.

Mi auguro che la Magistratura di Napoli ed il Garante Privacy facciano chiarezza e chiedano regole stringenti (al Governo) per evitare ulteriori casi paradossali.

Aggiornamento: il presidente della Autorità di Controllo italiana ha rilasciato una intervista nella quale qualifica come “gravissimo l’accaduto“, manifesta la propria preoccupazione sulla mancanza di “garanzie elevate per tutelare la libertà dei cittadini” incolpevoli. Comunque, non sono così certo che si sia trattato di un “mero errore nel funzionamento di un captatore informatico” (tradotto=trojan di Stato).

ASUS LiveUpdate compromesso

Kaspersky ha scoperto uno dei maggiori incidenti di sicurezza occorsi ad un fornitore di software, persino superiore a quello capitato a CCleaner.

Il servizio LiveUpdate di ASUS, che consente ai loro acquirenti di aggiornare il software dei propri devices, è stato compromesso da sconosciuti – dalle notevolissime risorse e capacità tecniche – sfruttandolo per installare un trojan malevolo – chiamato shadow hammer – targetizzato per attivarsi su specifici devices ASUS.

Il fatto, di per se clamoroso, è ulteriormente aggravato dal fatto che la compromissione è stata scoperta, dopo vari mesi, da Kasperky invece che dalla stessa ASUS.

Consiglio a tutte le organizzazioni che posseggono dispositivi ASUS di farne controllare la sicurezza, in quanto si potrebbe configurare un classico data breach.

Mai come in questo caso si evincono due aspetti rilevanti:

  • sui devices “in produzione” o interessati al trattamento dei dati personali, utilizzare solo il software minimo necessario (e LiveUpdate, come molte altre utility, non lo è);
  • gli antivirus sono sempre meno efficaci a rispondere alle nuove tipologie di minacce cyber; occorre sviluppare nuovi software con A.I. che riescano ad intercettare comportamenti “ambigui” del software, anche se firmato con certificati autentici (come in questo caso).

Ritengo che ci saranno degli sviluppi clamorosi alla vicenda.

Facebook, passwords in chiaro

Giunge notizia che Facebook abbia mantenuto, per anni, milioni di password dei suoi utenti in chiaro, alla portata dei suoi dipendenti.

Nel post ci illustrano come sia importante, per Facebook, la sicurezza dei propri utenti, come essi debbano cambiare spesso la propria password, e bla bla bla.

Purtroppo la memorizzazione delle password in chiaro è una pratica difficile a morire; da essa scaturiscono enormi problemi di sicurezza a danno degli utenti, specialmente quando le stesse credenziali consentono (come avviene con Facebook) di autenticarsi ad innumerevoli servizi esterni.

Per non parlare di coloro che utilizzano sempre la stessa password.

Verifiche di Restore

Abbiamo messo in atto una fantastica procedura di backup, che salva i dati in due locazioni diverse ed inoltre nel cloud, per maggiore sicurezza.

Siamo assolutamente certi che qualunque cosa accada potremo superarla brillantemente.

Poi, un giorno, viene un consulente dataprotection e ci domanda se abbiamo mai effettuato delle simulazioni di ripristino dei sistemi, ipotizzando che i sistemi “live” siano morti e che ci siano rimasti solo i backup.

Il poveretto viene squadrato con un sorrisetto; la richiesta qualificata come eccessiva e non giustificata, e quindi nessuno si “prende la briga” di provare ad effettuare un restore (ma neanche verificare l’integrità degli archivi costituenti i vari backups).

Poi, un brutto giorno, accade quanto ipotizzato dal consulente ed assolutamente certificato dal MTBF – una semplice rottura di un hard disk, funzionante da 8 anni – e tutte le certezze vengono meno (insieme ai dati); i backups sono inservibili in quanto nessuno, in otto anni, si era mai accorto che la procedura creava degli archivi corrotti.

Un esempio di cosa può succedere, accaduto nel mese di gennaio 2019.

Continuiamo a pensare che le procedure di controllo sono tempo perso.