Firefox Monitor

Il browser Firefox, da sempre in prima linea per tutelare la privacy e la sicurezza dei propri utenti, ha reso disponibile una nuova funzione on-line: Firefox Monitor.

Si tratta di un servizio che consente di verificare se il proprio indirizzo di posta elettronica è stato oggetto di – pubblicamente dichiarati – data breaches.

Non è una novità, in quanto già da tempo altri servizi erano stati resi disponibili agli utenti, ad esempio haveibeenpwned; ritengo che coloro che sono particolarmente prudenti preferiranno adottare il servizio di Mozilla, che tra l’altro contiene una serie di consigli e servizi utili per mantenere in sicurezza i propri account.

Maxi multa a British Airways per violazione del GDPR

L’autorità di controllo inglese ICO ha comunicato l’intenzione di sanzionare British Airways per violazione del regolamento GDPR.

L’evento è relativo all’attacco cracker di settembre 2018, che ha determinato un data breach nel quale sono stati raccolti (intercettati illecitamente) dati personali di circa 500.000 utenti (nominativi, indirizzi, dati dei viaggi, carte di credito).

La sanzione, oltre 183 milioni di sterline, indica come l’autorità sia determinata a far ben comprendere – alle aziende inglesi ma non solo – che la tutela dei dati personali dei loro clienti sia un aspetto primario della mission aziendale.

Vediamo anche come il GDPR abbia cambiato notevolmente il peso delle sanzioni comminabili alle aziende; siamo ben oltre i 20 milioni di euro previsti come soglia, quindi la somma è stata calcolata sulla base del fatturato annuo globale della maggior compagnia aerea inglese.

Binance violato, spariti 7000 bitcoin

Binance, uno dei maggiori exchange di cryptovalute, è stato violato da ignoti; come risultato, 7000 Bitcoin (circa 44 milioni di dollari) sono stati rubati e trasferiti su vari wallet; attualmente i criminali sono all’opera per distribuire il malloppo in molteplici altri wallet, nel tentativo di “far perdere le tracce”.

Molti pseudo-esperti, invece di focalizzare l’attenzione sul problema reale (insicurezza di tutti gli exchange, ma non solo) propongono soluzioni paradossali.

Come sempre, rimane difficilissimo da digerire il concetto di security by design; generalmente, quando occorre lanciare un servizio, saltiamo del tutto le fasi di progettazione e programmazione sicura, facciamo scrivere da programmatori junior – alla meno peggio – un software che fa quanto serve, tralasciamo del tutto gli assessment di sicurezza in quanto troppo onerosi, lo mettiamo on-line ed incrociamo le dita.

Spesso anche quando tale software o infrastruttura informativa gestisce cifre rilevanti o dati importanti.

Poi capita che vengono rubati milioni di euro, ma i clienti non debbono preoccuparsi in quanto “Binance utilizzerà il fondo SAFU per coprire le perdite provocate dagli hacker” (che in questo caso non sono hacker ma cracker); quindi nessun problema.

PEC ordine avvocati Roma violata

Giunge notizia che “i soliti ignoti” avrebbero violato oltre 30.000 caselle PEC relative all’ordine degli avvocati di Roma.

Il condizionale è d’obbligo in quanto, pur essendo già disponibili sui MEGA e PRIVATEBIN gli archivi con il frutto dell’hacking, non ho ovviamente scaricato nulla in quanto illegale; le schermate mostrate confermerebbero il fatto.

Come sempre, sicurezza informatica cercasi.

Exodus – spyware all’italiana

Gli “addetti ai lavori”, da ieri, non parlano d’altro; un software creato per intercettazioni di stato, il cosidetto captatore informatico (sic!) è uscito dal vaso di Pandora.

Per ulteriori informazioni tecniche potete visitare la pagina di analisi predisposta dalla crew Security Without Borders, mentre per i vari commenti degli esperti basta cercare sui motori di ricerca (consiglio QWANT).

Permettetemi alcune considerazioni che non sono state troppo evidenziate:

  • in Italia, chi controlla i controllori (traduzione – la sicurezza e le caratteristiche del software e della infrastruttura di sostegno del famoso captatore informatico, per il quale sono state spese delle belle sommette dei contribuenti)?
  • che figura ci fa Google, con le circa venticinque copie di software dotato di “malware approssimativo“, presenti nel suo store?
  • e quale proposito avranno avuto coloro che hanno installato una delle “APP mascherate”, dalle funzionalità assolutamente inutili?

Segnalo, a chi di dovere, che un cellulare aziendale colpito da Exodus è un limpido caso di Data-Breach (aziendale).

Da tempo consiglio alle aziende di evitare l’ambiente Android quando la sicurezza della propria organizzazione ha fondamentale importanza.

Mi auguro che la Magistratura di Napoli ed il Garante Privacy facciano chiarezza e chiedano regole stringenti (al Governo) per evitare ulteriori casi paradossali.

Aggiornamento: il presidente della Autorità di Controllo italiana ha rilasciato una intervista nella quale qualifica come “gravissimo l’accaduto“, manifesta la propria preoccupazione sulla mancanza di “garanzie elevate per tutelare la libertà dei cittadini” incolpevoli. Comunque, non sono così certo che si sia trattato di un “mero errore nel funzionamento di un captatore informatico” (tradotto=trojan di Stato).

ASUS LiveUpdate compromesso

Kaspersky ha scoperto uno dei maggiori incidenti di sicurezza occorsi ad un fornitore di software, persino superiore a quello capitato a CCleaner.

Il servizio LiveUpdate di ASUS, che consente ai loro acquirenti di aggiornare il software dei propri devices, è stato compromesso da sconosciuti – dalle notevolissime risorse e capacità tecniche – sfruttandolo per installare un trojan malevolo – chiamato shadow hammer – targetizzato per attivarsi su specifici devices ASUS.

Il fatto, di per se clamoroso, è ulteriormente aggravato dal fatto che la compromissione è stata scoperta, dopo vari mesi, da Kasperky invece che dalla stessa ASUS.

Consiglio a tutte le organizzazioni che posseggono dispositivi ASUS di farne controllare la sicurezza, in quanto si potrebbe configurare un classico data breach.

Mai come in questo caso si evincono due aspetti rilevanti:

  • sui devices “in produzione” o interessati al trattamento dei dati personali, utilizzare solo il software minimo necessario (e LiveUpdate, come molte altre utility, non lo è);
  • gli antivirus sono sempre meno efficaci a rispondere alle nuove tipologie di minacce cyber; occorre sviluppare nuovi software con A.I. che riescano ad intercettare comportamenti “ambigui” del software, anche se firmato con certificati autentici (come in questo caso).

Ritengo che ci saranno degli sviluppi clamorosi alla vicenda.