L’affermazione è un po’ forte, certamente, ma è frutto delle osservazioni di un nuovo rapporto di threat intelligence redatto da CrowdStrike, o meglio dal suo team di threat hunting “Falcon OverWatch”, il “Nowhere to Hide: 2022 Falcon OverWatch Threat Hunting Report”. 

Dal punto di vista del gruppo di difesa, per un periodo di un intero anno, si è reso evidente una crescente tendenza da parte degli aggressori all’utilizzo di strategie di attacco frontali e laterali per le reti eventualmente compromesse. Si tratta evidentemente di una opportunità tattica indotta dall’enorme mole di vulnerabilità che sommergono le infrastrutture delle organizzazioni oggetto di minaccia. 

Il malware non cade certo in disuso per inefficienza o per altri motivi strategici: è più un motivo tattico, indotto dalla semplicità di approfittare delle condizioni di inferiorità dell’obiettivo attraverso altre strategie di attacco più immediate: è questo che contribuisce alla decrescita nell’uso del malware. Basta considerare il prolifico mondo della compravendita su forum criminali di credenziali di accesso perfettamente funzionanti. 

Con la Patch Tuesday di settembre, Microsoft ha posto rimedio a ben 62 vulnerabilità molto gravi, 57 importanti e 5 critiche, senza considerare il più generico problema derivante dalla CVE-2022-23960 relativa ai processori ARM (Cortex e Neoverse), un problema derivante dal mancato limite imposto alla speculazione della cache in queste CPU (Spectre-BHB), cosa che consente ad un utente malintenzionato di sfruttare la cronologia nel ramo condiviso nel Branch History Buffer, ottenendone così informazioni riservate, Si tratta comunque di una vulnerabilità dalla gravità media (CVSS 5.6) che può affliggere indirettamente sistemi Windows non aggiornati quando eseguiti su tali CPU. 

Tornando ai problemi strettamente di casa Microsoft, questi colpiscono, come è solito, un gran numero di software e prodotti della casa di Redmond. 

I laboratori Alien Labs di AT&T hanno recentemente scoperto un nuovo malware che prende di mira dispositivi IoT basati su sistema operativo Linux (e la maggioranza dei sistemi IoT lo sono). 

Il malware è stato denominato “Shikitega”: opera attraverso una catena di infezioni, ognuna attuata da moduli che occupano solo poche centinaia di bytes, e dunque tali da passare inosservati. 

Il primo stage del malware appare come un payload di soli 370 byte, frutto della codifica “shikata ga nai”, l’encoder polimorfico basato su XOR molto popolare in quanto presente nella suite di attacco di Rapid 7 Metasploit. 

Il codice di questo primo stage non dipende da alcuna libreria, ed utilizza semplicemente le primitive di sistema (Linux) invocandole mediante istruzione assembly INT (invocazione di un interrupt) con argomento 80h (esadecimale, ossia 128, che è l’interrupt di chiamata a sistema Unix).

Una videocamera di sorveglianza si intende strumento per la sicurezza perimetrale e fisica, pertanto i suoi flussi (di immagini) devono essere disponibili sono per i proprietari del perimetro o al limite a quei delegati per i compiti di sorveglianza. 

Cosa succede se questi flussi e le videocamere stesse (per esempio attraverso il controllo di quelle motorizzate e quindi la capacità di orientarle altrimenti) cadono nella disponibilità di non aventi diritto? Inutile parlarne. 

I problemi di sicurezza nei sistemi IoT sono endemici, e quelli delle videocamere sono i più frequenti: basta vedere quanto raccoglie uno strumento di ricerca online come Shodan. 

Se dovessero servire conferme, l’argomento di questo articolo potrebbe certamente bastare, ma è comunque da molto tempo che siamo di fronte ad una progressiva trasformazione nella percezione del mondo delle videocamere IoT, una percezione in cui è aumentata una certa forma di diffidenza, in special modo per quelle di fabbricazione cinese.

Da sempre nel mondo IT la soluzione primaria per identificare e autorizzare un utente all’accesso ad un sistema informatico è stata una parola segreta, la password. La segretezza è però un patto fiduciario tra il sistema e l’utente, in quanto la segretezza non può essere una caratteristica intrinseca della parola, ma può solo derivare dalla sua unicità e dalla non divulgazione di questa a terzi. 

È per questo motivo che la password (segreta) quale strumento esclusivo di identificazione e dunque di sicurezza è da molto tempo posta in discussione (in favore di autenticazioni a più fattori). 

Il primo nemico della sicurezza agli accessi concessi mediante password infatti possiamo essere proprio noi stessi: una password può divenire non più segreta per diversi motivi, di cui tutti (purtroppo) imputabili a noi. 

Una vecchia conoscenza degli analisti riappare in natura: si tratta del framework di scansione Scanbox, realizzato in JavaScript. 

I ricercatori hanno visto distribuire tale framework da attore di minaccia cinese (molto probabilmente APT TA423, noto anche come Red Ladon, operante dall’isola tropicale cinese di Hainan) mediante tecnica watering hole su target includenti organizzazioni nazionali australiane e società energetiche offshore. 

L’esca sono stati messaggi che rimandavano a siti di notizie web australiani. 

La finalità: lo spionaggio. 

Infatti il particolare APT è stato accusato nel 2021 (DoJ: Dipartimento di Giustizia degli Stati Uniti) di collaborazione con il MSS (Ministero della Sicurezza di Stato, l'agenzia civile di intelligence, sicurezza e polizia informatica per la Repubblica popolare cinese). L’MSS è ritenuto responsabile del controspionaggio, dell'intelligence, della sicurezza politica e spionaggio industriale e informatico da parte della Cina. 

Palo Alto Networks è una società americana specializzata in sicurezza IT: i suoi prodotti vanno da firewall “in ferro” a soluzioni di sicurezza in cloud. 

Quindi pensare che strumenti posti a presidio della sicurezza di una qualche infrastruttura siano essi stessi in pericolo non è una bella cosa: eppure questa è l’eventualità che segnala la società stessa con l’avviso di sicurezza https://security.paloaltonetworks.com/CVE-2022-0028 del 10-08-2022, in cui denuncia la presenza di un difetto nel loro software, un bug di gravità elevata (CVE-2022-0028, 8.6 CVSS) derivante da un controllo insufficiente sui volumi di traffico di rete (CWE-406 Insufficient Control of Network Message Volume - Network Amplification). 

Quando si pensa alle minacce estorsive nel mondo nel mondo IT, la mente va subito alle minacce da ransomware. 

Siamo d’accordo, il termine ransom in inglese significa esattamente riscatto, ed è la clausola imposta dai malware di tipo ransomware per ottenere (difficilmente) lo “sblocco” dei dati presi in ostaggio crittograficamente dallo strumento di attacco. Anche i numeri fanno pendere l’ago della bilancia verso questa identificazione, in quanto questa è la forma più frequente di attacco a cui siamo esposti noi comuni mortali. 

Ma di cyber riscatti ne esistono varie forme e non tutti gli agenti di minaccia si specializzano nell’utilizzo di ransomware quali strumenti per realizzare un guadagno dalla loro attività criminale. 

Vi siete mai chiesti come fa Windows a sapere che un certo file lo avete scaricato da Internet? 

L’informazione deve risiedere da qualche parte, altrimenti un file sarebbe esattamente come tutti gli altri, un file locale. 

Ebbene, questa caratterizzazione avviene per mezzo di una funzionalità di sicurezza introdotta con Internet Explorer (ma che è propria di tutti gli altri browser e molti altri software in uso su Windows) e viene rispettata da molti programmi (tutta la suite Office, per esempio, e soprattutto Windows Defender) durante l’apertura del documento scaricato: la funzionalità è comunemente indicata (ma non è un nome ufficiale) Mark-of-the-Web (MOTW) e consente di associare al file scaricato l’origine (quindi anche l’URI) dello stesso. 

Secondo quali siano i tipi di file, il MOTW viene realizzato con strumenti differenti; ad esempio, nei file HTML il MOTW è semplicemente ottenuto aggiungendo (lo fa il browser che esegue il download) un commento HTML nella forma <!—save from url: …. 

Negli ultimi anni il termine è divenuto sempre più protagonista della cronaca, sociale e politica. 

Il problema dell’informazione è un problema antico: malafede, fini secondari, “veline”, connivenze, interessi. Tutto ha sempre minato la credibilità dell’informazione, quella “certa informazione” che non si sa mai quale sia, e che è sempre differente da “quell’altra”, quella che dovrebbe essere buona, garantita, certa. Ma come orientarsi? 

Fake news è dunque un termine anglosassone per qualcosa che conosciamo da sempre, diffidiamo da sempre (con quell’istinto al complotto, alla dietrologia che un po’ stuzzica tutti) e con cui conviviamo da sempre. Se vogliamo però, fake news identifica una particolare forma di informazione drogata, quella costruita “scientificamente” con l’intento di ingannare, con l’intento di raggiungere un fine all’insaputa dei fruitori (e non semplice approvazione come nei giornali di partito che parlano “ad una parte”, accomodanti e sollecitanti).