L’ineluttabilità della insicurezza

Ogni tanto accade un fatto talmente eclatante che dovrebbe fare scuola, nel campo della sicurezza informatica.

Il giorno 11 febbraio VFEmail, un provider e-mail americano è stato oggetto di un attacco catastrofico (definita da loro stessi “catastrophic destruction”), da parte di soggetti che hanno completamente azzerato le loro risorse I.T. , ivi compresi tutti i backups.

Allo stato attuale, sembra che non riusciranno a recuperare nulla; sono stati quindi cancellati tutti gli archivi di posta dei loro utenti.

Allo stato, non hanno ancora realizzato come questo attacco totale sia stato possibile:
“Strangely, not all VMs shared the same authentication, but all were destroyed. This was more than a multi-password via ssh exploit, and there was no ransom. Just attack and destroy.”

Sono molto spiacente dell’accaduto; talvolta capita che un cracker (in questo caso, probabilmente dei paesi dell’est) “bussi alla porta 22”; sta a noi averla precedentemente resa resiliente (oppure bloccata per gli IP “alieni”).

P.S. invito i giornalisti a comprendere la differenza tra hacker e cracker e ad usare la definizione appropriata.

redditodicittadinanza.gov.it ed i font (di Google)

Mi immetto nella polemica nata dalla analisi di Matteo Flora del sito www.redditodicittadinanza.gov.it per “gettare ulteriore benzina sul fuoco”.

Semplificando, Matteo dice che adottando, per la pagina web del sito in oggetto, un font di Google, si consegnano ad esso “i dati di navigazione degli utenti sul sito”.

Premessa per i non tecnici: cosa sono questi fonts di Google? Si tratta di una collezione di font (la rappresentazione dei caratteri sullo schermo) che Google rende disponibili “gratuitamente” a tutti coloro che li vogliono adottare per migliorare l’aspetto del proprio sito.
Moltissimi Framework e C.M.S. li hanno adottati di default (anche WordPress), con il risultato che molti siti li stanno usando. Questo comporta che, quando un utente si collega ad uno di questi siti, il suo browser procede a scaricare il font necessario dai server dedicati di Google (salvo che il font sia già presente nella cache del browser ed altro, ma non vorrei scendere troppo nei dettagli tecnici).
Come sappiamo, ogni qualvolta si realizza una connessione tcp-ip tra un browser ed un server, nel server si raccolgono vari dati tecnici, tra i quali l’indirizzo IP del client, che come ci dicono i vari Garanti, Corte di Giustizia UE, ecc. costituisce un dato personale; Google, per tali dati, si definisce data controller (impostazione che non condivido, ma qui si aprirebbe un lungo e complesso discorso).
L’adozione dei fonts Google su molteplici siti web determina una specie di “rete di sensori globale” dalla quale Google potrebbe acquisire informazioni; non che ne abbia particolarmente bisogno, dato che quasi tutti utilizzano il servizio “gratuito” Google Analytics, per non parlare di Ads, AdSense & C.

L’informativa privacy del sito redditodicittadinanza.gov.it riporta ad una pagina sul sito del Ministero del Lavoro e delle Politiche Sociali; non ha le caratteristiche richieste dal GDPR e non si riesce neanche a capire chi sia il DPO.

Aggiungo un elemento, a mio avviso trascurato ma determinante: perchè un sito del Governo Italiano deve stare in un server di una azienda americana, presso un datacenter americano, al di fuori dello spazio UE e delle tutele del GDPR?

P.S. io dico il font e non la font; il perchè lo trovate anche qui.

P.S.2 il codice WordPress di questo sito è stato da me modificato, da tempo, per caricare i webfont dal server locale (e non dai server di Google); questo rende il rendering delle pagine leggermente più lento, ma – per me – assolutamente necessario.

Aggiornamento: il Presidente del Garante per la protezione dei dati personali, in una memoria pubblicata nel pomeriggio, interviene con alcune osservazioni sul ddl di conversione in legge del decreto-legge 28 gennaio 2019, n. 4 (reddito di cittadinanza).
Al punto 5:
Un’ultima osservazione va riferita  all’architettura del sito web del Governo, dedicato al reddito di cittadinanza. 
Si segnala, al riguardo, che il sito rivela, già nel suo attuale stato di sviluppo, alcune carenze, in particolare, nell’informativa sul trattamento dei dati e nelle modalità tecniche della sua implementazione (che, ad oggi, comportano un’indebita e non trasparente trasmissione a terzi dei dati di navigazione, quali indirizzi IP e orario di connessione, da parte dei visitatori del medesimo sito). 


Data Breach Unicredit

Unicredit è stata ancora oggetto di un data breach, il 21 ottobre 2018.

Il fatto è divenuto di pubblico dominio a seguito del provvedimento del 13 dicembre della Autorità di Controllo italiana, nella quale si prescrive di comunicare, a tutti i 731.519 interessati dalla violazione, quanto accaduto.

Tra le varie considerazioni che mi saltano in mente, non riesco a capire come sia possibile che una Banca come Unicredit non avesse disposto un blocco del traffico proveniente dalla rete TOR e indirizzato verso il portale di accesso all’area clienti.

Your account has been hacked! You need to unlock.

Dopo Alto Pericolo! , continua la saga dei messaggi di truffa ai danni degli account e-mail italiani; questa volta il messaggio, in inglese, asserisce di avere compromesso il nostro router (sfruttando una vulnerabilità); da tale trojan si sarebbe intrufolato nel PC, prendendone il controllo, ed accorgendosi delle “frequentazioni” di siti per adulti.

Poi avrebbe fatto screenshots, e bla bla bla… ; per avere il suo silenzio, occorre versare 670$ “I think is a very, very small amount for my silence”, ovviamente in BitCoin.

Conclude con “Do not hold evil! I just do my job. Have a nice day!”

Attenzione: nei casi che ho analizzato, gli account non sono stati compromessi; si tratta di una tecnica che consente di inviare un messaggio e-mail forgiando il mittente in modo da far sembrare che il messaggio sia stato inviato dal vostro server di posta.
Tutti i messaggi provenivano da un indirizzo IP sudafricano.

Ovviamente la certezza si ottiene analizzando gli headers del messaggio oppure i log del mail-server che ha ricevuto il messaggio.
Se volete avere la sicurezza che il vostro account non sia stato compromesso, contattatemi per le attività di security assessment del vostro device; di norma esse possono essere condotte anche tramite supporto remoto.

Non pagate assolutamente in quanto dareste spago ad altri criminali per tuffarsi nel “business”; il portafoglio del precedente messaggio “Alto Pericolo” ha incassato quasi 5 bitcoin (circa 16.600 euro), mentre quello del messaggio recente totalizza adesso 5 versamenti di soggetti che hanno abboccato.

Collection #1

Notizia del giorno, la comparsa di una gigantesca raccolta di credenziali rubate a seguito di svariati data breach e site breach occorsi nel passato.

Qualcuno si è preso la briga di collezionare (per proporne la vendita) le credenziali rubate disponibili nel dark-web; si tratta di oltre 773 milioni di credenziali (prevalentemente e-mail / password associata, moltissime addirittura decifrate oppure in formato testo ).

Dato che spesso gli utenti usano la stessa password per molteplici credenziali, visto che nella raccolta ci sono anche molti datasets di siti italiani, consiglio di verificare se il proprio indirizzo e-mail è compreso nella vastissima collezione.

Adesso tutti hanno capito che le credenziali di accesso con sola password non garantiscono grande sicurezza; abbiamo anche capito perchè occorre cambiare spesso la password.

Aggiornamento: come al solito, molta stampa generale non ha capito molto di quanto accaduto; alcuni hanno banalizzato, molti altri hanno paventato scenari catastrofici. Negli 87 TeraByte, sono presenti sicuramente credenziali “datate”, ma gli indirizzi e-mail non sono soggetti a cambiare (come sarebbe previsto per le password, ma anche qui occorrerebbe condurre un lungo ragionamento sulla frequenza con la quale gli utenti cambiano la password di servizi on-line).

Quindi gli indirizzi e-mail (che sono reali e moltissimi dei quali attivi) si prestano a tutta una serie di attività illecite. Inoltre, un indirizzo e-mail è (di norma) facilmente riconducibile ad una specifica persona; si pensi agli effetti indotti dalla conoscenza della sua iscrizione ad un particolare sito o servizio.

Per non parlare del dataset delle password, le quali costituiscono un campione reale e significativo di password comunemente usate e che quindi può essere usato per “alimentare” sistemi automatici di brute-force attack.

Aggiornamento2: famosi esperti di sicurezza hanno sentenziato che verificare il proprio indirizzo e-mail sul sito haveibeenpwned peggiorerebbe ulteriormente la situazione, in quanto si fornirebbe, insieme ad una e-mail, l’indirizzo IP da quale ci si collega.

Prima considerazione: il proprietario del sito è un affermato professionista e security developer, Troy Hunt; quindi dietro al sito non c’è un hacker ma una persona seria che ha messo gratuitamente a disposizione una importante (e costosa) risorsa per capire se si è incappati in un data breach; non credo che il servizio abbia fini reconditi.

Secondo: la consapevolezza del fatto che i proprio indirizzo e-mail (magari associato alla relativa password) è finito in giro per il mondo è estremamente rilevante; proprio per questo, il GDPR obbliga i titolari che sono stati oggetto di data breach a comunicare tempestivamente il fatto agli interessati coinvolti.

Terzo: in ogni caso, è possibile collegarsi da un indirizzo IP “anonimizzato”, come quello fornito da una delle tantissime vpn (anche gratuite) disponibili oppure tramite TOR. Per i soggetti privati che volessero approfondire in sicurezza ma che non si sentono in grado di farlo, sono a disposizione, nel tempo libero, pro bono.

Alto pericolo! Il tuo account è stato attaccato

Continuano le insidiose campagne di phishing-scam-truffa da parte di delinquenti che simulano di avere “pieno accesso al tuo accont” e-mail inviando una e-mail forgiata ad-hoc per sembrare proveniente dallo stesso account (dichiarato come compromesso).

Nel testo del messaggio indicano che “hanno infettato il pc con un malware presente in un sito per adulti”, che “hanno registrato un video tramite la webcam” e che lo “invieranno a tutti i contatti” qualora non si paghino 210 euro in bitcoin entro 48 ore.

ATTENZIONE – NON PAGATE ASSOLUTAMENTE!
Nei casi che abbiamo analizzato, non vi era stata alcuna compromissione, ma solo una falsa attestazione; in ogni caso, non vi è alcuna certezza che il malvivente manterrebbe quanto promesso.

Qualora il messaggio scam abbia interessato accounts aziendali, è necessario far verificare – con assoluta certezza – che l’evento non sia effettivamente accaduto, in quanto si tratterebbe di data breach.

Se volete avere la certezza che il vostro account non sia stato compromesso, contattatemi per le attività di security assessment del vostro device; di norma esse possono essere condotte anche tramite supporto remoto.

In ogni caso è sempre buona norma sostituire la password degli account e-mail interessati; vedasi l’articolo Collection #1.

Aggiornamento: circola anche una altra versione del tentativo di truffa, dal titolo “Questo è il mio ultimo avvertimento“, e sulla falsariga del precedente ha “un video imbarazzante che spedirò a tutti i tuoi amici”, e chiede 2.000 euro in bitcoin (con tanto di esatta conversione bitcoin-euro).

Il primo scam-truffa proveniva dalla Ucraina, è stato segnalato alla funzione abuse dell’internet provider ed attualmente il mailserver (compromesso) è stato messo offline.

Il secondo mailserver utilizzato è negli Stati Uniti, appare in uso a soggetti cinesi; è stato segnalato ed attendiamo provvedimenti dal cloud provider – update anche il secondo mailserver è down!

Aggiornamento giorno 2: questo post sta avendo un enorme traffico, e stò ricevendo molte richieste di informazioni alle quali non potrò dare seguito; chi lo ritiene si rivolga alla Polizia Postale.
Purtroppo alcuni sono caduti nella truffa, da quanto si evince dal saldo del wallet bitcoin del primo messaggio (0.98328264 BTC alle ore 22:50 del 15 gennaio – il secondo wallet è fortunatamente ancora a zero).

Aggiornamento giorno 3: ancora ulteriori pagamenti sul primo wallet; 2.22784895 BTC alle ore 22.00. Da non credere!

Aggiornamento giorno 4: continua lo spam con il messaggio “Alto pericolo!”, adesso proveniente da un indirizzo IP della Turchia; continuano ad abboccare le persone che ricevono lo scam-truffa (sino ad oggi il wallet ha ricevuto 40 transazioni).

Aggiornamento giorno 8: dai dati, sembra che il picco sia passato; riporto una analisi degli accessi aggregati al sito:

come si può vedere, il massimo delle ricerche è stato il 15 gennaio, giorno successivo al manifestarsi della attività di spam – scam.

Ad oggi, il conto bitcoin indicato nel primo messaggio ha totalizzato 67 transazioni, per un valore totale di circa 4,5 bitcoin, equivalenti a circa 14.100 euro.