Dopo il grande lavoro effettuato ad aprile di quest’anno per risolvere una grande quantità di problemi, anche questo mese di luglio è stato rovente per Oracle. 

Con la Critical Patch Update (CPU) July 2022 19 ha dato soluzione a ben 188 vulnerabilità note censite in altrettanti CVE. 

Si è trattato ancora una volta di un impegno notevole per la sicurezza che ha prodotto ben 349 aggiornamenti di sicurezza in 32 differenti famiglie di prodotti del vendor. 

In particolare parliamo di 66 correttivi per vulnerabilità definite critiche, 146 correttivi per vulnerabilità definite di gravità elevata, 133 correttivi per vulnerabilità di gravità media e 4 per vulnerabilità di criticità bassa. 

Con l’aggiornamento di luglio 2022, Microsoft ha corretto una grande quantità di vulnerabilità su differenti suoi software. 

4 di queste sono critiche e 79 importanti, e le ritroviamo sia su software desktop/server che nell’ecosistema Azure. 

Per quanto riguarda il tipo di vulnerabilità, abbiamo al solito differenti tipologie, ma spicca in questa occasione la grande presenza di problemi di Elevazione dei Privilegi, che è all’origine di ben 51 delle vulnerabilità corrette con questo rilascio. Segue la sempre presente Esecuzione di Codice Remoto (Remote Code Execution), con 12 vulnerabilità risolte. Insomma, ne abbiamo per tutti i gusti. 

Ancora exploit attivi in natura per i prodotti delle grandi software house. 

Questa volta è il turno di Google, come è stato per Apple, per Microsoft e prima ancora di nuovo Google. Il fenomeno è ormai di natura ciclica. Può essere visto come un fenomeno negativo (per la grande pressione sui software maggiormente utilizzati da noi utenti), ma anche come fenomeno estremamente positivo (le grandi società hanno preso sul serio le minacce è hanno un profilo maggiormente reattivo). 

Anche in questo caso si tratta di un bug in Chrome, il popolare browser di Google, presenza indiscussa su molti dispositivi e sistemi: il bug colpisce il motore WebRTC (tecnologia basata su HTML5 per consentire videochat in tempo reale nel browser) e consente agli attaccanti di eseguire codice arbitrario. 

Il principio del commercio elettronico (e-commerce) non è una novità, e affonda le radici negli anni ’70 ed ’80 con varie forme di “telemarketing”. Ma è ovviamente il World Wide Web negli anni ’90 del secolo scorso a forgiarne la formula che tutti noi oggi conosciamo. 

Oggi compriamo tutto online, ma forse non tutti ricordano che il fenomeno nacque invece attorno ad un unico prodotto: il libro (all’epoca) cartaceo. Fu così per i primi negozi virtuali online: Book Stacks Unlimited (1992) e per Amazon (1995: in origine il garage di Jeff Bezos, letteralmente). 

Sappiamo dove è arrivata la scommessa del trentenne Bezos: Amazon oggi è una realtà imprenditoriale gigantesca e Bezos è uno degli uomini più ricchi del mondo. 

Quando pensiamo alla sorveglianza, al pedinamento, all’intercettazione, vogliamo pensare la cosa come appannaggio esclusivo delle forze dell’ordine, della magistratura, di uno stato di diritto. Quando pensiamo a tutto questo in veste “cyber”, allora pensiamo naturalmente ai trojan (i cosiddetti “captatori informatici”) quali sanciti lecitamente utilizzabili in un contesto di indagine dalle Sezioni Unite della Cassazione. Insomma, pensiamo a qualcosa di correttamente utilizzato in un ambito di indagine contro il crimine.

Questa volta si tratta di una nuova minaccia persistente avanzata (APT) ancora poco conosciuta, soprannominata ToddyCat. 

Ha iniziato a muovere i suoi primi passi a fine 2020 contro limitati obiettivi tra Taiwan ed il Vietam, con uno schema di attacco complesso ma orientato esclusivamente ai server Microsoft Exchange. 

Nella prima campagna ha adottato una sofisticata backdoor passiva (su porte 80 e 443) introdotta mediante un malware già noto ai ricercatori e denominato Samurai: questo era infatti parte di altra catena di attacco vista in precedenza. In questa campagna però Samurai è stato inteso solo come apripista per l’infezione di un secondo malware denominato Ninja, molto più dannoso.

La formazione in ambito Cybersecurity non è mai stata sulla cresta dell’onda come questo periodo. Tra annunci di ransomware che bloccano le proprie vittime, KillNet che dichiara di mettere in ginocchio tutta l’Italia, Anonymous che promette di difenderci e contrattaccare al Russia ci si mette anche l’autorità nazionale per la cybersicurezza che annuncia di assumere nei prossimi 3 anni n-mila esperti di cybersecurity con n grande a piacere.

A parte gli scherzi, è vero che la richiesta di esperti in questo settore è notevolmente aumentata e che il classico skill shortage, in pratica differenza tra domanda e offerta, è in continuo aumento, ma è altrettanto vero che quando si parla di “Cybersecurity” si parla di aria fritta!

La pandemia COVID-19 è stata uno spartiacque: il mondo ha cominciato a girare in modo differente, molto è cambiato e molto cambierà ancora, tra paure e speranze. 

Solo una cosa è rimasta costante: le frodi telematiche hanno continuato a lavorare con la medesima forza ed efficacia, sfruttando il fenomeno pandemico e (al contrario) la voglia di uscirne. 

Se durante la pandemia (in realtà non ne siamo ancora fuori, ma indichiamo con questo il suo picco critico) gli agenti di minaccia hanno diffuso i loro strumenti di attacco grazie alla fame di notizie e l’attenzione per il tema COVID-19, ora che le persone tentano di uscire dal tunnel dei lockdown e altre forme di restrizioni personali (orientandosi al mercato del turismo e viaggi in generale) le mire degli agenti di minaccia hanno cominciato ad orientarsi verso l’industria dei viaggi e dell’intrattenimento e tempo libero, che ha trovato un rinnovato e naturale interesse nella popolazione mondiale

Le squadre blue conoscono bene lo stress del difensore: “troppi eventi in troppo poco tempo”. 

Il tempo di reazione è una chiave interpretativa della qualità di un servizio di difesa; ma perché possa essere valutato il tempo di reazione, il tempo di azione della minaccia deve essere sufficientemente dilatato da consentire il tempo di intercettazione, comprensione, ed infine di reazione. 

Dal punto di vista della prevenzione, invece, il tempo può essere considerato in relazione alla conoscenza dell’esistenza di una vulnerabilità e alla costatazione della sua presenza nel perimetro (Vulnerability Identification), al fine di misurare poi il tempo necessario a che la vulnerabilità sia sanata (Remediation), ammesso che sia già noto un metodo. L’urgenza dell’intervento correttivo è un ulteriore parametro in gioco (nel momento che esistano soluzioni) nella realizzazione di un “Remediation Plan”, in quanto il tempo a disposizione per risolvere è comune a tutte le problematiche, pertanto per avvicinare il momento che sani la vulnerabilità più insidiosa occorre fare delle scelte.

Scoprire un nuovo APT (Minaccia Avanzata Persistente) non è una cosa facile, non tanto per la capacità elusiva della singola attività, ma quanto per la difficoltà di correlare le attività di minaccia e associarle ad un’unica organizzazione. Si tratta di comprendere le TTP (Tattiche, Tecniche e Procedure) che la minaccia adotta e legarle come un filo rosso nelle differenti tracce di attività rilevate. 

È così che una minaccia persistente possa agire indisturbata per mesi o per anni prima che possa essere individuata e seguita nelle sue attività fino al punto di poterne contrastare le capacità offensive. 

Recentemente i SentinelLabs di SentinetOne hanno potuto chiudere il cerchio delle ricerche ed individuare come tutta una serie di attività, che da un decennio imperversano in differenti paesi del sud-est asiatico (Cambogia, Singapore, Vietnam e Hong Kong), ma anche in Australia, fossero legate ad un'unica entità. Questo gruppo di minaccia ha preso di mira per tutto questo lungo periodo organizzazioni governative, educative, e di telecomunicazioni essenzialmente con finalità di spionaggi