Stai usando un browser non aggiornato. Potresti non visualizzare correttamente questo o altri siti web. Dovreste aggiornare o usare un browser alternativo.
Buonasera a tutti comunità di inforge, come ben sapete nella giornata di ieri ci sono stati una serie di disservizi legati a un massiccio
attacco hacker in tutta la penisola italiana ma non solo, dai primi rapporti sembrerebbe che il massiccio attacco ha interessato tutto il mondo occidentale .
Ma partiamo dalla mattinata di domenica 05/02, l'Italia si sveglia con un pesante disservizio legato alla rete TIM in tutta la penisola tanto pesante da andare ad intaccare pure il funzionamento di ATM bancomat e server governativi , in un primo momento si parla di disservizi non correlati all'attacco ma questo punto è ancora da definire , certo è che l'aziende colpita (TIM ) ha tutto l'interesse nel negare la correlazione parlando di "problemi tecnici interni" di natura ancora non ben definita .
Per il momento si ipotizza Tra gli esperti che si occupano di cybersicurezza che si sia verificato un problema sui router di Sparkle, la società di Tim che gestisce tra l'altro i cavi in fibra ottica, e ciò potrebbe molto probabilmente essere collegato all'attacco , ma come già detto è ancora tutto da definire.
Questo attacco ha avuto un impatto talmente tanto forte da rendere necessaria la convocazione di un vertice di emergenza a Palazzo Chigi , cosa che non avviene certamente per tutti gli attacchi nella penisola, basti pensare agli avvenimenti degli ultimi 2 anni.
Al vertice saranno presenti personalità come il sottosegretario Alfredo Mantovano, il direttore dell'Agenzia Roberto Baldoni e il Dipartimento informazioni e sicurezza.
Con un tempismo quasi perfetto nelle scorse settimane la premier Giorgia Meloni aveva fatto in CDM un'informativa proprio sulla necessità di contrastare la vulnerabilità dei sistemi informatici, e speriamo che questa volta l'argomento venga trattato con una certa serietà.
A dare l'allarme è stato il CERT Francese , i francesi infatti sembrerebbero quelli più pesantemente colpiti dal ramsonware , a livello globale si parla di 640 server compromessi di cui almeno 5 nostrani ; I server colpiti sono sistemi utilizzati per la virtualizzazione di sistemi informatici a livello aziendale .
Da un analisi di Bleeping sembrerebbe imputabile dell'attacco una nuova famiglia di ramsonware battezzato ESXiArgs , il nome deriva dall'estensione dei file crittografati .args.
Questo nuovo ramsonware va ad intaccare le vulnerabilità già note da molto tempo presenti su VMware ESxi , per l'appunto una piattaforma di virtualizzazione e sono identificate con i nominativi : CVE-2022-31696 , CVE-2022-31697 , CVE-2022-31698 e CVE-2022-31699 .
Grazie a queste vulnerabilità , sfruttando un "buffer overflow" e possibile
per gli hacker agire eseguendo comandi remoti sui server attraverso la porta 427 .
Il responsabile ancora è da definire , si ipotizza che provenga dalla Russia , fonti non troppo attendibili sui forum underground imputano la responsabilità a un agglomerato di diversi gruppi ramsonware di matrice appunto russofona tra cui Killnet , Lockbit e blackBasta ( quest'ultimo responsabile in passato dell'attacco alla ditta Romana Acea ) , ma per il momento le informazioni sui responsabili sono ancora da definire .
Lascio a voi commenti e pareri , come sottolineato più volte il panorama sulla vicenda è ancora molto incerto , le aziende coinvolte non hanno piacere ad ammettere il loro status di vittime anche per una questione di marketing , per il momento la palla in Italia viene giocata dalla ACN , che sta analizzando l'accaduto
PS: Dato che l'attacco si è verificato solo ieri, alcune informazioni si potrebbero dimostrare inesatte con il passare del tempo , sarà compito della community aggiornare ed eventualmente correggere quanto esposto, grazie per la partecipazione a tutti
Vorrei solamente precisare come anche l'ACN ha condiviso per tempo un alert sulla CVE-2021-21974 presente in VMWare ESXi.
Credo che la colpa sia esclusivamente delle aziende. La vuln è stata sanata nel 2021 dal vendor stesso.
Aspetto ulteriori news e vi lascio con questa frase:
"date a Cesare quel che è di Cesare e a Dio quel che è di Dio"
Vorrei solamente precisare come anche l'ACN ha condiviso per tempo un alert sulla CVE-2021-21974 presente in VMWare ESXi.
Credo che la colpa sia esclusivamente delle aziende. La vuln è stata sanata nel 2021 dal vendor stesso.
Aspetto ulteriori news e vi lascio con questa frase:
"date a Cesare quel che è di Cesare e a Dio quel che è di Dio"
Si, l'Agenzia Nazionale per la Cybersicurezza ha fatto il suo dovere, avvisando per tempo le aziende sulla vulnerabilità. La colpa è stata dei responsabili aziendali che, come al solito, sono piuttosto incoscienti e sottovalutano sempre l'aspetto sicurezza informatica. La Cybersicurezza deve diventare una prassi nelle aziende e non un optional.
"OVHcloud, ha confermato che gli attacchi ransomware sfruttavano una vulnerabilità in OpenSLP come vettore di compromissione iniziale. La società, tuttavia, ha affermato di non poter confermare se in questa fase abbia comportato l'abuso di CVE-2021-21974. Ha anche fatto marcia indietro sui risultati iniziali che suggerivano un collegamento plausibile al ransomware del Nevada."
Quest'attacco a ESXi lo poteva lanciare anche Paolo Villaggio: la CVE è vecchia ed open source, il poc lo può prendere chiunque perché è pieno di repository su github. Può essere stato chiunque, e l'importanza di installare le patch di sicurezza è proprio questa. Sui sistemi Linux può essere fatto anche con un cron che fa apt update una volta al mese.
Quest'attacco a ESXi lo poteva lanciare anche Paolo Villaggio: la CVE è vecchia ed open source, il poc lo può prendere chiunque perché è pieno di repository su github. Può essere stato chiunque, e l'importanza di installare le patch di sicurezza è proprio questa. Sui sistemi Linux può essere fatto anche con un cron che fa apt update una volta al mese.
L'aspetto più grave ed inquietante di tutto è che stiamo parlando di una cve di febbraio 2021 e la patch è del 2021-02-23 come riporta il sito ufficiale di vmware.
Questo vuol dire che i sistemi non vengono aggiornati costantemente, com'è possibile questo?
Non posso e non voglio credere che un sistemista possa essere così superficiale nel non tenere aggiornati i sistemi, soprattutto su vulnerabilità così gravi...
L'aspetto più grave ed inquietante di tutto è che stiamo parlando di una cve di febbraio 2021 e la patch è del 2021-02-23 come riporta il sito ufficiale di vmware.
Questo vuol dire che i sistemi non vengono aggiornati costantemente, com'è possibile questo?
Non posso e non voglio credere che un sistemista possa essere così superficiale nel non tenere aggiornati i sistemi, soprattutto su vulnerabilità così gravi...
Esiste un mito diffuso secondo cui qualsiasi cosa diversa da Microsoft Windows sia invulnerabile, facendo diventare gli amministratori di qualsiasi OS diverso da Windows indolenti sul punto di vista della sicurezza. Inoltre gli utenti di Windows sono letteralmente "trainati" da Microsoft stessa, che forza le copie ufficiali dell'OS ad auto-aggiornarsi. Linux funziona in modo diverso, su Linux gli aggiornamenti non vengono fatti automaticamente, sono sotto la completa responsabilità dell'amministratore, che deve fare almeno ogni tanto "apt-update && apt upgrade -y". Di conseguenza, se un sistema Linux risulta vulnerabile ad un exploit, la responsabilità è da imputare sia al criminale ma in primis all'amministratore. Ciò che è accaduto ad ESXi è comunque ingiusto e dovrebbero trovare gli autori del ransomware seguendo la fingerprint dell'artefatto, ma l'amministratore di questi sistemi non dovrebbe passarla liscia.
A quanto pare l’agenzia statunitense per la sicurezza informatica ha reso disponibile uno script per ripristinare i server colpiti dall'attacco ransomware
L’agenzia statunitense per la sicurezza informatica, CISA (Cybersecurity and Infrastructure Security Agency), ha reso disponibile lo script per ripristinare i server VMware ESXi compromessi dal ransomware ESXiArgs. Ecco come funziona
Da nuove informazioni sembrerebbe che l'attacco non è ad opera di Russi o Filoruss ma di gruppi indipendenti che chiedono riscatto in bitcoin ( stando almeno ad alcune fonti ) , In ogni caso stanno venendo a galla molte sfaccettature almeno apparentemente sconnesse tra di loro ;
Sembrerebbe che sono stati attaccati molteplici istituti universitari prestigiosi in giro per il mondo tra cui la Federico II di Napoli qui in italia , oltrer a numerose aziende energetiche , In Francia e Germania sono stati colpiti in modo duro i server di Ospedali e strutture sanitarie con ripercussioni pesanti sui pazienti e le strutture.
I Numeri .:
-1628 i server infiltrati
-528 di questi localizzati in francia
- 273 Germania
- 235 Stati Uniti
Per quanto riguarda noi , sembrerebbero 19 quelli sicuri Italiani
Per farvi capire meglio di cosa stiamo parlando qui alcuni:
Basiano – Lombardia – Irideos Spa – KPNQwest Italia S.p.a.
Visionando nero su bianco COSA è stato colpito , si può facilmente capire che non sono stati colpiti bersagli " a caso " o senza un preciso "focus" nei settori di interesse .
Sono stati colpiti importanti snodi di comunicazione e storage di dati anche personali e aziende del mondo elettrotecnico e informatico che lavorano con importanti commesse.
Nonostante ciò tantissime testate inziano a minimizzare pesantemente , anche del settore e anche molte di queste legate ad ambienti accademici:
Si parla di dilettanti allo sbaraglio , si parla quasi di ragazzini in cerca di racimolare qualche soldo con le richieste di riscatto.
Su alcuni giornali si parla quasi come un attacco "dovuto" anche dal fatto che la vulnerabilità era stata patchata nel 2021 , anzi si inizia a parlare di " insensato allarmismo " ( come nell'ultimo link ) per un attacco che a detta loro " ha colpito una serie di server mal gestiti e non aggiornati" quasi come a dire che se non aggiorni i tuoi strumenti un attacco massiccio di portata mondiale è cosa dovuta.
Tra tanti articoli che sinceramente 'meh..' ne ho trovati 2 che me ne sono saltati all'occhio :
In primo luogo questo articolo che parla della realtà italiana ovvero le strutture informatiche dell' INPS che reagiscono all'evento in modo pratico proponendo qualcosa di nuovo , questo dopo il consiglio avvenuto a Palazzo Chigi , teniamo presente che ciò per altri attacchi al nostro paese non è successo , per quanto quella dell'inps sia un azione banale è pur sempre un reagire a un qualcosa che prima veniva ignorato:
E in secondo luogo questo articolo , che spicca tra gli altri per informazioni che già erano timidamente trapelate nelle prime ore del 06/02 sui forum underground e altri articoli che non trovo , ovvero un movente che riporta al ben noto gruppo " Killnet " facente parte di un disegno più grande del semplice " gruppi random che lanciano l'amo a caso nella speranza di acchiappare da qualche parte per chiedere un misero riscatto"
Esiste un mito diffuso secondo cui qualsiasi cosa diversa da Microsoft Windows sia invulnerabile, facendo diventare gli amministratori di qualsiasi OS diverso da Windows indolenti sul punto di vista della sicurezza. Inoltre gli utenti di Windows sono letteralmente "trainati" da Microsoft stessa, che forza le copie ufficiali dell'OS ad auto-aggiornarsi. Linux funziona in modo diverso, su Linux gli aggiornamenti non vengono fatti automaticamente, sono sotto la completa responsabilità dell'amministratore, che deve fare almeno ogni tanto "apt-update && apt upgrade -y". Di conseguenza, se un sistema Linux risulta vulnerabile ad un exploit, la responsabilità è da imputare sia al criminale ma in primis all'amministratore. Ciò che è accaduto ad ESXi è comunque ingiusto e dovrebbero trovare gli autori del ransomware seguendo la fingerprint dell'artefatto, ma l'amministratore di questi sistemi non dovrebbe passarla liscia.
Quello che dici è sacrosanto , ma fidati che in una realtà globalizzata come la nostra dove si tende a far lavorare " chiunque e ovunque " ( vedi categorie protette o altro ) pensare di aver ogni operatore che deve gestire un pc in una struttura sensibile , con le capacità e con la coscienza tecnica di un sistemista è pressochè impossibile , ssarebbe bello , ma è impossibile ;
La vulnerabilità insita nell'idiota che clicca la mail di phishing o nel disattento che non aggiorna l'avrai sempre ovunque , e io fidati lavoro in un ambiente informatico che tratta con la sanità e ne vedo di ogni anche a livelli ben più basilari di un aggiornamento da terminale Linux ;
Ok formare e chiudere le falle , ma da qui a giustificare gli attaccanti per l'esistenza di falle anche no , poi che ci sia bisogno di più coscenza assolutamente
Si, l'Agenzia Nazionale per la Cybersicurezza ha fatto il suo dovere, avvisando per tempo le aziende sulla vulnerabilità. La colpa è stata dei responsabili aziendali che, come al solito, sono piuttosto incoscienti e sottovalutano sempre l'aspetto sicurezza informatica. La Cybersicurezza deve diventare una prassi nelle aziende e non un optional.
Diciamo che qui il merito è dei francesi che se sono accorti per primi , non so se per bravura o per reazione alla dimensione del danno subito , ma l'ACN avrebbe forse dovuto fare più prevenzione , in fondo esistono per questo
Quest'attacco a ESXi lo poteva lanciare anche Paolo Villaggio: la CVE è vecchia ed open source, il poc lo può prendere chiunque perché è pieno di repository su github. Può essere stato chiunque, e l'importanza di installare le patch di sicurezza è proprio questa. Sui sistemi Linux può essere fatto anche con un cron che fa apt update una volta al mese.
mmmbho , tanti attacchi sono stati fatti con CVE ben più vecchie di 3 anni , e non capisco il collegamento con github probabilmente deficit mio .
Quanto a Linux : si concordo sarebbe bello e meglio ma è utopicamente impossibile , cosa fai , obblighi tutti ad usare un prodotto che dovrebbero impararsi da 0 ? magari a 50 anni suonati ? non so...
Non sto giustificando in alcun modo gli attaccanti. Non lo so se vanno presi di più a calci in c*lo loro o chi era addetto a quei sistemi. In rispetto delle vittime dell'attacco ho chiuso con il penetration testing, e sono entrato in stato difensivo (costruendo un honeypot che finge di impersonare un ambiente ESXi). Al momento ho rilevato solamente il malware "kinsing" nell'honeypot, inviato da un IP indonesiano di tipo Datacenter (è una VPS). Se mi arriva un attacco ransomware posso solo fare un report all'FBI, ma non so come decriptare i file senza la chiave.
E' una gara di ignoranza, un circo equestre fra gli autori dell'attacco e le vittime:
quelli che scopiazzano codici di ransomware e di CVE da github e li vomitano letteralmente sui dispositivi leakati da Shodan, Censys e Zoomeye (e il bello è che quando li cattureranno crederanno anche che sono bravi, che sanno fare un reversing manualmente, che conoscono le metodologie d'exploit developing, quando questi qua non sapranno manco cos'è un Hex Editor);
Poi gli amministratori che si scordano di fare il roll-up di update su un sistema unix-based, è il colmo, è come il paninaro che si scorda la gorgonzola.
Lo sanno anche i sassi e WannaCry cel'ha dimostrato, che le patch servono proprio per fermare questi soggetti, e tutti continuano a fregarsene. Posso solamente dire che è un 50 e 50? Per me vanno condannati sia i criminali (e molto pesantemente) ma anche i gestori di questi sistemi.
Nonostante ciò tantissime testate inziano a minimizzare pesantemente , anche del settore e anche molte di queste legate ad ambienti accademici:
Si parla di dilettanti allo sbaraglio , si parla quasi di ragazzini in cerca di racimolare qualche soldo con le richieste di riscatto.
Su alcuni giornali si parla quasi come un attacco "dovuto" anche dal fatto che la vulnerabilità era stata patchata nel 2021 , anzi si inizia a parlare di " insensato allarmismo " ( come nell'ultimo link ) per un attacco che a detta loro " ha colpito una serie di server mal gestiti e non aggiornati" quasi come a dire che se non aggiorni i tuoi strumenti un attacco massiccio di portata mondiale è cosa dovuta.
Il problema centrale è proprio questo, siamo nel 2023 e ancora non si dà la giusta importanza alla sicurezza dei sistemi come se fosse una cosa secondaria di cui non preoccuparsi se tutto funziona regolare.
Peccato che poi se accade un incidente come questo le spese e disagi sono di gran lunga superiori ad un investimento preventivo.
L'ACN, per quanto se ne possa dire, ha comunque lanciato l'allarme prima che si verificasse l'attacco, ossia il 4 Febbraio. Specificando, altresì, il rischio di questa CVE, pari a 75,25/100, una descrizione della vulnerabilità, le versioni dei sistemi affetti da questa falla e le azioni di mitigazione da intraprendere per fare le dovute patch. A questo punto sono le aziende che devono mettersi in moto per fare gli aggiornamenti. Di certo non può essere l'ACN ad accedere ai computer di ogni azienda Italiana ed intervenire direttamente. Forse avrebbero dovuto fare una campagna di informazione maggiore, ma non credo che anche gli altri Istituti di Cybersicurezza, all'estero, siano stati più lungimiranti sotto questo aspetto.
Il problema non sta in chi clicca la mail di phishing, e insultare le vittime non mi sembra molto costruttivo.
Il problema sta nel fatto che noi, come industria, abbiamo fallito a creare sistemi abbastanza sicuri.
Sono abbastanza sicuro di non essere un'idiota, ma quest'estate mi sono fatto clonare la carta di credito: ero negli States, e li il cameriere porta ancora via la carta, nessuno porta il POS al posto (qui per fortuna abbiamo smesso). Certo, potevo alzarmi e seguire tutti i camerieri, ma sarebbe stato strano.
Questo solo un esempio di come siano le procedure che devono proteggere gli utenti, non gli utenti che devono vivere nel terrore...
Il problema non sta in chi clicca la mail di phishing, e insultare le vittime non mi sembra molto costruttivo.
Il problema sta nel fatto che noi, come industria, abbiamo fallito a creare sistemi abbastanza sicuri.
Sono abbastanza sicuro di non essere un'idiota, ma quest'estate mi sono fatto clonare la carta di credito: ero negli States, e li il cameriere porta ancora via la carta, nessuno porta il POS al posto (qui per fortuna abbiamo smesso). Certo, potevo alzarmi e seguire tutti i camerieri, ma sarebbe stato strano.
Questo solo un esempio di come siano le procedure che devono proteggere gli utenti, non gli utenti che devono vivere nel terrore...
Eccerto, perch`e i giovani sono tutti svegli, e quando hai 50 anni sei da buttare... W l'ageismo
Non ho detto questo , ha 50 anni suonati complice il fatto che probabilmente hai una famiglia a cui badare e problemi di salute legati all'età, sei meno propenso a imparare tecnicismi nuovi, poi le eccezioni esistono per carità .
Rispondendo alle "provocazioni" per le rime:
Lasciare la propria cc in mano a uno sconosciuto che esce dal tuo campo visivo non è molto astuta come cosa
Non sto giustificando in alcun modo gli attaccanti. Non lo so se vanno presi di più a calci in c*lo loro o chi era addetto a quei sistemi. In rispetto delle vittime dell'attacco ho chiuso con il penetration testing, e sono entrato in stato difensivo (costruendo un honeypot che finge di impersonare un ambiente ESXi). Al momento ho rilevato solamente il malware "kinsing" nell'honeypot, inviato da un IP indonesiano di tipo Datacenter (è una VPS). Se mi arriva un attacco ransomware posso solo fare un report all'FBI, ma non so come decriptare i file senza la chiave.
E' una gara di ignoranza, un circo equestre fra gli autori dell'attacco e le vittime:
quelli che scopiazzano codici di ransomware e di CVE da github e li vomitano letteralmente sui dispositivi leakati da Shodan, Censys e Zoomeye (e il bello è che quando li cattureranno crederanno anche che sono bravi, che sanno fare un reversing manualmente, che conoscono le metodologie d'exploit developing, quando questi qua non sapranno manco cos'è un Hex Editor dio bono);
Poi gli amministratori che si scordano di fare il roll-up di update su un sistema unix-based, è il colmo, è come il paninaro che si scorda la gorgonzola.
Lo sanno anche i sassi e WannaCry cel'ha dimostrato dio c*ne, che le patch servono proprio per fermare questi soggetti, e tutti continuano a fregarsene. Posso solamente dire che è un 50 e 50? Per me vanno condannati sia i criminali (e molto pesantemente) ma anche i gestori di questi sistemi.
Ti assicuro che il gruppo responsabile non è formato da idioti , vorrei vederti fare di meglio, in italia nessuno è a loro livello a dimostrazione di ciò gli eventi degli ultimi 2 anni dove ci hanno "penetrato" ogni struttura interessante. ( Posso provartelo in pvt chi sono e cosa hanno fatto , se hai interesse)
Detto ciò, riguardo all'ultimo punto , sono d'accordo sulle responsabilità, ma pensare di utilizzare linux in toto per prevenire non è realizzabile, dovrebbero esserci figure predisposte a fare ciò ma in italia si parla molto ma si conclude gran poco dal punto di vista pratico , volendo potremmo metterci pure io e te a cercare vulnerabilità sui bersagli tipici come ha già fatto qualche forum italiano con lattacco alla Ferrari di qualche tempo fa', se vuoi sono qui wesker
Il problema centrale è proprio questo, siamo nel 2023 e ancora non si dà la giusta importanza alla sicurezza dei sistemi come se fosse una cosa secondaria di cui non preoccuparsi se tutto funziona regolare.
Peccato che poi se accade un incidente come questo le spese e disagi sono di gran lunga superiori ad un investimento preventivo.
Esattamente il mio punto , ora stanno pure minimizzando dicendo che erano principianti quando sono stati i ragazzi di killnet ; i principianti sono quelli che nonostante le varie avvisaglie dei mesi passati non hanno fatto una mazza sottovalutando appunto tutta la situazione, siamo in una situazione di conflitto, errori cosi non te li puoi permettere
volendo potremmo metterci pure io e te a cercare vulnerabilità sui bersagli tipici come ha già fatto qualche forum italiano con lattacco alla Ferrari di qualche tempo fa', se vuoi sono qui wesker
Io so solo che per colpa di questi non si può fare più niente qua, hanno fermato tutto, non si può toccare più nessuno neanche con nmap o si rischia di inquinare per sbaglio una delle zone degli incidenti. Speriamo che li scoprano così se ne vanno a quel paese e anche subito, e si trovassero un lavoro invece di giocare con i ransomware
Ma proprio questo il punto: tutti lo fanno negli Stati Uniti. E usano la striscia magnetica invece del chip. Se tu dici che vuoi andare con loro ti guardano come un alieno.
Quindi non puoi dare la colpa agli utenti quando l'intero sistema funziona male. E per il phishing `e la stessa cosa. Victim-blaming nasconde i problemi che ci sono.
Io so solo che per colpa di questi non si può fare più niente qua, hanno fermato tutto, non si può toccare più nessuno neanche con nmap o si rischia di inquinare per sbaglio una delle zone degli incidenti. Speriamo che li scoprano così se ne vanno a fare in c*lo e anche subito, e si trovassero un lavoro invece di giocare con i ransomware
Ne sai più di me sul pentest e te ne rendo atto , ma sui responsabili secondo me sei fuori strada , la colpa è tutta e solo nostra in quanto occidentali, il mondo sta cambiando e noi rimaniamo con gli stessi preconcetti sulle "minacce" odierne , dobbiamo svegliarci
Ma proprio questo il punto: tutti lo fanno negli Stati Uniti. E usano la striscia magnetica invece del chip. Se tu dici che vuoi andare con loro ti guardano come un alieno.
Quindi non puoi dare la colpa agli utenti quando l'intero sistema funziona male. E per il phishing `e la stessa cosa. Victim-blaming nasconde i problemi che ci sono.
Certo no infatti dare la colpa alla vittima è sbagliato , il termine "idiota" era per definire un responsabile di atteggiamento sconveniente al momento sbagliato , ma sono d'accordo con te la colpa non è sua , poi qui entriamo nel discorso , se non stai al passo con i tempi e colpa tua o di chi ti dovrebbe "aggiornare" ( è c'è chi viene pagato per questo ) ?
L'ACN, per quanto se ne possa dire, ha comunque lanciato l'allarme prima che si verificasse l'attacco, ossia il 4 Febbraio. Specificando, altresì, il rischio di questa CVE, pari a 75,25/100, una descrizione della vulnerabilità, le versioni dei sistemi affetti da questa falla e le azioni di mitigazione da intraprendere per fare le dovute patch. A questo punto sono le aziende che devono mettersi in moto per fare gli aggiornamenti. Di certo non può essere l'ACN ad accedere ai computer di ogni azienda Italiana ed intervenire direttamente. Forse avrebbero dovuto fare una campagna di informazione maggiore, ma non credo che anche gli altri Istituti di Cybersicurezza, all'estero, siano stati più lungimiranti sotto questo aspetto.
Certamente , e si , dovrebbero fare un po di informativa almeno con i sistemisti per le varie aziende, specie aziende che trattano importanti snodi di comunicazione in questo periodo
Ah e comunque mo che ci sto facendo caso se hai ottenuto info su chi sono e cosa hanno fatto dovresti scrivelo a CISA o all'FBI, non di certo a me o sul forum.
Ah e comunque mo che ci sto facendo caso se hai ottenuto info su chi sono e cosa hanno fatto dovresti scrivelo a CISA o all'FBI, non di certo a me o sul forum.
Ma penso lo sappiano già , se no che assumano i giornalisti di "quiFinanza.it" all'FBI , però penso che l'FBI sia in grado di andare a farsi un giro su RAID a scaricarsi il leak ; o sulla chat tg del gruppo interessato visto che è pubblica
Non è colpa di nessuno: investigare un fatto serve a migliorare i processi.
Per le vittime ci vuole empatia, per gli altri procedure migliori. Cercare qualcuno da colpevolizzare non solo è inutile, è controproducente: se le persone hanno paura di essere colpevolizzate, non evidenzieranno più futuri problemi per paura delle conseguenze. Non voglio stare qui a scrivere tutta la filosofia dei blameless postmortem, ma focalizzarsi sulle procedure permette poi si migliorare e prevenire la prossima volta. Colpevolizzare non porta invece nessun miglioramento.
E su questo caso ci sono molti fattori concomitanti: per esempio, c'era un CVE, ma oggi i CVE sono troppi, e molti sono inutili perché sono diventati una beauty measure. Tutti ne vogliono dire di avere uno, quindi diventa davvero difficile capire quali sono importanti e quali no.
Inoltre, gli aggiornamenti di sicurezza vengono mischiati agli aggiornamenti normali, quindi se vuoi aggiornare un sistema devi anche beccarti le nuove feature, rendendo ogni aggiornamento una situazione che richiede test e aggiustamenti al tuo prodotto sopra, cioè un costo notevole dal punto di vista ingegneristico.
Nell'informatica c'è una cultura del "Fire& forget" che è molto controproducente. La maintenance non è cool, e pochissime aziende si preoccupano del debito tecnico, e spesso è un lavoro senza gloria, quindi ci si preferisce dedicare ad altro.
E probabilmente altre 10000 ragioni, ma di postmortem ne scrivo già abbastanza a lavoro, quindi lascio volentieri ad altri aggiungerne
Se ci si focalizza su questi problemi si può sicuramente migliorare, come industria e come procedure
Molto bello il discorso che fai @fennek, ma il problema è che la sicurezza di un sistema, di un qualsiasi sistema, non può mai essere ridotta soltanto alle misure di sicurezza adottate: c'è sempre il fattore umano da considerare. Si possono avere le migliori misure di sicurezza al mondo per tutelare qualcuno/qualcosa, ma se non c'è buonsenso e intelligenza dietro alle persone che gestiscono quel sistema salta tutto inevitabilmente. Per dirla alla Roberto Saviano, estremizzando, nel mondo ci sono fottuti e fottitori: nella vita a volte apparteniamo alla prima categoria, altre volte alla seconda. Questo è per dire, in generale, che se non sei abbastanza sveglio, nel mondo, troverai sempre qualcuno che è disposto a fregarti o ad approfittarsi di te. Le procedure di sicurezza ti salvano fino a un certo punto. Per quanto riguarda il discorso delle responsabilità, invece, purtroppo o per fortuna, almeno fino ad oggi, tutte le attività nelle società sono svolte dagli uomini, quindi ognuno deve avere la propria responsabilità, almeno a lavoro. Altrimenti diventa troppo facile attribuire sempre la colpa al sistema e creare degli alibi. Pinco palla, per esempio, non si impegnerebbe più perché, ogni volta che sbaglia, "la colpa è del sistema, non è responsabilità mia".
Tornando al fattore umano, un paese come quello dello Stato Italiano, può fare tantissime campagne informative contro il phishing, ma il fesso che ci casca è inevitabile comunque. Un 'azienda può fare centinai di corsi formativi, ma se gli capita un lavoratore stupido che non sa fare tesoro degli insegnamenti ricevuti ed ha in mano il settore sicurezza...l'azienda è a rischio. C'è sempre il fattore umano, al di là delle procedure. Dove c'è un fesso lì c'è una vulnerabilità. È triste da dire...ma purtroppo è così.
Molto bello il discorso che fai @fennek, ma il problema è che la sicurezza di un sistema, di un qualsiasi sistema, non può mai essere ridotta soltanto alle misure di sicurezza adottate: c'è sempre il fattore umano da considerare. Si possono avere le migliori misure di sicurezza al mondo per tutelare qualcuno/qualcosa, ma se non c'è buonsenso e intelligenza dietro alle persone che gestiscono quel sistema salta tutto inevitabilmente. Per dirla alla Roberto Saviano, estremizzando, nel mondo ci sono fottuti e fottitori: nella vita a volte apparteniamo alla prima categoria, altre volte alla seconda. Questo è per dire, in generale, che se non sei abbastanza sveglio, nel mondo, troverai sempre qualcuno che è disposto a fregarti o ad approfittarsi di te. Le procedure di sicurezza ti salvano fino a un certo punto. Per quanto riguarda il discorso delle responsabilità, invece, purtroppo o per fortuna, almeno fino ad oggi, tutte le attività nelle società sono svolte dagli uomini, quindi ognuno deve avere la propria responsabilità, almeno a lavoro. Altrimenti diventa troppo facile attribuire sempre la colpa al sistema e creare degli alibi. Pinco palla, per esempio, non si impegnerebbe più perché, ogni volta che sbaglia, "la colpa è del sistema, non è responsabilità mia".
Per esempio, un paese come quello dello Stato Italiano, può fare tantissime campagne informative contro il phishing, ma il fesso che ci casca è inevitabile comunque. Un 'azienda può fare centinai di corsi formativi, ma se gli capita un lavoratore stupido che non sa fare tesoro degli insegnamenti ricevuti ed ha in mano il settore sicurezza...l'azienda è a rischio. C'è sempre il fattore umano, al di là delle procedure. Dove c'è un fesso lì c'è una vulnerabilità. È triste da dire...ma purtroppo è così.
Il settore avionico e quello ospedaliero ce l'hanno insegnato: partendo dal presupposto che la gente agisca in buona fede (quindi, chiaramente, eliminando il sabotatore, e il criminale infiltrato, ma li si va nel penale e il discorso diventa un altro), i fallimenti sono dovuti a procedure non funzionanti.
Se uno junior entra in azienda e il primo mese di lavoro riesce a mettere offline il sito, vuol dire che le tue procedure di sicurezza erano insufficienti. Se un senior ha dormito poco perché era on-call e ha avuto un paging, e la mattina dopo riesce a rompere qualcosa, vuol dire che le procedure di sicurezza erano insufficienti.
Moltissime delle procedure in essere oggi vengono dal fatto che sappiamo che gli umani sbagliano, tutti, anche il più intelligente. Per questo si mettono barriere e controlli. Perché scrivere tests sul codice? Basta scrivere codice senza bugs. Perché avere il 4 eyes principle? Basta che la gente sia "responsabile".
Se l'umano diventa un single point of failure, allora la procedura non funziona. Anche perché a quel punto la "vittima" potrebbe anche essere costretta (siamo tutti ricattabili, o comprabili, in un modo o nell'altro).
Qualsiasi sistema che delega tutta la responsabilità a una persona sola, va visto come un sistema che va migliorato.
Il settore avionico e quello ospedaliero ce l'hanno insegnato: partendo dal presupposto che la gente agisca in buona fede (quindi, chiaramente, eliminando il sabotatore, e il criminale infiltrato, ma li si va nel penale e il discorso diventa un altro), i fallimenti sono dovuti a procedure non funzionanti.
Se uno junior entra in azienda e il primo mese di lavoro riesce a mettere offline il sito, vuol dire che le tue procedure di sicurezza erano insufficienti. Se un senior ha dormito poco perché era on-call e ha avuto un paging, e la mattina dopo riesce a rompere qualcosa, vuol dire che le procedure di sicurezza erano insufficienti.
Moltissime delle procedure in essere oggi vengono dal fatto che sappiamo che gli umani sbagliano, tutti, anche il più intelligente. Per questo si mettono barriere e controlli. Perché scrivere tests sul codice? Basta scrivere codice senza bugs. Perché avere il 4 eyes principle? Basta che la gente sia "responsabile".
Se l'umano diventa un single point of failure, allora la procedura non funziona. Anche perché a quel punto la "vittima" potrebbe anche essere costretta (siamo tutti ricattabili, o comprabili, in un modo o nell'altro).
Qualsiasi sistema che delega tutta la responsabilità a una persona sola, va visto come un sistema che va migliorato.
Evidentemente abbiamo idee divergenti, io credo che il fattore umano e procedure di sicurezza se la giocano al 50%. E non è possibile avere un sistema sicuro se non c'è il fattore umano dietro che tutela. Comunque darò un'occhiata al libro che mi hai proposto. Sarà molto interessante
Io consiglio l'arte dell'inganno di Mitnick come libro, anyway, la colpa é delle persone, punto e basta, il server mica si prende cura di se stesso, i cracker in questione hanno semplicemente sfruttato una falla, e colpa di quei 4 *******i che non sanno fare il proprio lavoro.
Ad ogni azione corrisponde una reazione, uguale o contraria.
