Scrive Rainews: “Agenzia per la cybersicurezza: "E' in corso un massiccio attacco hacker"
I tecnici dell'Agenzia hanno già censito "decine di sistemi nazionali verosimilmente compromessi e allertato numerosi soggetti i cui sistemi sono esposti ma non ancora compromessi""”.

Come al solito, siccome in tante redazioni linkare le fonti è considerato un abominio, non viene riportata l’indicazione più importante, ossia l’informazione tecnica del CSIRT. È qui. E dice una cosa che Rainews ha tralasciato di mettere in evidenza: la falla di VMware ESXi sfruttata per l’attacco è stata corretta dal vendor due anni fa.

No, dico, due anni fa. L’avviso del CSIRT lo dice chiaramente: “vulnerabilità CVE-2021–21974 – già sanata dal vendor nel febbraio 2021”.

Parliamoci chiaro: se non patchi un sistema da due anni e per di più lo esponi direttamente a Internet, prendi una canna da pesca e smetti di fare danni, perlamordiddio.

E per favore piantiamola con i titoli sensazionalisti: il titolo corretto, qui, non è “È in corso un massiccio attacco hacker” ma “Imbecilli non aggiornano da 2 anni computer esposti a Internet, si beccano quello che si meritano”.

Gli anglofoni hanno un modo di dire perfettamente azzeccato per queste occasioni: FAFO. Fuck around, find out. Ossia, grosso modo, “Fai una cretinata, scoprine le conseguenze”.

---

Se vi interessano i dettagli tecnici, BleepingComputer ha pubblicato un ottimo articolo in proposito; Censys ha un elenco dei server colpiti; e qui ci sono istruzioni per proteggere i server e per tentare il recupero dei file cifrati dal ransomware.

Look at the world! look how many OLD ESXi servers are exposed :D https://t.co/z2ykKB3sGB pic.twitter.com/Jeqr9veyRr

— mRr3b00t (@UK_Daniel_Card) February 5, 2023

Secondo Censys, in Italia i server colpiti (non quelli vulnerabili, ma quelli che sono già stati infettati) sono almeno una ventina; in Svizzera sono più o meno altrettanti.

---

Ho parlato della vicenda a Teleticino (video) e a Radio Radicale (registrazione audio).

La nota del governo italiano è molto netta (evidenziazioni mie): “L’aggressione informatica, emersa già dalla serata del 3 febbraio e culminata ieri in modo così diffuso, era stata individuata da ACN [Agenzia per la Cybersicurezza Nazionale] come ipoteticamente possibile fin dal febbraio 2021, e a tal fine l’Agenzia aveva allertato tutti i soggetti sensibili affinché adottassero le necessarie misure di protezione. Taluni dei destinatari dell’avviso hanno tenuto in debita considerazione l’avvertimento, altri no e purtroppo oggi ne pagano le conseguenze. Per fare una analogia con l’ambito sanitario, è accaduto come se a febbraio 2021 un virus particolarmente aggressivo avesse iniziato a circolare, le autorità sanitarie avessero sollecitato le persone fragili a una opportuna prevenzione, e a distanza di tempo siano emersi i danni alla salute per chi a quella prevenzione non abbia ottemperato".”

Non avrei saputo dirlo meglio.

---

2023/02/09 22:20. Anche la CISA (Cybersecurity and Infrastructure Security Agency) statunitense ha pubblicato uno script e delle istruzioni per il recupero dei dati in caso di attacco con questo ransomware.

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto) e qui sotto.

Le puntate del Disinformatico sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto, e se vi interessano il testo di accompagnamento e i link alle fonti di questa puntata, sono qui sotto.

---

Arrestati in Ucraina i responsabili di 18.000 truffe bancarie

L’Ucraina è al centro dell’attenzione mediatica per ben altri drammi, ma nel frattempo nel paese la polizia informatica ha messo a segno un risultato importante: ha annunciato di aver identificato e perquisito un call center criminale molto professionale, gestito da tre residenti della città di Dnipro che avevano assunto ben 37 operatori.

Gli operatori telefonavano alle vittime fingendo di essere addetti alla sicurezza bancaria e avvisandole che i loro conti correnti avevano subìto degli accessi non autorizzati. Poi chiedevano alle vittime di confermare i dati necessari per annullare le transazioni fraudolente, che in realtà non esistevano, almeno non in quel momento.

Con questa scusa, infatti riuscivano a farsi dare i codici di accesso all’home banking delle vittime e trasferivano il contenuto dei loro conti correnti su altri conti controllati dalla banda criminale e situati all’estero.

Stando al dipartimento di polizia informatica ucraino, le vittime di questa singola banda sono oltre 18.000 e sono residenti in Kazakistan. Se verranno riconosciuti colpevoli, i membri dell’organizzazione criminale rischiano fino a otto anni di carcere.

Questa buona notizia è un’ottima occasione per ripassare le tecniche di difesa da truffe come questa, che avvengono continuamente e ovunque nel mondo. La prima cosa da ricordare è che il numero telefonico del chiamante che vediamo sui nostri telefonini non è affidabile: è facile da falsificare, per cui non possiamo fidarci soltanto perché il numero di chi ci chiama per avvisare di un problema sul nostro conto corrente corrisponde al numero di telefono della nostra banca o della polizia locale.

La seconda cosa da tenere presente è che richiamare la persona che ci ha chiamato per avvisarci del presunto problema non garantisce nulla, neppure se il numero che chiamiamo è un numero verde gratuito, perché questi numeri possono essere collegati a call center situati in qualunque altro paese del mondo.

Il terzo elemento al quale fare attenzione è abbastanza paradossale: questi finti servizi di assistenza clienti sono molto più veloci e solleciti di quelli reali. Non ci sono tempi di attesa, menu di opzioni da selezionare o musichette estenuanti. Questa piacevole sollecitudine ci predispone ad accettare più facilmente quello che ci viene detto.

Una volta conquistata la nostra fiducia, i truffatori fingono spesso di avere già i nostri dati sullo schermo davanti a loro e usano la loro parlantina sciolta per farceli “confermare”. Sono professionisti, fanno questo mestiere tutto il giorno e quindi sanno esattamente come indurci a dare le informazioni che servono a loro per entrare nei nostri conti.

Nel caso ucraino i criminali ottenevano le informazioni necessarie per trasferire i soldi dal conto della vittima a un conto controllato da loro, ma esistono anche altre tecniche che è opportuno conoscere per poterle riconoscere.

Per esempio, i truffatori chiamano le vittime dicendo che per sicurezza è stato assegnato a loro un nuovo numero di conto presso la stessa banca, sulla falsariga di quando viene data una carta di credito con un numero nuovo per risolvere un caso di frode, e poi chiedono alla vittima di trasferire i propri soldi al nuovo conto.

Le vittime lo fanno prontamente, perché credono che il loro conto sia stato violato e che il nuovo numero di conto sia invece sicuro: ma in realtà il numero di conto nuovo è stato aperto da complici dei truffatori usando documenti falsi. Non appena i soldi arrivano sul nuovo conto, i truffatori li prelevano e spariscono. Questo è uno scenario molto frequente per esempio nel Regno Unito, secondo le segnalazioni della società di sicurezza informatica Sophos, e ha una conseguenza molto spiacevole: le banche possono rifiutarsi di assistere o risarcire la vittima, perché il trasferimento di denaro è stato fatto volontariamente e usando le credenziali corrette, per cui non si tratta di furto in senso stretto.

Conviene insomma essere molto prudenti di fronte a qualunque chiamata inattesa di questo genere, ed è anche opportuno mettere in guardia contro queste truffe le persone particolarmente vulnerabili che conosciamo, ricordando loro che questi truffatori sono esperti nella persuasione e che la migliore difesa è semplicemente chiudere la chiamata e contattare subito una persona di fiducia.

Europol blocca truffa internazionale sulle criptovalute

Europol ha annunciato che l’11 gennaio scorso ha bloccato vari call center criminali situati in Bulgaria, Serbia e Cipro, specializzati nelle truffe basate sui falsi investimenti con criptovalute, e ha eseguito 15 arresti e 22 perquisizioni, interrogando 261 persone.

I paesi presi di mira da questi criminali erano principalmente Germania, Svizzera, Australia e Canada, e la stima iniziale del maltolto indica un importo complessivo di almeno due milioni di euro, ma Europol sospetta che i guadagni illeciti di questi gruppi criminali “possano essere dell’ordine delle centinaia di milioni di euro.”

Le tecniche usate da questi truffatori sono classiche: creano e pubblicizzano su Google, nei social network e anche su YouTube dei siti web nei quali offrono investimenti in criptovalute, proponendo un importo di ingresso molto modesto, e poi simulano che gli investimenti diano un rendimento, documentato – si fa per dire – da estratti conto online totalmente inventati.

Le vittime credono che i loro guadagni siano reali anche perché se chiedono di ritirare una quota dei loro investimenti ricevono davvero l’importo richiesto, che però non è mai la cifra intera, compresi i presunti guadagni, ma è solo una parte del denaro in criptovalute che hanno affidato ai truffatori.

Tutto questo crea uno stato di euforia e sicurezza nelle vittime, e qui scatta la seconda fase della trappola: i truffatori invitano a investire cifre più consistenti. Usano frasi del tipo “Quando hai investito per prova 150 euro, hai quasi raddoppiato il tuo investimento! Pensa se tu ne avessi investiti 1500, o 15.000!”. E così spesso le vittime inviano altri soldi ai truffatori.

Può capitare che le persone cadute nella trappola diventino a loro volta reclutatori di altre vittime. Molti di questi siti truffaldini di finto “trading in criptovalute”, infatti, danno premi e incentivi a chi trova altre persone disposte a inviare denaro nella speranza di grandi guadagni.

Tutto questo meccanismo prosegue finché un numero consistente di vittime non si insospettisce e comincia a chiedere di riavere le somme investite: a quel punto di solito i truffatori chiudono tutto e scappano con i soldi.

Ma non è detto che finisca tutto così: esiste infatti anche una terza fase. I truffatori non interrompono i contatti con le vittime che chiedono la restituzione delle criptovalute affidate, ma dicono che l’accredito è temporaneamente bloccato per ragioni fiscali o per un’ispezione delle autorità locali, come è capitato in un caso che ho seguito personalmente poche settimane fa, e spiegano che per sbloccarlo occorre versare il più presto possibile una percentuale dell’importo a titolo di ritenuta fiscale. È tutto inventato, con lo scopo di attribuire la colpa della mancata restituzione a qualcun altro e sviare eventuali sospetti.

Prima o poi le vittime si rendono conto che si tratta di scuse, ed è a questo punto che, con sfacciataggine incredibile, scatta la quarta fase. Dopo un periodo di silenzio, nel quale i truffatori non si fanno più sentire e la vittima teme di aver ormai perso per sempre i propri soldi, si fa viva una persona che dice di rappresentare un “servizio di recupero criptovalute” e propone di tentare il recupero del denaro dato ai truffatori dalla vittima. Naturalmente questo servizio ha un costo, che va pagato in anticipo, ma è semplicemente una truffa nella truffa.

Sì, le forze di polizia internazionali a volte riescono davvero a recuperare criptovalute sottratte fraudolentemente, ma quando lo fanno non contattano le vittime via mail o sui social network: usano canali di contatto ufficiali e certificati (e non chiedono soldi per intervenire). Il problema è che le vittime spesso a questo punto sono talmente disperate, perché magari hanno perso i risparmi di una vita, che si attaccano a qualunque filo di speranza, e i truffatori procedono senza pietà ad approfittarne.

L’intervento delle forze di polizia coordinate da Europol ha messo fine alle attività di questa organizzazione criminale, ma altre continuano a esistere e tendere trappole, per cui è meglio restare vigili con alcune semplici precauzioni.

Prima di tutto, se un’offerta suona troppo bella per essere vera, probabilmente non è vera. Capita davvero che chi ha fatto investimenti in criptovalute ottenga grandi guadagni, ma questo avviene perché il controvalore delle criptovalute a volte sale, non perché un sito Web dice di avere un “sistema di trading” o cose del genere.

In secondo luogo, il fatto che un sito Web abbia un aspetto professionale e sia pubblicizzato vistosamente su Google e nei social network non garantisce in alcun modo che sia affidabile. Creare questi siti e pubblicizzarli è facile ed esistono addirittura kit chiavi in mano per farlo.

Come terzo consiglio, attenzione agli amici che vi propongono insistentemente investimenti sicuri dicendo che loro li hanno fatti e stanno guadagnando grandi cifre: chiedete come hanno scoperto questo sistema, che controlli hanno fatto per vedere che reputazione ha l’organizzazione alla quale si sono affidati, e se hanno già provato a incassare tutto quello che hanno investito, guadagni compresi. Purtroppo i truffatori fanno pressione sulle vittime affinché trovino altre persone, e non esitano a sfruttare le amicizie o ad accusare gli “scettici” di volervi impedire di avere successo. Sono disposti a mettervi contro la vostra stessa famiglia pur di convincervi a dare loro i vostri soldi.

Fonti aggiuntive: Sophos, Bitdefender.

Speranze per le vittime di ransomware: rilasciato il decrittatore gratuito per MegaCortex

Se siete stati colpiti da un attacco informatico di tipo ransomware che vi ha bloccato tutti i dati chiedendo un riscatto per darvi la password necessaria per sbloccarli e il programma usato per l’attacco si chiama MegaCortex, o se conoscete qualcuno che si trova in questa situazione, c’è una buona notizia: gli esperti della società di sicurezza informatica Bitdefender hanno rilasciato un cosiddetto decrittatore universale per questo software.

MegaCortex ha iniziato a fare danni nel 2019 ed era diventato talmente diffuso e pericoloso, con almeno 1800 casi che avevano coinvolto principalmente aziende, che l’FBI aveva diffuso un avviso specifico in proposito.

I creatori di MegaCortex sono ignoti ma a quanto pare sono fan della serie di film Matrix: il nome MegaCortex sembra ispirato da quello della società di software presso la quale lavorava il personaggio interpretato da Keanu Reeves, ossia la MetaCortex, e il messaggio che compariva sui computer attaccati citava alcune battute dei film, con frasi come “Noi possiamo solo mostrarti la porta, ma sei tu quello che deve attraversarla”. 

Ma Bitdefender, in cooperazione con Europol, il progetto NoMoreRansom e la polizia cantonale del canton Zurigo hanno rilasciato un software gratuito che sblocca i file bloccati da MegaCortex senza aver bisogno della password e quindi senza dover pagare i criminali. Le istruzioni per scaricarlo sono sul sito di Bitdefender. Inoltre alcuni dei criminali che usavano MegaCortex e altri ransomware sono stati arrestati a ottobre 2021.

Se venite colpiti da un attacco di ransomware, insomma, vale sempre la pena conservare una copia completa dei dati che sono stati bloccati e cifrati dall’attacco, perché capita spesso che a distanza di qualche mese venga rilasciato uno strumento gratuito di decifrazione che permette di riavere i dati. Ma come sempre, la prevenzione è meglio della cura, per cui fate una copia di scorta dei vostri dati e tenetela in un luogo sicuro e fisicamente isolato da Internet. 

Fonte aggiuntiva: Graham Cluley.

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto) e qui sotto.

Le puntate del Disinformatico sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto, e se vi interessano il testo integrale e i link alle fonti di questa puntata, sono qui sotto.

---

[CLIP: Audio di Pong]

Questi suoni sintetici, secchi e semplici, sono inconfondibili per chiunque abbia qualche anno sulle spalle e si ricordi il debutto dei primi giochi elettronici: sono quelli di Pong, il mitico ping-pong elettronico, che in questi giorni compie ben cinquant’anni. Oggi, invece, siamo alle prese con l’intelligenza artificiale e con le sue sorprese continue, mentre dall’Asia arriva una storia di ransomware decisamente bizzarra, in cui i criminali informatici si rifiutano di attaccare una compagnia aerea con una giustificazione molto insolita.

Sono questi gli argomenti della puntata del 9 dicembre 2022 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie dal mondo dell’informatica. Benvenuti. Io sono, come al solito, Paolo Attivissimo.

[CLIP: Sigla di apertura]

50 anni di Pong, ma con sorpresa

Alla fine di novembre del 1972, cinquant’anni fa, fu rilasciato uno dei videogiochi più famosi di sempre: Pong. La sua storia merita di essere raccontata in una maniera adatta al mezzo secolo di informatica che ci separa dai quei timidi primi passi nell’intrattenimento digitale. Ascoltatela con attenzione.

Pong è stato uno dei primi videogiochi mai realizzati ed è diventato rapidamente un successo commerciale negli anni '70. Fu ideato e sviluppato da Atari, una delle più grandi società di videogiochi dell'epoca. Nolan Bushnell è stato il fondatore di Atari e quindi uno dei principali sviluppatori di Pong. Bushnell fu anche il principale promotore di Pong, che fu pubblicizzato con successo attraverso manifesti e pubblicità televisive.

Pong era un semplice gioco basato sulla racchetta e sulla pallina, in cui i giocatori dovevano spostare le proprie racchette per colpire la pallina e impedire all'avversario di segnare un punto. Nonostante la sua semplicità, Pong divenne presto un fenomeno di massa, con milioni di persone che giocavano nei bar, nei locali e nelle sale giochi di tutto il mondo.

Bushnell ebbe l'idea di creare un videogioco basato sulla racchetta e sulla pallina dopo aver giocato a un gioco simile su una macchina da bar. Bushnell e il suo team di sviluppatori lavorarono per mesi per creare il prototipo di Pong, che fu poi testato in alcuni locali per valutarne l'appeal. Dopo aver apportato alcune modifiche, Pong fu finalmente lanciato sul mercato e divenne un successo commerciale senza precedenti.

Pong fu anche il primo videogioco a essere distribuito per console per il mercato domestico, aprendo la strada a un'intera generazione di giochi per la televisione. Con il suo successo, ha segnato l'inizio dell'era dei videogiochi e ha contribuito a creare un mercato che oggi è valutato in miliardi di dollari.

Anche se Pong è stato superato dalla tecnologia moderna e dai giochi più complessi di oggi, rimane un pezzo importante della storia dei videogiochi e continua a essere apprezzato da molti appassionati di tutte le età.

---

Vi è sembrata una descrizione un po’ fiacca, ripetitiva e priva di dettagli? Beh, considerate però che è stata scritta in pochi secondi e senza alcuna fatica da parte mia: infatti l’ha generata interamente un software di intelligenza artificiale. Adesso capite perché vi ho chiesto di ascoltarla con attenzione. Se non ve l’avessi detto, ve ne sareste accorti?

Mi affretto a dire che da qui in poi, invece, il testo di questo podcast è opera mia. Almeno quasi tutto.

Il software in questione si chiama ChatGPT ed è stato presentato pochi giorni fa, causando ilarità e al tempo stesso preoccupazione in chiunque scriva testi per lavoro. Ilarità perché è anche capace di spiegare la fisica quantistica in rima nello stile di Snoop Dogg, e preoccupazione perché se un software riesce a generare in qualche istante un testo passabile come quello che avete sentito, a cosa servono scrittori e giornalisti? E come faranno i docenti a capire se i loro studenti hanno davvero scritto il testo della loro ricerca o del loro tema ma hanno una prosa asciutta e poco talento oppure se lo sono invece fatto generare pigramente da un software?

[Nota: esistono dei rilevatori di output per GPT-2 che funzionano per ora anche con ChatGPT come strumenti antiplagio e antifrode, ma bisogna saperli installare e usare]

Potete provare ChatGPT gratuitamente: è sufficiente creare un account presso chat.openai.com e mettersi pazientemente in fila, perché sono moltissimi gli utenti che lo stanno provando e magari anche già usando per lavoro. Se avete fretta, c’è anche una versione a pagamento, che si chiama Playground.

Il suo funzionamento pratico è molto semplice; la complessità è tutta dietro le quinte. Come per i generatori di immagini che ho descritto in altre puntate di questo podcast, tutto parte da una breve frase, denominata in gergo prompt, che l’utente immette per dare istruzioni al software. Il bello di ChatGPT è che a differenza di molti software analoghi anche recenti, questo genera testi anche in italiano. È sufficiente che il prompt sia in italiano o, in generale, nella lingua nella quale volete ottenere il testo generato.

Per fargli generare quel blando riassunto della storia di Pong (che effettivamente compie cinquant’anni in questi giorni) gli ho semplicemente chiesto “Scrivimi la storia del videogioco Pong nello stile di un giornalista” e poi “Raccontami in dettaglio quale ruolo ebbe Nolan Bushnell nella creazione del videogioco Pong”. Il resto, ossia la struttura delle frasi e i riferimenti ad Atari, lo ha generato ChatGPT, direttamente in italiano. Io ho solo tolto qualche ripetizione.

[Date un‘occhiata allo spettacolare esempio di fuffa di marketing creato da Matteo Flora, nel tweet qui sotto:]

Analisi di Brand Equity e un esempio di strategia di Brand Equity scritte da #ChatGPT per il brand @barillagroup.
Ho visto cose peggiori scritte da persone vendute da aziende di consulenza in posizione Senior... pic.twitter.com/lIuPxyONf3

— Matteo G.P. Flora (@lastknight) December 7, 2022

ChatGPT è comunque ottimizzato per la lingua inglese, ed è in questa lingua che fornisce i risultati più strepitosi, generando riassunti, convertendo i titoli di film in emoji, generando poesie, filastrocche e recensioni di ristoranti, scrivendo trame di sitcom e racconti erotici, traducendo da una lingua a un’altra e da un linguaggio di programmazione a un altro, chiacchierando in maniera naturale ricordandosi anche le frasi precedenti della conversazione e fornendo molte altre funzioni che fino a pochi anni fa sarebbero state considerate impossibili per un software.

Per ora i testi generati da ChatGPT sono ancora riconoscibili da un lettore attento, e se state pensando di usarlo per scuola o per lavoro tenete presente che spesso si inventa dettagli inesistenti ma apparentemente plausibili [come nella descrizione di Pong, che contiene parecchi dettagli completamente falsi]. Ma questo software, e l’intero settore della generazione di contenuti tramite intelligenza artificiale, si sta evolvendo a velocità impressionante, tanto che il sito Stack Overflow, punto di riferimento per risolvere qualunque problema di programmazione, ha temporaneamente bandito le “soluzioni” generate da ChatGPT, perché sono troppo facili da generare e sono spessissimo sbagliate ma a prima vista molto credibili. Riconoscerle richiede un occhio esperto, e quindi i moderatori sono stati sopraffatti dall’ondata di soluzioni fasulle prodotte da ChatGPT.

Artisti, traduttori e autori di testi si sentono comprensibilmente minacciati e temono di restare senza lavoro, soppiantati da computer veloci e instancabili che producono a bassissimo costo materiale blando e superficiale ma comunque accettabile per molte situazioni anche professionali. 

Perché pagare un illustratore per una copertina di un libro, quando c’è Midjourney che la genera in un minuto e costa qualche centesimo? Perché pagare un cronista per descrivere una partita, quando c’è un software capace di farlo usando anche i cliché tipici del settore?

Ma il problema rischia di essere ben più grande. Con questi software, generare milioni di articoli falsi ma sufficientemente credibili da ingannare il lettore non esperto, ossia fabbricare fake news, costa incredibilmente poco. È la realtà stessa che rischia di essere annacquata fino a scomparire.

Se vi state chiedendo se questo scenario si possa evitare, per esempio tramite una riqualificazione del giornalismo, non siete i soli. Una risposta arriva dal tecnologo Dominic Ligot:

“man mano che i social media e l’intelligenza artificiale continuano a evolversi e diventano più prevalenti, il giornalismo dovrà adattarsi e cambiare per restare efficace e continuare ad avere importanza. Uno dei modi principali nei quali dovrà cambiare è l’inclusione di nuove tecnologie e nuove piattaforme nelle sue pratiche e nei suoi processi. Per esempio, i giornalisti dovranno imparare come usare gli strumenti dell’intelligenza artificiale e dei social media per identificare e verificare le fonti, per analizzare e interpretare grandi quantità di dati, e per produrre contenuti interessanti e coinvolgenti su misura per le preferenze ed esigenze del pubblico online.”

Parole convincenti, vero? Ma non sono di Dominic Ligot: lui le ha semplicemente fornite al pubblico. Avete indovinato: le ha fatte generare da ChatGPT.

Fonti aggiuntive: Ars Technica, BBC, The Verge, Cnet, AI4business.it.

50 anni di Pong (stavolta sul serio)

[Credit per l’immagine: Wikipedia/Chris Rand]

Lasciando da parte i riassuntini annacquati generati dall’intelligenza artificiale, sono effettivamente passati 50 anni dal 29 novembre 1972, quando la neonata azienda statunitense Atari Inc. presentò negli Stati Uniti il videogioco Pong.

Uno schermo rigorosamente in bianco e nero, due “racchette” disegnate sotto forma di semplici rettangoli che si potevano muovere solo lateralmente, una “pallina” che era in realtà un quadratino bianco, e degli effetti sonori elementari oggi fanno sorridere, ma all’epoca erano assolutamente rivoluzionari, specialmente nelle sale giochi affollate di apparecchi completamente elettromeccanici. Questa era elettronica, era il futuro.

Pong, però, non fu creato da Atari in senso stretto. Il primo ping-pong elettronico fu offerto dalla console di gioco Odyssey della Magnavox, sempre nel 1972; i due fondatori di Atari, Nolan Bushnell e Ted Dabney, imitarono il gioco della Magnavox creandone una versione per le sale giochi.

Un’idea assolutamente vincente: nel giro di due anni Atari vendette più di 8000 esemplari, che furono una miniera d’oro: il loro guasto più frequente era dovuto al fatto che il contenitore delle monete necessarie per giocare era strapieno.

Atari offrì una versione domestica di Pong solo nel 1975. Nel frattempo Magnavox aveva fatto causa ad Atari per aver copiato la sua idea, ma Atari raggiunse un accordo economico con l’azienda, diventando licenziataria del ping-pong elettronico originale.

Una chicca per nostalgici: se vi sembra di ricordare che Pong avesse un difetto, per cui la racchetta non arrivava fino all’angolo superiore dell’area di gioco ed era quindi impossibile fermare la pallina se finiva in quella zona, ricordate bene. Non eravate voi a sbagliare il movimento della racchetta.

Però non si trattava un guasto del singolo apparecchio: erano tutti così, e lo erano intenzionalmente. Il progettista di Pong, Allan Alcorn, aveva infatti scelto un circuito di controllo delle racchette che aveva un difetto intrinseco, e invece di perdere tempo cercando un modo di compensarlo lo lasciò nel gioco per renderlo più difficile e per limitare la durata delle partite.

Fonti: Britannica, Wikipedia.

Criminali dediti al ransomware si rifiutano di attaccare una compagnia aerea: è troppo insicura

[Credit per lo screenshot: DataBreaches.net]

L’esperto di sicurezza informatica Graham Cluley segnala una storia davvero insolita negli annali degli attacchi informatici di ransomware, quelli basati sul furto o blocco dei dati di un’azienda e sulla richiesta di denaro per non divulgarli o per sbloccarli.

A metà novembre 2022 la banda informatica nota come Daixin Team ha attaccato la compagnia aerea malese Air Asia, sottraendo i dati personali di cinque milioni di passeggeri e di tutti i dipendenti.

Per dimostrare di aver realmente compiuto il furto, i criminali hanno inviato al sito DataBreaches.net e alla compagnia aerea un campione dei dati: nomi, date di nascita, indirizzi, data di assunzione, domanda di recupero account, risposta alla domanda di recupero e altro ancora.

Secondo quanto riferiscono i criminali attraverso un portavoce (perché sì, le bande criminali informatiche oggi sono talmente organizzate da avere anche dei portavoce), Air Asia è entrata in trattativa, ma sembra che alla fine non abbia pagato alcun riscatto.

Tuttavia lo stesso portavoce della banda ha dichiarato che Daixin Team ha cifrato i dati sui computer della compagnia e ne ha cancellato anche le copie di backup, però si rifiuta di attaccare più a fondo Air Asia a causa della “organizzazione caotica della rete” e della “assenza di qualunque standard” che ha “causato l’irritazione del gruppo e il completo rifiuto di ripetere l’attacco”. Dicono proprio così.

Il portavoce dei criminali ha aggiunto che “la rete interna era configurata senza alcuna regola e quindi funzionava malissimo” e che “la protezione della rete era molto, molto debole”. È probabilmente la prima volta che si parla di un attacco informatico sventato dalla troppa insicurezza della vittima.

È già umiliante per una compagnia aerea farsi rubare i dati dei clienti; sentire che i ladri sono talmente disgustati dalle carenze di sicurezza del bersaglio da rifiutarsi di attaccarlo ancora è lo schiaffo finale.

Air Asia non ha rilasciato dichiarazioni. E prima che pensiate che Daixin Team sia un gruppo di ladri di buon cuore, va detto che la banda ha dichiarato che intende comunque disseminare i dati dei passeggeri e dei dipendenti e pubblicare informazioni sulle vulnerabilità della rete informatica di Air Asia. Il suo rifiuto di attaccare più a fondo è probabilmente legato, molto più pragmaticamente, al rischio di toccare infrastrutture informatiche critiche come sistemi radar o di controllo del traffico aereo e causare incidenti aerei con conseguenze potenzialmente fatali che mobiliterebbero le risorse di polizia molto più di quanto lo faccia un tentativo di estorsione informatica.

In ogni caso, è improbabile che questa cautela dei criminali sia consolatoria o rassicurante per i passeggeri passati, presenti o futuri della compagnia aerea. E contare sulla pena o compassione dei ladri non è una strategia difensiva da imitare.

Questo articolo è disponibile anche in versione podcast audio.

Il 12 settembre scorso Apple ha rilasciato la nuova versione, la 16, dei suoi sistemi operativi per smartphone, smartwatch e Apple TV, con molte novità significative, come la nuova schermata di blocco, e alcuni aggiornamenti di sicurezza. Ma la particolarità più interessante è che ha rilasciato gli stessi update di sicurezza anche per le versioni meno recenti di questi sistemi operativi, cosa che non capita spesso.

Sono stati infatti messi a disposizione degli aggiornamenti per gli iPhone e iPad meno recenti, che li portano alla versione 15.7 di iOS e di iPadOS, e anche per i Mac vecchiotti, che li portano alla versione Monterey 12.6 oppure alla Big Sur 11.7. 

In questo modo chi usa ancora dispositivi che hanno qualche annetto sulle spalle e non sono più aggiornabili alle nuove versioni di punta di iOS e iPadOS, come l’iPhone 6S e l’iPhone 7, può restare comunque protetto. 

La stessa protezione è offerta anche a chi ha dispositivi ancora aggiornabili ma per qualunque ragione, per esempio la compatibilità con app aziendali, non può o non vuole passare ai nuovi sistemi operativi con tutte le loro novità. 

Le falle di sicurezza corrette da questi aggiornamenti sono piuttosto pesanti, tanto da spingere appunto Apple a distribuire aggiornamenti anche per le vecchie versioni dei suoi sistemi operativi, perché almeno una di queste falle viene già usata dai criminali informatici per compiere attacchi, per cui è essenziale andare appena possibile nelle impostazioni del dispositivo e avviare la sua procedura di aggiornamento software. 

Gli smartphone e tablet Apple che non possono più ricevere aggiornamenti di nessun genere non dovrebbero essere usati per navigare nel Web, mandare mail o per qualunque altra attività che richieda un collegamento a Internet.

---

La casa produttrice ha infatti diffuso un annuncio nel quale segnala che sta circolando un ransomware, denominato Deadbolt (che inglese vuol dire “catenaccio”), che cifra tutti i dati presenti sui NAS collegati direttamente a Internet e agisce sfruttando una falla nell’app di gestione delle immagini di questi dispositivi, chiamata Photo Station.

Molti utenti che comprano questi dischi di rete li usano per archiviare le foto di famiglia e li rendono accessibili via Internet per consentire di condividere le immagini con parenti e amici e per poterle consultare da remoto. Un attacco ransomware a questi dispositivi diventa quindi un disastro per le vittime, perché nessuno è disposto a perdere tutte le proprie foto di famiglia e quindi il pagamento del riscatto per riaverle è quasi certo.

QNAP sollecita urgentemente tutti gli utenti di NAS ad aggiornare Photo Station alla versione più recente, oppure a passare a QuMagie, che è un’alternativa a Photo Station. La casa produttrice è altrettanto perentoria nel raccomandare di non collegare direttamente a Internet i propri prodotti, ma di farlo solo tramite la funzione cloud apposita oppure tramite VPN.

Molti utenti di questi dispositivi si sentono al sicuro perché pensano che sia impossibile per gli aggressori scoprire che hanno un NAS affacciato a Internet, ma in realtà è facilissimo farlo grazie agli appositi motori di ricerca come Shodan.io.

Attacchi di questo genere sono quindi estremamente diffusi e quindi non vanno sottovalutati: la Censys ha contato oltre 20.000 dispositivi infetti, e l’Italia, con oltre 4400 infezioni, è al terzo posto fra i paesi maggiormente colpiti, dopo Stati Uniti (con 8.500) e Germania (con 5.700). La Svizzera si piazza comunque abbastanza in alto in questa classifica, con oltre 1600 NAS colpiti [la raffica di attacchi in Svizzera mi è stata confermata direttamente anche da colleghi].

La spavalderia dei criminali, fra l’altro, non conosce limiti: i gestori del ransomware Deadbolt includono nelle loro schermate di avviso un’offerta rivolta alla casa produttrice, proponendole di acquistare da loro la chiave di sblocco universale del ransomware, che QNAP potrebbe poi dare agli utenti colpiti dall’attacco. Finora non risulta che l’azienda abbia ceduto al ricatto.

Se avete uno di questi dispositivi, insomma, seguite appena possibile le istruzioni del fabbricante, proteggeteli e aggiornateli.

Fonti aggiuntive: Ars Technica, Intego, Ars Technica, Graham Cluley.

Una delle marche più note nel settore dei dischi condivisi o NAS (network attached storage) è QNAP, ma quest’azienda ha diffuso da poco un avviso di sicurezza importante: chi non ha aggiornato il software presente a bordo di questi NAS è a rischio di ricatto e di furto o perdita di dati.

L’azienda segnala infatti che è in corso una campagna di ransomware ai danni degli utenti dei suoi dispositivi. Criminali non identificati riescono a localizzare e a infettare via Internet i NAS QNAP non aggiornati, usando un malware denominato DeadBolt per mettere una password su tutti i dati che contengono e poi chiedono un riscatto per dare alla vittima la password di sblocco dei suoi dati. 

Chi non paga il riscatto e non ha una seconda copia di questi dati rischia di perderli per sempre, e c’è il rischio aggiuntivo che eventuali foto e video di natura intima archiviati sul NAS possano essere oggetto di ulteriore ricatto o finire nelle mani sbagliate.

QNAP consiglia quindi agli utenti di aggiornare al più presto il software di gestione dei propri dischi di rete condivisi, seguendo la procedura indicata nell’avviso. Aggiunge inoltre che se si è già stati attaccati è importante fare uno screenshot della richiesta di riscatto prima di aggiornare il software, perché l’aggiornamento cancellerà la richiesta, rendendo impossibile comunicare con i criminali per un eventuale recupero dei dati.

A prescindere dal caso specifico, gli esperti di sicurezza raccomandano di non collegare mai nessun NAS, di nessuna marca, direttamente a Internet, ma di farlo solo se strettamente necessario e comunque proteggendolo tramite un apposito firewall ben configurato.

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto e condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto) e qui sotto.

In questa puntata del podcast vi racconto una storia di ransomware: l’estorsione che colpisce le aziende bloccando i loro dati con una password che verrà consegnata dal criminale solo se verrà pagato un riscatto. Non è una tecnica nuova, ma stavolta c’è un colpo di scena e ci sono di mezzo due milioni di dollari e fino a 37 anni di carcere. E se un guru storico del crimine informatico come Kevin Mitnick dice che è una storia interessante, si va sul sicuro.

I podcast del Disinformatico sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto, e se vi interessano il testo e i link alle fonti della storia di oggi, sono qui sotto.

---

[CLIP: Spot Ubiquiti]

Ubiquiti è un nome che probabilmente non vi dice nulla, ma è una grande azienda statunitense del settore dei dispositivi per la gestione delle reti informatiche: la “ferraglia” elettronica sulla quale transitano continuamente i nostri dati digitali, insomma.

Di recente è stata attaccata da un ricattatore molto particolare, tanto da meritarsi l’interesse di uno dei massimi esperti di crimine informatico, il mitico Kevin Mitnick.

Questa è la storia di un ricatto informatico insolito e di come la speranza di intascare due milioni di dollari rischia ora, per un banale errore, di diventare una sentenza che comporta fino a 37 anni di carcere. Visto che i dati più recenti indicano un aumento notevole dei ricatti informatici ai danni di aziende piccole e grandi, anche in Svizzera, è una storia che conviene conoscere, perché contiene lezioni utili per tutti, dai datori di lavoro ai dipendenti. E anche, inevitabilmente, per gli aspiranti criminali.

[SIGLA]

Il ransomware, ossia il software che penetra nei sistemi informatici delle aziende, blocca i loro dati con una password conosciuta solo ai criminali che gestiscono questo software, e poi chiede un riscatto per sbloccarli o per non pubblicarli, non è certo una novità.

Ma secondo i dati raccolti da Swissinfo.ch, il ransomware è un fenomeno in netta crescita. Fra agosto 2020 e agosto 2021 circa 2700 aziende svizzere sono state colpite da questa forma di attacco, stando alle stime della società di sicurezza statunitense Recorded Future: quasi il triplo rispetto agli anni precedenti, con una richiesta media di pagamento di circa 167.000 franchi o 180.000 dollari.

È difficile avere dati precisi, perché molte aziende non denunciano questi attacchi per non subire danni alla propria reputazione. Comparis, Stadler, RUAG e il comune di Rolle nel canton Vaud sono solo alcune delle vittime note più recenti, ma ce ne sono molte altre che pagano e tacciono.

Lo schema di attacco è ben documentato: i criminali iniziando inviando ai dipendenti dell’organizzazione presa di mira una mail contenente un allegato dall’aspetto innocuo, tipicamente una fattura. L’allegato, che in realtà trasporta un malware o virus informatico, viene aperto incautamente, senza adeguate precauzioni tecniche e comportamentali, facendo leva sulla fiducia dell’utente, e così supera le difese informatiche del bersaglio.

A volte l’attacco è più sofisticato e avviene sfruttando le falle di qualche sistema informatico maldestramente configurato e lasciato esposto su Internet, oppure una chiavetta USB infetta inserita con l’astuzia o la seduzione in un computer aziendale, ma capita abbastanza raramente. In un modo o nell’altro, gli aggressori entrano insomma nel cuore informatico dell’azienda, lo bloccano cifrando i dati oppure ne prelevano una copia, e poi chiedono soldi, solitamente sotto forma di criptovalute.

La storia di ricatto che voglio raccontarvi oggi, però, segue un copione leggermente differente.

Tutto inizia il 10 dicembre del 2020, quando qualcuno entra nei server gestiti dall’azienda informatica californiana Ubiquiti Networks, un grande nome del settore che vende router, telecamere e altri sistemi digitali di sicurezza, e ne sottrae vari gigabyte di dati sensibili usando una tecnica abbastanza insolita: l’intruso adopera infatti le credenziali di un amministratore del cloud aziendale.

Il furto prosegue una decina di giorni più tardi, il 21 e 22 dicembre, quando vengono rubati altri dati. L’intruso copre le proprie tracce alterando i log che registrano le attività. Ma a differenza dei casi tradizionali di ransomware, i dati di quest’azienda non vengono cifrati dall’aggressore.

Alcuni dipendenti della Ubiquiti si accorgono del furto una settimana più tardi, poco dopo Natale, e l’azienda raduna i suoi esperti per analizzarne le conseguenze.

Ai primi di gennaio 2021 Ubiquiti riceve una mail di richiesta di riscatto. La proposta del criminale è molto chiara: se l’azienda non gli pagherà 25 bitcoin, equivalenti a poco più di un milione di dollari, i dati confidenziali sottratti verranno resi pubblici, causando un disastro reputazionale.

Ma la mail di ricatto non si ferma qui: prosegue offrendo di rivelare all’azienda la tecnica usata per entrare nei suoi sistemi, in modo che possa chiudere la falla ed evitare nuovi attacchi. Per questa sorta di bizzarra consulenza informatica, il criminale chiede altri 25 bitcoin. Entrambe le proposte, che ammontano quindi a due milioni di dollari in tutto, scadranno a mezzanotte del 9 gennaio.

L’azienda decide di non pagare nessuna delle due richieste di denaro. Allo scadere dell’ultimatum, il criminale pubblica su Internet, visibili a chiunque, alcuni campioni dei dati confidenziali sottratti.

Ubiquiti riesce a farli togliere da Internet contattando il sito che li ospita, Keybase, e trova e chiude una falla nei propri sistemi creata dall’aggressore, cambia tutte le credenziali dei dipendenti e poi annuncia pubblicamente, l’11 gennaio 2021, di aver subìto una violazione informatica. I dati sottratti, dice, includono nomi, indirizzi di mail e password cifrate dei suoi clienti. L’azienda raccomanda a tutti gli interessati di cambiare password e di attivare l’autenticazione a due fattori.

L’incidente sarebbe chiuso, ma a questo punto della vicenda entra in gioco un whistleblower, ossia un anonimo lanciatore d’allerta interno all’azienda, che a fine marzo 2021 contatta i media specializzati, in particolare il noto esperto di sicurezza informatica Brian Krebs, e rivela i retroscena dell’annuncio pubblico di violazione, che lui conosce bene perché ha fatto parte del gruppo di esperti incaricati dell’analisi dell’incidente informatico.

L’anonimo aggiunge che Ubiquiti sta minimizzando la portata della violazione, che in realtà sarebbe “catastrofica” e includerebbe tutti i codici di autorizzazione più delicati, tanto da consentire ai criminali di accedere a qualunque dispositivo Ubiquiti installato presso i clienti sparsi in tutto il mondo. Questa violazione sarebbe stata perpetrata da un aggressore non identificato, che sarebbe entrato impossessandosi banalmente delle credenziali di un amministratore di sistema dell’azienda. Una figuraccia imbarazzante per una grande società che si specializza in sicurezza informatica.

Questa rivelazione causa comprensibilmente un crollo nella quotazione in borsa della Ubiquiti, che scende di circa il 20% nel giro di una giornata, comportando perdite di capitalizzazione di mercato equivalenti a oltre quattro miliardi di dollari. L’azienda annuncia il giorno successivo, che è il primo d’aprile, di essere oggetto di un tentativo di estorsione.

Nel frattempo l’FBI ha avviato un’indagine informatica e ha scoperto che l’intruso si è collegato via Internet ai computer di Ubiquiti usando Surfshark, un software di VPN (Virtual Private Network o “rete privata virtuale”), per mascherare l’origine del collegamento e impedire qualunque tentativo di rintracciarlo tramite il suo indirizzo IP, che normalmente verrebbe registrato nei log aziendali, e poi è entrato nei sistemi della Ubiquiti usando delle credenziali di amministratore, proprio come dice il whistleblower. Ma l’aggressore ha commesso un breve, fatale errore.

In due brevissime occasioni si è collegato senza accorgersi che un’interruzione momentanea del suo accesso a Internet aveva impedito a Surfshark di attivarsi correttamente, e così si è collegato a Ubiquiti direttamente, comunicando il suo vero indirizzo IP. Cosa peggiore, durante questi collegamenti ha trasferito parte dei dati sensibili dell’azienda.

L’FBI ha insomma tutto il necessario per identificare l’aggressore, e procede così a una perquisizione e a un arresto, seguiti da un atto di accusa del Dipartimento di Giustizia di New York che è stato recentemente reso pubblico.

Questo atto di accusa rivela il dettaglio che spinge lo storico hacker Kevin Mitnick a descrivere su Twitter la vicenda come “un colpo di scena interessante nel ransomware” e a esclamare “Busted!” (“Beccato!”): l’aggressore e il whistleblower sono infatti la stessa persona, e si tratta di un dipendente della Ubiquiti.

Sharp, paradossalmente, faceva proprio parte del team di specialisti della Ubiquiti incaricati di indagare sulla violazione. Quella violazione che lui stesso aveva commesso, usando le proprie credenziali di amministratore e la propria conoscenza dei sistemi informatici aziendali.

Quando il suo tentativo di estorsione è fallito perché Ubiquiti ha deciso di non pagare, ha tentato di danneggiare l’azienda e di depistare le indagini diffondendo notizie false su un presunto aggressore esterno. Ma è stato tradito da una banale caduta di linea. Come ha dichiarato Michael J. Driscoll, Assistant Director dell’FBI, “Il signor Sharp forse riteneva di essere abbastanza astuto da far funzionare il suo piano, ma un semplice guasto tecnico ha messo fine ai suoi sogni di ricchezza.”

Il processo deciderà se le accuse molto circostanziate dell’FBI sono fondate: in tal caso, Nickolas Sharp rischia fino a 37 anni di carcere.

L’esperto di sicurezza informatica Graham Cluley ha commentato questa insolita tentata estorsione osservando che “tutte le aziende farebbero bene a ricordare che probabilmente la minaccia peggiore non proviene da hacker esterni, ma dai dipendenti che sono stati assunti e ai quali è stata data fiducia nel gestire i sistemi informatici e nell’interagire con i dati aziendali”.

Non che gli hacker esterni facciano pochi danni, intendiamoci, ma un addetto interno può fare ben di peggio. Un buon rimedio è vincolare tutti gli accessi ai dati più sensibili in modo che serva l’autorizzazione contemporanea di almeno due persone e altre persone vengano allertate di ognuno di questi accessi. Questo rende molto più difficili sabotaggi dall’interno come quello che ha colpito l’azienda statunitense.

E per tutti gli aspiranti hacker che pensano che usare una VPN li renda invisibili e impossibili da rintracciare e identificare: pensateci due volte. Storie come quella di Nickolas Sharp dimostrano che non è così semplice, neanche per un addetto ai lavori. 

Fonti aggiuntive: Catalin Cimpanu, Bleeping Computer, Bitdefender.

Il Centro nazionale per la cibersicurezza svizzero (NCSC) ha pubblicato pochi giorni fa un avviso che segnala il ritorno di Emotet, un malware che il Centro non esita a definire “il malware più pericoloso al mondo”.

Si parla di ritorno perché a gennaio 2021 Europol aveva annunciato un’importante operazione contro Emotet che aveva permesso di mettere offline i server di comando e controllo e di smantellare la botnet associata a questo malware.

Ma l’NCSC riferisce che “negli ultimi giorni esperti di sicurezza di tutto il mondo hanno segnalato nuovi attacchi perpetrati con questo malware. Da un paio di giorni Emotet è presente anche in Svizzera.” Gli attacchi si basano sull’invio di mail con “allegati Excel contenenti macro nocive” e i mittenti hanno indirizzi con dominio .ch. Il Centro raccomanda pertanto di “di bloccare subito i documenti di Microsoft Office sui gateway di posta elettronica (.xlsm, .docm)”.

Un elenco dei siti infettati da Emotet è disponibile qui presso Abuse.ch.

Emotet è nato come trojan dedicato alla penetrazione dei sistemi informatici delle vittime con lo scopo di ottenere le credenziali di accesso ai loro conti bancari, ma con il passare del tempo i suoi vari gestori lo hanno trasformato in un cosiddetto dropper: un malware che fa da puro agente di penetrazione e poi, una volta arrivato a destinazione, scarica il malware vero e proprio.

Ê anche nato un vero e proprio mercato di compravendita dei siti infettati: spesso un gruppo criminale usa Emotet per entrare in un sistema informatico e poi ne vende il controllo a un altro gruppo, e così via: l’ultimo della catena di acquisti lo usa poi per installare un classico ransomware che cifra i dati della vittima, alla quale viene poi chiesto un riscatto per sbloccare i dati.

Emotet viene considerato particolarmente pericoloso anche perché il suo aspetto può ingannare anche un utente piuttosto smaliziato.

This is what it looks like out of the box on Windows 11. How on Earth is the user supposed to know this is malicious?

Trusted App ✅
Publisher Adobe Inc pic.twitter.com/eEntoWgCch

— Kevin Beaumont (@GossiTheDog) December 1, 2021

L’NCSC prosegue dicendo che una volta che Emotet è entrato in un sistema informatico “è quasi impossibile liberarsene. Ha un’elevata capacità di adattamento ed è ad esempio in grado di leggere i contatti e i contenuti delle e-mail nelle caselle di posta elettronica dei sistemi infetti”. I dati raccolti con questa tecnica consentono di “lanciare altri attacchi. Le nuove vittime ricevono e-mail fasulle apparentemente inviate da collaboratori, soci d’affari o conoscenti e vengono convinte ad aprire un documento Word e ad attivare le macro Office.”

Paradossalmente, le reti informatiche che maggiormente ospitano i siti di distribuzione di malware sono proprio quelle di Microsoft, come segnala Abuse.ch:

The top networks hosting malware distribution sites in November 2021 were...

6'961 MICROSOFT 🇺🇸
5'031 CHINA169 🇨🇳
1'973 CHINANET 🇨🇳
1'894 BSNL 🇮🇳
1'177 UNIFIEDLAYER 🇺🇸
900 WIND Telecom 🇩🇴
698 PUBLIC-DOMAIN-REGISTRY 🇮🇳
591 GOOGLE 🇺🇸
374 ALIBABA 🇨🇳
311 DROPBOX 🇺🇸

— abuse.ch (@abuse_ch) December 1, 2021

Il Centro nazionale per la cibersicurezza propone infine dei consigli per proteggersi da Emotet:

• Siate prudenti anche quando ricevete e-mail da mittenti apparentemente noti, in particolare se contengono allegati e link.
• Se sospettate che l’e-mail è fasulla contattate direttamente il mittente per verificare l’attendibilità del contenuto.
• Bloccate i documenti Office contenenti macro sui programmi di posta elettronica e proxy.
• Installate subito tutti gli aggiornamenti di sicurezza disponibili per i sistemi operativi, i browser, client di posta elettronica e programmi di Office.
• Proteggete gli accessi VPN tramite un’autenticazione a due fattori e installate le patch su tutti i dispositivi esposti.
• Effettuate regolarmente un backup dei dati su un supporto di archiviazione esterno e custoditelo offline.
• Conservate almeno due generazioni di backup.
• Le imprese dovrebbero continuamente sorvegliare gli attacchi sulle proprie reti.
• Inviate le e-mail nocive a reports@antiphishing.ch oppure segnalatele al servizio di contatto dell’NCSC tramite l’apposito modulo.

Credit: The Record.

Sta succedendo qualcosa di insolito nel mondo del ransomware, una delle attività criminali più lucrative di questo periodo: bande criminali che hanno attaccato con successo moltissime grandi aziende in tutto il mondo, bloccando i loro dati con una cifratura di cui solo loro conoscevano la chiave e incassando lautissimi riscatti, stanno chiudendo di colpo, senza spiegazioni, e stanno dando gratuitamente alle proprie vittime le chiavi per recuperare i propri dati.

Il giornalista specializzato in sicurezza informatica Catalin Cimpanu segnala, su The Record, che la banda denominata Ragnarok (o Asnarök) ha cessato la propria attività online il 26 agosto scorso e ha rilasciato una utility gratuita di decrittazione che contiene la chiave master, una sorta di passepartout o chiave universale, che decifra tutti i dati bloccati dagli attacchi passati della banda, operativa sin dalla fine del 2019.

L’utility di decrittazione è oggetto di verifiche da parte degli esperti e verrà riconfezionata e ripulita prima di essere messa pubblicamente a disposizione presso il portale NoMoreRansom.org di Europol insieme agli altri strumenti di decrittazione già disponibili per altri ransomware.

Il 12 agosto scorso è successa esattamente la stessa cosa con la banda denominata SynAck. Il programma di decrittazione è disponibile qui su Emsisoft.

A giugno scorso era stato il turno del gruppo criminale che gestiva il ransomware Avaddon: da allora gli attacchi sono cessati e la banda ha rilasciato un programma di decrittazione (disponibile qui su NoMoreRansom e qui presso Emsisoft).

La domanda, a questo punto, è perché dei criminali che sono in piena attività decidono di “redimersi”, per così dire.

C’è un dettaglio interessante che potrebbe suggerire una possibile spiegazione: i ransomware gestiti da tutte queste bande evitavano di prendere di mira Russia e/o Cina (basandosi per esempio sul language ID del sistema infettato); è una caratteristica molto comune nei ransomware. Si teorizza quindi che le bande operino da questi paesi (più probabilmente Russia) e che qualche persona o organizzazione influente del posto sia intervenuto quando il ransomware ha colpito qualche bersaglio che non doveva colpire. Ma si tratta, per ora, di pura congettura.

Ultimo aggiornamento: 2021/08/06 16:00.

Ho aspettato un po’ a scrivere di questa vicenda per lasciare che si depositasse il polverone delle dichiarazioni politiche e cominciassero a emergere i fatti tecnici. I fatti sono ancora pochi, comunque, ed è piuttosto evidente a questo punto che non c’è alcuna intenzione delle autorità di fare piena chiarezza sulla vicenda. Prendete quindi queste poche righe con beneficio d’inventario.

Quello che si sa per certo, finora, è che i servizi informatici della Regione Lazio sono offline da domenica 1 agosto. Secondo la ricostruzione de Il Post (anche qui), un ransomware ha colpito il centro elaborazione dati (CED) che gestisce tutta la struttura informatica regionale e i tecnici hanno pertanto disattivato il CED.

Questo ha portato quasi alla paralisi tutti i servizi regionali che dipendono dal CED, fra i quali spicca il servizio di vaccinazione contro il Covid (che sta procedendo lentamente usando un sistema cartaceo ma ha le prenotazioni bloccate).

Il presidente della Regione Lazio, Nicola Zingaretti, ha parlato di difesa contro “attacchi criminali o di stampo terroristico” (sottolineo “o”), ma ANSA ha inventato un virgolettato che gli ha messo in bocca una certezza sullo stampo terroristico che di fatto Zingaretti non ha espresso (perlomeno nello spezzone video riportato nel tweet di ANSA): 

Zingaretti: 'Gli attacchi hacker sono di stampo terroristico. Stiamo difendendo la nostra comunità. E' l'offensiva criminosa più grave mai avvenuta' #ANSA pic.twitter.com/jSkQfCPnZ5

— Agenzia ANSA (@Agenzia_Ansa) August 2, 2021

I giornali generalisti italiani si sono lanciati in narrazioni che per pietà mi limito a definire fantasiose, per cui non è opportuno considerare affidabile qualunque affermazione informatica scritta da queste testate e conviene rivolgersi solo a fonti tecniche qualificate. 

Per quello che è dato sapere fin qui, non c’è nessuna evidenza di un attacco di stampo terroristico: sembra invece trattarsi di un classico attacco criminale, effettuato a scopo di estorsione. Un tipico ransomware, insomma, di quelli che colpiscono tutti i giorni tante aziende: i dati vengono cifrati dai criminali, che poi chiedono il pagamento di un riscatto per avere la chiave di decifrazione. Stavolta il bersaglio è un po’ più grosso e il danno è molto più visibile.

L’ipotesi del terrorismo informatico è altamente improbabile perché un attacco a fini terroristici avrebbe semplicemente cancellato i dati invece di cifrarli, come ha giustamente fatto notare Stefano Zanero, professore associato di Computer Security al Politecnico di Milano.

Ieri è stato diffuso uno screenshot, parzialmente oscurato, che mostrerebbe l’avviso del ransomware, con un link a una pagina del dark web da usare per la trattativa con gli esecutori dell’attacco:

Gli attacchi di ransomware di solito agiscono su due fronti fondamentali di monetizzazione: la minaccia di bloccare l’attività della vittima e la minaccia di disseminare i dati custoditi dalla vittima (con conseguenti disagi e danni). Zingaretti ha dichiarato che “nessun dato sanitario è stato rubato e i dati finanziari e del bilancio non sono stati toccati” (Il Post), ma è decisamente troppo presto per essere così categorici.

Per ora, quindi, le domande superano ampiamente le risposte.

---

Come è stato possibile un attacco del genere? Secondo le informazioni pubblicate da Open, l’attacco sarebbe iniziato prendendo di mira un PC di un dipendente di Lazio Crea, “società controllata dalla Regione, in smartworking a Frosinone. Per entrare nel sistema, come hanno spiegato fonti della polizia postale a Repubblica, i pirati hanno bucato Engineering SPA [sic], la società specializzata in servizi informatici che lavora con molte amministrazioni pubbliche [...] Da lì hanno ottenuto le credenziali dell’impiegato di Lazio Crea, che aveva i privilegi di amministratore. Hanno inserito il ransomware nel sistema informatico ed è partita la copia dei file.” Uno schema assolutamente classico, insomma. Engineering SPA (in realtà Engineering Ingegneria Informatica S.p.A.) ha però preso posizione su questa ricostruzione degli eventi.

[...] With regard to alleged theories in circulation insinuating a possible correlation between the blocked attack attempt and the hacker attack suffered by the Lazio Region between the night of  31^st July and 1^st August, please note that the analysis and detailed investigation swiftly carried out exclude any links between the two events (the Region has confirmed the attack started with the hacking of a smart-working employee).

Please also note the Engineering Group does not manage any of the Region's infrastructures subject to cyber-attacks, whose dynamics are yet to be fully clarified by the competent authorities. [...]

Non si possono ripristinare i dati da un backup? Non è così semplice. Come regola generale, prima di tutto bisogna assicurarsi che la rete informatica sulla quale si va a ripristinarli sia pulita e non contenga ancora il ransomware, altrimenti è tempo sprecato. Occorre quindi ripulire la rete oppure crearne una nuova vergine (cosa non facile per sistemi informatici grandi e complessi come un CED regionale). Poi bisogna avere un backup, e questo backup deve essere recente e pulito. Ma a quanto risulta dalle dichiarazioni di un assessore della Regione Lazio, almeno parte dei backup era tenuta in linea e quindi sarebbe anch’essa cifrata. Un altro errore classico. Tenere offline un backup integrale di grandi database non è semplice, certo, ma non farlo è una negligenza imperdonabile.

Come si possono evitare disastri del genere? Anche questo non è facile, ma i passi da compiere per ridurre la possibilità che accadano sono ben conosciuti:

• ridurre la superficie di attacco, per esempio togliendo gli accessi privilegiati a chi non ne ha strettamente bisogno (in smart working o meno) e dandoli soltanto a chi ha macchine molto protette e non usate in modo promiscuo (no, il PC del dirigente sul quale guarda il sitarello porno o i film piratati non deve avere accesso privilegiato alla rete aziendale);
• predisporre una procedura di backup (che va collaudata e testata) che offra il massimo isolamento fisico possibile;
• predisporre un piano di disaster management per sapere cosa fare se (anzi quando) un attacco va a segno e in base a quanto va a segno;
• avere un piano di comunicazione chiaro e trasparente.
  

Fra queste soluzioni, noterete, è vistosamente assente qualunque accenno a grandiosi piani di “cloud nazionale”. Perché “cloud nazionale” in politichese si traduce “pioggia di soldi per gli amici”, ma in informatica si traduce “single point of failure”. E se qualcuno ha bisogno che gli si traducano queste parole inglesi, tenetelo lontano da qualunque decisione informatica.

---

2021/08/06 16:00. Continuano le comunicazioni contraddittorie, ma sembra esserci una buona notizia. Corrado Giustozzi, che finora ha sempre parlato su autorizzazione della Regione Lazio, ha scritto:

Confermo con gioia che la Regione Lazio ha recuperato i dati senza pagamento di riscatto. Non decifrando i dati ma recuperando i backup che non erano stati cifrati ma solo cancellati. Ma lavorando a basso livello i tecnici di LazioCrea hanno recuperato tutto.

E anche:

Al momento non si può dire se c'è stata anche esfiltrazione di dati o no. Sembrerebbe di no, ma servono analisi più complete per accertarlo.

Giustozzi spiega che i dati sono stati recuperati da un VTL (Virtual Tape Library), “una Virtual Tape Library, ossia un'entità autonoma che emula un sistema robotizzato di backup su nastro. Ancora più disaccoppiata dell'hardware”.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.