Stai usando un browser non aggiornato. Potresti non visualizzare correttamente questo o altri siti web. Dovreste aggiornare o usare un browser alternativo.
Buonasera a tutti comunità di inforge, come ben sapete nella giornata di ieri ci sono stati una serie di disservizi legati a un massiccio
attacco hacker in tutta la penisola italiana ma non solo, dai primi rapporti sembrerebbe che il massiccio attacco ha interessato tutto il mondo occidentale .
Ma partiamo dalla mattinata di domenica 05/02, l'Italia si sveglia con un pesante disservizio legato alla rete TIM in tutta la penisola tanto pesante da andare ad intaccare pure il funzionamento di ATM bancomat e server governativi , in un primo momento si parla di disservizi non correlati all'attacco ma questo punto è ancora da definire , certo è che l'aziende colpita (TIM ) ha tutto l'interesse nel negare la correlazione parlando di "problemi tecnici interni" di natura ancora non ben definita .
Per il momento si ipotizza Tra gli esperti che si occupano di cybersicurezza che si sia verificato un problema sui router di Sparkle, la società di Tim che gestisce tra l'altro i cavi in fibra ottica, e ciò potrebbe molto probabilmente essere collegato all'attacco , ma come già detto è ancora tutto da definire.
Questo attacco ha avuto un impatto talmente tanto forte da rendere necessaria la convocazione di un vertice di emergenza a Palazzo Chigi , cosa che non avviene certamente per tutti gli attacchi nella penisola, basti pensare agli avvenimenti degli ultimi 2 anni.
Al vertice saranno presenti personalità come il sottosegretario Alfredo Mantovano, il direttore dell'Agenzia Roberto Baldoni e il Dipartimento informazioni e sicurezza.
Con un tempismo quasi perfetto nelle scorse settimane la premier Giorgia Meloni aveva fatto in CDM un'informativa proprio sulla necessità di contrastare la vulnerabilità dei sistemi informatici, e speriamo che questa volta l'argomento venga trattato con una certa serietà.
A dare l'allarme è stato il CERT Francese , i francesi infatti sembrerebbero quelli più pesantemente colpiti dal ramsonware , a livello globale si parla di 640 server compromessi di cui almeno 5 nostrani ; I server colpiti sono sistemi utilizzati per la virtualizzazione di sistemi informatici a livello aziendale .
Da un analisi di Bleeping sembrerebbe imputabile dell'attacco una nuova famiglia di ramsonware battezzato ESXiArgs , il nome deriva dall'estensione dei file crittografati .args.
Questo nuovo ramsonware va ad intaccare le vulnerabilità già note da molto tempo presenti su VMware ESxi , per l'appunto una piattaforma di virtualizzazione e sono identificate con i nominativi : CVE-2022-31696 , CVE-2022-31697 , CVE-2022-31698 e CVE-2022-31699 .
Grazie a queste vulnerabilità , sfruttando un "buffer overflow" e possibile
per gli hacker agire eseguendo comandi remoti sui server attraverso la porta 427 .
Il responsabile ancora è da definire , si ipotizza che provenga dalla Russia , fonti non troppo attendibili sui forum underground imputano la responsabilità a un agglomerato di diversi gruppi ramsonware di matrice appunto russofona tra cui Killnet , Lockbit e blackBasta ( quest'ultimo responsabile in passato dell'attacco alla ditta Romana Acea ) , ma per il momento le informazioni sui responsabili sono ancora da definire .
Lascio a voi commenti e pareri , come sottolineato più volte il panorama sulla vicenda è ancora molto incerto , le aziende coinvolte non hanno piacere ad ammettere il loro status di vittime anche per una questione di marketing , per il momento la palla in Italia viene giocata dalla ACN , che sta analizzando l'accaduto
PS: Dato che l'attacco si è verificato solo ieri, alcune informazioni si potrebbero dimostrare inesatte con il passare del tempo , sarà compito della community aggiornare ed eventualmente correggere quanto esposto, grazie per la partecipazione a tutti
Quest'attacco a ESXi lo poteva lanciare anche Paolo Villaggio: la CVE è vecchia ed open source, il poc lo può prendere chiunque perché è pieno di repository su github. Può essere stato chiunque, e l'importanza di installare le patch di sicurezza è proprio questa. Sui sistemi Linux può essere fatto anche con un cron che fa apt update una volta al mese.
Non è colpa di nessuno: investigare un fatto serve a migliorare i processi.
Per le vittime ci vuole empatia, per gli altri procedure migliori. Cercare qualcuno da colpevolizzare non solo è inutile, è controproducente: se le persone hanno paura di essere colpevolizzate, non evidenzieranno più futuri problemi per paura delle conseguenze. Non voglio stare qui a scrivere tutta la filosofia dei blameless postmortem, ma focalizzarsi sulle procedure permette poi si migliorare e prevenire la prossima volta. Colpevolizzare non porta invece nessun miglioramento.
E su questo caso ci sono molti fattori concomitanti: per esempio, c'era un CVE, ma oggi i CVE sono troppi, e molti sono inutili perché sono diventati una beauty measure. Tutti ne vogliono dire di avere uno, quindi diventa davvero difficile capire quali sono importanti e quali no.
Inoltre, gli aggiornamenti di sicurezza vengono mischiati agli aggiornamenti normali, quindi se vuoi aggiornare un sistema devi anche beccarti le nuove feature, rendendo ogni aggiornamento una situazione che richiede test e aggiustamenti al tuo prodotto sopra, cioè un costo notevole dal punto di vista ingegneristico.
Nell'informatica c'è una cultura del "Fire& forget" che è molto controproducente. La maintenance non è cool, e pochissime aziende si preoccupano del debito tecnico, e spesso è un lavoro senza gloria, quindi ci si preferisce dedicare ad altro.
E probabilmente altre 10000 ragioni, ma di postmortem ne scrivo già abbastanza a lavoro, quindi lascio volentieri ad altri aggiungerne
Se ci si focalizza su questi problemi si può sicuramente migliorare, come industria e come procedure
Vorrei solamente precisare come anche l'ACN ha condiviso per tempo un alert sulla CVE-2021-21974 presente in VMWare ESXi.
Credo che la colpa sia esclusivamente delle aziende. La vuln è stata sanata nel 2021 dal vendor stesso.
Aspetto ulteriori news e vi lascio con questa frase:
"date a Cesare quel che è di Cesare e a Dio quel che è di Dio"
Vorrei solamente precisare come anche l'ACN ha condiviso per tempo un alert sulla CVE-2021-21974 presente in VMWare ESXi.
Credo che la colpa sia esclusivamente delle aziende. La vuln è stata sanata nel 2021 dal vendor stesso.
Aspetto ulteriori news e vi lascio con questa frase:
"date a Cesare quel che è di Cesare e a Dio quel che è di Dio"
Si, l'Agenzia Nazionale per la Cybersicurezza ha fatto il suo dovere, avvisando per tempo le aziende sulla vulnerabilità. La colpa è stata dei responsabili aziendali che, come al solito, sono piuttosto incoscienti e sottovalutano sempre l'aspetto sicurezza informatica. La Cybersicurezza deve diventare una prassi nelle aziende e non un optional.
Quest'attacco a ESXi lo poteva lanciare anche Paolo Villaggio: la CVE è vecchia ed open source, il poc lo può prendere chiunque perché è pieno di repository su github. Può essere stato chiunque, e l'importanza di installare le patch di sicurezza è proprio questa. Sui sistemi Linux può essere fatto anche con un cron che fa apt update una volta al mese.
L'aspetto più grave ed inquietante di tutto è che stiamo parlando di una cve di febbraio 2021 e la patch è del 2021-02-23 come riporta il sito ufficiale di vmware.
Questo vuol dire che i sistemi non vengono aggiornati costantemente, com'è possibile questo?
Non posso e non voglio credere che un sistemista possa essere così superficiale nel non tenere aggiornati i sistemi, soprattutto su vulnerabilità così gravi...
L'aspetto più grave ed inquietante di tutto è che stiamo parlando di una cve di febbraio 2021 e la patch è del 2021-02-23 come riporta il sito ufficiale di vmware.
Questo vuol dire che i sistemi non vengono aggiornati costantemente, com'è possibile questo?
Non posso e non voglio credere che un sistemista possa essere così superficiale nel non tenere aggiornati i sistemi, soprattutto su vulnerabilità così gravi...
Esiste un mito diffuso secondo cui qualsiasi cosa diversa da Microsoft Windows sia invulnerabile, facendo diventare gli amministratori di qualsiasi OS diverso da Windows indolenti sul punto di vista della sicurezza. Inoltre gli utenti di Windows sono letteralmente "trainati" da Microsoft stessa, che forza le copie ufficiali dell'OS ad auto-aggiornarsi. Linux funziona in modo diverso, su Linux gli aggiornamenti non vengono fatti automaticamente, sono sotto la completa responsabilità dell'amministratore, che deve fare almeno ogni tanto "apt-update && apt upgrade -y". Di conseguenza, se un sistema Linux risulta vulnerabile ad un exploit, la responsabilità è da imputare sia al criminale ma in primis all'amministratore. Ciò che è accaduto ad ESXi è comunque ingiusto e dovrebbero trovare gli autori del ransomware seguendo la fingerprint dell'artefatto, ma l'amministratore di questi sistemi non dovrebbe passarla liscia.
Da nuove informazioni sembrerebbe che l'attacco non è ad opera di Russi o Filoruss ma di gruppi indipendenti che chiedono riscatto in bitcoin ( stando almeno ad alcune fonti ) , In ogni caso stanno venendo a galla molte sfaccettature almeno apparentemente sconnesse tra di loro ;
Sembrerebbe che sono stati attaccati molteplici istituti universitari prestigiosi in giro per il mondo tra cui la Federico II di Napoli qui in italia , oltrer a numerose aziende energetiche , In Francia e Germania sono stati colpiti in modo duro i server di Ospedali e strutture sanitarie con ripercussioni pesanti sui pazienti e le strutture.
I Numeri .:
-1628 i server infiltrati
-528 di questi localizzati in francia
- 273 Germania
- 235 Stati Uniti
Per quanto riguarda noi , sembrerebbero 19 quelli sicuri Italiani
Per farvi capire meglio di cosa stiamo parlando qui alcuni:
Basiano – Lombardia – Irideos Spa – KPNQwest Italia S.p.a.
Visionando nero su bianco COSA è stato colpito , si può facilmente capire che non sono stati colpiti bersagli " a caso " o senza un preciso "focus" nei settori di interesse .
Sono stati colpiti importanti snodi di comunicazione e storage di dati anche personali e aziende del mondo elettrotecnico e informatico che lavorano con importanti commesse.
Nonostante ciò tantissime testate inziano a minimizzare pesantemente , anche del settore e anche molte di queste legate ad ambienti accademici:
Si parla di dilettanti allo sbaraglio , si parla quasi di ragazzini in cerca di racimolare qualche soldo con le richieste di riscatto.
Su alcuni giornali si parla quasi come un attacco "dovuto" anche dal fatto che la vulnerabilità era stata patchata nel 2021 , anzi si inizia a parlare di " insensato allarmismo " ( come nell'ultimo link ) per un attacco che a detta loro " ha colpito una serie di server mal gestiti e non aggiornati" quasi come a dire che se non aggiorni i tuoi strumenti un attacco massiccio di portata mondiale è cosa dovuta.
Tra tanti articoli che sinceramente 'meh..' ne ho trovati 2 che me ne sono saltati all'occhio :
In primo luogo questo articolo che parla della realtà italiana ovvero le strutture informatiche dell' INPS che reagiscono all'evento in modo pratico proponendo qualcosa di nuovo , questo dopo il consiglio avvenuto a Palazzo Chigi , teniamo presente che ciò per altri attacchi al nostro paese non è successo , per quanto quella dell'inps sia un azione banale è pur sempre un reagire a un qualcosa che prima veniva ignorato:
E in secondo luogo questo articolo , che spicca tra gli altri per informazioni che già erano timidamente trapelate nelle prime ore del 06/02 sui forum underground e altri articoli che non trovo , ovvero un movente che riporta al ben noto gruppo " Killnet " facente parte di un disegno più grande del semplice " gruppi random che lanciano l'amo a caso nella speranza di acchiappare da qualche parte per chiedere un misero riscatto"
Esiste un mito diffuso secondo cui qualsiasi cosa diversa da Microsoft Windows sia invulnerabile, facendo diventare gli amministratori di qualsiasi OS diverso da Windows indolenti sul punto di vista della sicurezza. Inoltre gli utenti di Windows sono letteralmente "trainati" da Microsoft stessa, che forza le copie ufficiali dell'OS ad auto-aggiornarsi. Linux funziona in modo diverso, su Linux gli aggiornamenti non vengono fatti automaticamente, sono sotto la completa responsabilità dell'amministratore, che deve fare almeno ogni tanto "apt-update && apt upgrade -y". Di conseguenza, se un sistema Linux risulta vulnerabile ad un exploit, la responsabilità è da imputare sia al criminale ma in primis all'amministratore. Ciò che è accaduto ad ESXi è comunque ingiusto e dovrebbero trovare gli autori del ransomware seguendo la fingerprint dell'artefatto, ma l'amministratore di questi sistemi non dovrebbe passarla liscia.
Quello che dici è sacrosanto , ma fidati che in una realtà globalizzata come la nostra dove si tende a far lavorare " chiunque e ovunque " ( vedi categorie protette o altro ) pensare di aver ogni operatore che deve gestire un pc in una struttura sensibile , con le capacità e con la coscienza tecnica di un sistemista è pressochè impossibile , ssarebbe bello , ma è impossibile ;
La vulnerabilità insita nell'idiota che clicca la mail di phishing o nel disattento che non aggiorna l'avrai sempre ovunque , e io fidati lavoro in un ambiente informatico che tratta con la sanità e ne vedo di ogni anche a livelli ben più basilari di un aggiornamento da terminale Linux ;
Ok formare e chiudere le falle , ma da qui a giustificare gli attaccanti per l'esistenza di falle anche no , poi che ci sia bisogno di più coscenza assolutamente
Si, l'Agenzia Nazionale per la Cybersicurezza ha fatto il suo dovere, avvisando per tempo le aziende sulla vulnerabilità. La colpa è stata dei responsabili aziendali che, come al solito, sono piuttosto incoscienti e sottovalutano sempre l'aspetto sicurezza informatica. La Cybersicurezza deve diventare una prassi nelle aziende e non un optional.
Diciamo che qui il merito è dei francesi che se sono accorti per primi , non so se per bravura o per reazione alla dimensione del danno subito , ma l'ACN avrebbe forse dovuto fare più prevenzione , in fondo esistono per questo
Quest'attacco a ESXi lo poteva lanciare anche Paolo Villaggio: la CVE è vecchia ed open source, il poc lo può prendere chiunque perché è pieno di repository su github. Può essere stato chiunque, e l'importanza di installare le patch di sicurezza è proprio questa. Sui sistemi Linux può essere fatto anche con un cron che fa apt update una volta al mese.
mmmbho , tanti attacchi sono stati fatti con CVE ben più vecchie di 3 anni , e non capisco il collegamento con github probabilmente deficit mio .
Quanto a Linux : si concordo sarebbe bello e meglio ma è utopicamente impossibile , cosa fai , obblighi tutti ad usare un prodotto che dovrebbero impararsi da 0 ? magari a 50 anni suonati ? non so...
L'ACN, per quanto se ne possa dire, ha comunque lanciato l'allarme prima che si verificasse l'attacco, ossia il 4 Febbraio. Specificando, altresì, il rischio di questa CVE, pari a 75,25/100, una descrizione della vulnerabilità, le versioni dei sistemi affetti da questa falla e le azioni di mitigazione da intraprendere per fare le dovute patch. A questo punto sono le aziende che devono mettersi in moto per fare gli aggiornamenti. Di certo non può essere l'ACN ad accedere ai computer di ogni azienda Italiana ed intervenire direttamente. Forse avrebbero dovuto fare una campagna di informazione maggiore, ma non credo che anche gli altri Istituti di Cybersicurezza, all'estero, siano stati più lungimiranti sotto questo aspetto.
Il problema non sta in chi clicca la mail di phishing, e insultare le vittime non mi sembra molto costruttivo.
Il problema sta nel fatto che noi, come industria, abbiamo fallito a creare sistemi abbastanza sicuri.
Sono abbastanza sicuro di non essere un'idiota, ma quest'estate mi sono fatto clonare la carta di credito: ero negli States, e li il cameriere porta ancora via la carta, nessuno porta il POS al posto (qui per fortuna abbiamo smesso). Certo, potevo alzarmi e seguire tutti i camerieri, ma sarebbe stato strano.
Questo solo un esempio di come siano le procedure che devono proteggere gli utenti, non gli utenti che devono vivere nel terrore...
volendo potremmo metterci pure io e te a cercare vulnerabilità sui bersagli tipici come ha già fatto qualche forum italiano con lattacco alla Ferrari di qualche tempo fa', se vuoi sono qui wesker
Io so solo che per colpa di questi non si può fare più niente qua, hanno fermato tutto, non si può toccare più nessuno neanche con nmap o si rischia di inquinare per sbaglio una delle zone degli incidenti. Speriamo che li scoprano così se ne vanno a quel paese e anche subito, e si trovassero un lavoro invece di giocare con i ransomware
Ma proprio questo il punto: tutti lo fanno negli Stati Uniti. E usano la striscia magnetica invece del chip. Se tu dici che vuoi andare con loro ti guardano come un alieno.
Quindi non puoi dare la colpa agli utenti quando l'intero sistema funziona male. E per il phishing `e la stessa cosa. Victim-blaming nasconde i problemi che ci sono.
Molto bello il discorso che fai @fennek, ma il problema è che la sicurezza di un sistema, di un qualsiasi sistema, non può mai essere ridotta soltanto alle misure di sicurezza adottate: c'è sempre il fattore umano da considerare. Si possono avere le migliori misure di sicurezza al mondo per tutelare qualcuno/qualcosa, ma se non c'è buonsenso e intelligenza dietro alle persone che gestiscono quel sistema salta tutto inevitabilmente. Per dirla alla Roberto Saviano, estremizzando, nel mondo ci sono fottuti e fottitori: nella vita a volte apparteniamo alla prima categoria, altre volte alla seconda. Questo è per dire, in generale, che se non sei abbastanza sveglio, nel mondo, troverai sempre qualcuno che è disposto a fregarti o ad approfittarsi di te. Le procedure di sicurezza ti salvano fino a un certo punto. Per quanto riguarda il discorso delle responsabilità, invece, purtroppo o per fortuna, almeno fino ad oggi, tutte le attività nelle società sono svolte dagli uomini, quindi ognuno deve avere la propria responsabilità, almeno a lavoro. Altrimenti diventa troppo facile attribuire sempre la colpa al sistema e creare degli alibi. Pinco palla, per esempio, non si impegnerebbe più perché, ogni volta che sbaglia, "la colpa è del sistema, non è responsabilità mia".
Per esempio, un paese come quello dello Stato Italiano, può fare tantissime campagne informative contro il phishing, ma il fesso che ci casca è inevitabile comunque. Un 'azienda può fare centinai di corsi formativi, ma se gli capita un lavoratore stupido che non sa fare tesoro degli insegnamenti ricevuti ed ha in mano il settore sicurezza...l'azienda è a rischio. C'è sempre il fattore umano, al di là delle procedure. Dove c'è un fesso lì c'è una vulnerabilità. È triste da dire...ma purtroppo è così.
Il settore avionico e quello ospedaliero ce l'hanno insegnato: partendo dal presupposto che la gente agisca in buona fede (quindi, chiaramente, eliminando il sabotatore, e il criminale infiltrato, ma li si va nel penale e il discorso diventa un altro), i fallimenti sono dovuti a procedure non funzionanti.
Se uno junior entra in azienda e il primo mese di lavoro riesce a mettere offline il sito, vuol dire che le tue procedure di sicurezza erano insufficienti. Se un senior ha dormito poco perché era on-call e ha avuto un paging, e la mattina dopo riesce a rompere qualcosa, vuol dire che le procedure di sicurezza erano insufficienti.
Moltissime delle procedure in essere oggi vengono dal fatto che sappiamo che gli umani sbagliano, tutti, anche il più intelligente. Per questo si mettono barriere e controlli. Perché scrivere tests sul codice? Basta scrivere codice senza bugs. Perché avere il 4 eyes principle? Basta che la gente sia "responsabile".
Se l'umano diventa un single point of failure, allora la procedura non funziona. Anche perché a quel punto la "vittima" potrebbe anche essere costretta (siamo tutti ricattabili, o comprabili, in un modo o nell'altro).
Qualsiasi sistema che delega tutta la responsabilità a una persona sola, va visto come un sistema che va migliorato.
Come tutto in italia alla fine... La cosa più preoccupante è che, anche se succedesse, probabilmente non farebbero nulla. Piccolo esempio diversi anni fa hanno hackerato i siti di diverse scuole, i siti sono stati inaccessibili per diverse settimane da tutti, con tanto di messaggio lasciato quando provavi ad accedervi.
Il tutto è stato fatto passare come uno scherzo fatto da ragazzi e non è stato fatto nulla.
Comunque peccato la notizia di questo attacco sui telegiornali sia stata messa in secondo piano da terremoto e Sanremo...
Sentire ognuno che parlava come un esperto epidemiologo, poi da decorato stratega militare mi sarebbe piaciuto vedere Gino*, uomo di 70 anni**, entrare in un bar e dire "Ma sta cosa della "ciabere sicurezza" io la dico da anni."
*=Nome di fantasia metti l'anziano del tuo paese/città/accampamento.
Infatti è proprio quello il punto a cui volevo arrivare , stanno di nuovo minimizzando il tutto portandolo a livello di uno " scherzetto" fatto da buontemponi quando il panorama della situazione è completamente all'opposto . Come si volesse negare di essersi palesati deboli su questo punto di vista .
HAHAHAHAHA sulla " ciaberrr sicurezza" mhai ucciso
è proprio così , se proprio devono invitano la persona più inadatta a spiegare cose di cui sà poco o niente
Sì ma non puoi buttarla tutta su quelli, sì concordo che sono dei fagiani i resposabili dei server ma io rammendo a tutti che è per colpa di sti stronzi che lanciano i ransomware se la gente odia gli hacker, perché ci ricollegano subito a stronzate come quella che hanno fatto questi qui cioè: estorsione aggravata, non hacking. La gente "normale" quando sente hacker ricollega il termine ad uno che fa rapine informatiche o estorsioni piuttosto che a un programmatore o a un penetration tester.
Quindi sto morto di fame che sta estorcendo milioni di quattrini in giro pe internet lo devono trovà e pure subito, sennò guarda giuro che entro io dentro sti server e ci installo la patch, che tanto la CVE che ha usato questo la conosce pure biancaneve
La gente normale quanto sente la parola " hacker" se la ride o si cringia tantissimo , ormai il termine di per sè è diventato ridicolo e nell'immaginario dei profani "l'ackaro" è un 15enne brufoloso e sovrappeso che si dedica " all'ackaraggio " nella speranza di recuperare "!punti sociali" o di impressionare qualche donzella che in realtà si fà grosse risate , come possiamo vedere nei video di recenti youtube italiani dove i presunti hacker hanno fatto la figura dei peggio sfigatoni cringiando a livelli assurdi il pubblico ma anche me in primis , per questo detesto questo termine .
non cè niente di esoterico , è una disciplina tecnica come mille altre , e in ogni caso a differenza di quanto pensano gli stessi che si definiscono tali , quella figura non impressiona più nessuno , anzi , per colpa di alcuni elementi ha guadagnato connotazioni ridicole
"OVHcloud, ha confermato che gli attacchi ransomware sfruttavano una vulnerabilità in OpenSLP come vettore di compromissione iniziale. La società, tuttavia, ha affermato di non poter confermare se in questa fase abbia comportato l'abuso di CVE-2021-21974. Ha anche fatto marcia indietro sui risultati iniziali che suggerivano un collegamento plausibile al ransomware del Nevada."
A quanto pare l’agenzia statunitense per la sicurezza informatica ha reso disponibile uno script per ripristinare i server colpiti dall'attacco ransomware
L’agenzia statunitense per la sicurezza informatica, CISA (Cybersecurity and Infrastructure Security Agency), ha reso disponibile lo script per ripristinare i server VMware ESXi compromessi dal ransomware ESXiArgs. Ecco come funziona
Il settore avionico e quello ospedaliero ce l'hanno insegnato: partendo dal presupposto che la gente agisca in buona fede (quindi, chiaramente, eliminando il sabotatore, e il criminale infiltrato, ma li si va nel penale e il discorso diventa un altro), i fallimenti sono dovuti a procedure non funzionanti.
Se uno junior entra in azienda e il primo mese di lavoro riesce a mettere offline il sito, vuol dire che le tue procedure di sicurezza erano insufficienti. Se un senior ha dormito poco perché era on-call e ha avuto un paging, e la mattina dopo riesce a rompere qualcosa, vuol dire che le procedure di sicurezza erano insufficienti.
Moltissime delle procedure in essere oggi vengono dal fatto che sappiamo che gli umani sbagliano, tutti, anche il più intelligente. Per questo si mettono barriere e controlli. Perché scrivere tests sul codice? Basta scrivere codice senza bugs. Perché avere il 4 eyes principle? Basta che la gente sia "responsabile".
Se l'umano diventa un single point of failure, allora la procedura non funziona. Anche perché a quel punto la "vittima" potrebbe anche essere costretta (siamo tutti ricattabili, o comprabili, in un modo o nell'altro).
Qualsiasi sistema che delega tutta la responsabilità a una persona sola, va visto come un sistema che va migliorato.
Evidentemente abbiamo idee divergenti, io credo che il fattore umano e procedure di sicurezza se la giocano al 50%. E non è possibile avere un sistema sicuro se non c'è il fattore umano dietro che tutela. Comunque darò un'occhiata al libro che mi hai proposto. Sarà molto interessante
Molto bello il discorso che fai @fennek, ma il problema è che la sicurezza di un sistema, di un qualsiasi sistema, non può mai essere ridotta soltanto alle misure di sicurezza adottate: c'è sempre il fattore umano da considerare. Si possono avere le migliori misure di sicurezza al mondo per tutelare qualcuno/qualcosa, ma se non c'è buonsenso e intelligenza dietro alle persone che gestiscono quel sistema salta tutto inevitabilmente. Per dirla alla Roberto Saviano, estremizzando, nel mondo ci sono fottuti e fottitori: nella vita a volte apparteniamo alla prima categoria, altre volte alla seconda. Questo è per dire, in generale, che se non sei abbastanza sveglio, nel mondo, troverai sempre qualcuno che è disposto a fregarti o ad approfittarsi di te. Le procedure di sicurezza ti salvano fino a un certo punto. Per quanto riguarda il discorso delle responsabilità, invece, purtroppo o per fortuna, almeno fino ad oggi, tutte le attività nelle società sono svolte dagli uomini, quindi ognuno deve avere la propria responsabilità, almeno a lavoro. Altrimenti diventa troppo facile attribuire sempre la colpa al sistema e creare degli alibi. Pinco palla, per esempio, non si impegnerebbe più perché, ogni volta che sbaglia, "la colpa è del sistema, non è responsabilità mia".
Tornando al fattore umano, un paese come quello dello Stato Italiano, può fare tantissime campagne informative contro il phishing, ma il fesso che ci casca è inevitabile comunque. Un 'azienda può fare centinai di corsi formativi, ma se gli capita un lavoratore stupido che non sa fare tesoro degli insegnamenti ricevuti ed ha in mano il settore sicurezza...l'azienda è a rischio. C'è sempre il fattore umano, al di là delle procedure. Dove c'è un fesso lì c'è una vulnerabilità. È triste da dire...ma purtroppo è così.
Esattamente, per questo motivo mi girano i cosiddetti quando leggo cose del tipo " l'attacco è stato fatto da dilettanti , il merito va' alla falla non aggiornata ecc" quasi a dire che la colpa è dello spirito santo , per negare il fatto che abbiamo degli enormi problemi in tema cybersec , e lo vedi pure negli stessi corsi di aggiornamento in merito dove l'argomento ramsonware viene limitato a 2 slide PowerPoint, ricordiamoci che un gruppo di questi blackhat è riuscito a mandare in down gli approvvigionamenti energetici dell'Ucraina per 5 ore qualche anno fa , della serie è tutto tarallucci e vino finché non ti ritrovi al buio con ospedali e altri servizi fuori uso.
Il punto è che storicamente per far si che si prendano contromisure serie , in italia , devono succedere cose veramente serie ( vedi episodi come la funivia del Mottarone, la diga del Vajont ecc ) in termini di sicurezza.
Mettici anche che siamo praticamente in guerra con 2 paesi a livello informatico , se non si prende la cosa in mano subito faremo una brutta fine , anche perché Russi e cinesi stanno 20 anni davanti a noi sull'argomento
Io consiglio l'arte dell'inganno di Mitnick come libro, anyway, la colpa é delle persone, punto e basta, il server mica si prende cura di se stesso, i cracker in questione hanno semplicemente sfruttato una falla, e colpa di quei 4 *******i che non sanno fare il proprio lavoro.
Ad ogni azione corrisponde una reazione, uguale o contraria.
È da tempo che mi dico di prenderlo e leggerlo , sicuramente lo farò dev'essere un libro davvero interessante , ripeto : non è ancora un tema preso seriamente , la domanda è , cos'altro deve succedere prima che si dia importanza alla materia? Dal vertice di palazzo chigi , a parte qualche aggiornamento nelle misure di sicurezza dell'INPS , non penso sia stato fatto altro ; quindi siamo ancora in alto mare
Esattamente, per questo motivo mi girano i cosiddetti quando leggo cose del tipo " l'attacco è stato fatto da dilettanti , il merito va' alla falla non aggiornata ecc" quasi a dire che la colpa è dello spirito santo , per negare il fatto che abbiamo degli enormi problemi in tema cybersec , e lo vedi pure negli stessi corsi di aggiornamento in merito dove l'argomento ramsonware viene limitato a 2 slide PowerPoint, ricordiamoci che un gruppo di questi blackhat è riuscito a mandare in down gli approvvigionamenti energetici dell'Ucraina per 5 ore qualche anno fa , della serie è tutto tarallucci e vino finché non ti ritrovi al buio con ospedali e altri servizi fuori uso.
Il punto è che storicamente per far si che si prendano contromisure serie , in italia , devono succedere cose veramente serie ( vedi episodi come la funivia del Mottarone, la diga del Vajont ecc ) in termini di sicurezza.
Mettici anche che siamo praticamente in guerra con 2 paesi a livello informatico , se non si prende la cosa in mano subito faremo una brutta fine , anche perché Russi e cinesi stanno 20 anni davanti a noi sull'argomento
Messaggio unito automaticamente:
È da tempo che mi dico di prenderlo e leggerlo , sicuramente lo farò dev'essere un libro davvero interessante , ripeto : non è ancora un tema preso seriamente , la domanda è , cos'altro deve succedere prima che si dia importanza alla materia? Dal vertice di palazzo chigi , a parte qualche aggiornamento nelle misure di sicurezza dell'INPS , non penso sia stato fatto altro ; quindi siamo ancora in alto mare
Il punto è che storicamente per far si che si prendano contromisure serie , in italia , devono succedere cose veramente serie ( vedi episodi come la funivia del Mottarone, la diga del Vajont ecc ) in termini di sicurezza.
Come tutto in italia alla fine... La cosa più preoccupante è che, anche se succedesse, probabilmente non farebbero nulla. Piccolo esempio diversi anni fa hanno hackerato i siti di diverse scuole, i siti sono stati inaccessibili per diverse settimane da tutti, con tanto di messaggio lasciato quando provavi ad accedervi.
Il tutto è stato fatto passare come uno scherzo fatto da ragazzi e non è stato fatto nulla.
Comunque peccato la notizia di questo attacco sui telegiornali sia stata messa in secondo piano da terremoto e Sanremo...
Sentire ognuno che parlava come un esperto epidemiologo, poi da decorato stratega militare mi sarebbe piaciuto vedere Gino*, uomo di 70 anni**, entrare in un bar e dire "Ma sta cosa della "ciabere sicurezza" io la dico da anni."
*=Nome di fantasia metti l'anziano del tuo paese/città/accampamento.
Io consiglio l'arte dell'inganno di Mitnick come libro, anyway, la colpa é delle persone, punto e basta, il server mica si prende cura di se stesso, i cracker in questione hanno semplicemente sfruttato una falla, e colpa di quei 4 *******i che non sanno fare il proprio lavoro.
Ad ogni azione corrisponde una reazione, uguale o contraria.
Sì ma non puoi buttarla tutta su quelli, sì concordo che sono dei fagiani i resposabili dei server ma io rammendo a tutti che è per colpa di sti qua che lanciano i ransomware se la gente odia gli hacker, perché ci ricollegano subito a cose come quella che hanno fatto questi qui cioè: estorsione aggravata, non hacking. La gente "normale" quando sente hacker ricollega il termine ad uno che fa rapine informatiche o estorsioni piuttosto che a un programmatore o a un penetration tester.
Quindi sto morto di fame che sta estorcendo milioni di quattrini in giro pe internet lo devono trovà e pure subito, sennò guarda giuro che entro io dentro sti server e ci installo la patch, che tanto la CVE che ha usato questo la conosce pure biancaneve
Recuperare punti sociali ahah
A casa mia il giudizio degli altri non esiste proprio, ancora una volta ti assicuro che stai parlando di pagliacci non di hacker. Questi presunti "hacker" di cui parli saranno idioti che cercano di ingannare col social engineering e manco ci riescono, senza sapere neppure che c'è una netta differenza fra "hacker" e "scammer".
Per quanto riguarda me io cerco solo di generare nuove CVE, anche perché le aziende pagano legalmente chiunque le segnala con i bug bounty. Nell'exploit development ho un metodo preferito:
- se l'app è già affetta da una vulnerabilità risolta cerco di fare "patch downgrade", cioè trovare una vulnerabilità nella patch. Quest'approccio richiede padronanza del reversing, e porta alla generazione di una nuova variante di un exploit già esistente, che comunque è valida come 0day.
Se non riesco in questo modo a ottenere il risultato sperato preferisco dichiarare fallimento dell'operazione piuttosto che mettermi a fare il Dottor Fraudster.
Poi non capisco il senso di sfruttare le vuln scoperte per fare dispetti, danni o scelleratezze quando le aziende che fanno i bug bounty ti danno anche fino a 30,000$ in certi di casi, dipende dalla severità della vuln che hai scoperto. Gli exploit più retribuiti sono gli RCE auth bypass -> (whoami -> root), al secondo posto ci sono i DoS, mentre i meno retribuiti sono i privesc (perché richiedono che il target sia stato già compromesso), o altre RCE che risultano in esecuzione di codice nel contesto dell'user "nobody", cioè l'account con i privilegi più bassi. Se riesci a loggarti con quest'account puoi al massimo operare in nella folder "tmp", ma accedere a qualsiasi altra risorsa risulta in "Access Denied" o in richieste di sudo.
Io non capisco che senso ha estorcere 40.000$ con i ransomware quando puoi guadagnarli legalmente scoprendo nuove vulnerabilità, scrivendo exploit e segnalarli al developer dell'app. Ancora una volta esorto tutti a smettere di dire che l'autore del ransomware è "bravo" o un "ackaro" come dice Mr. Pants
New research shows that 57 vulnerabilities that threat actors are currently using in ransomware attacks enable everything from initial access to data theft.
Non sto giustificando in alcun modo gli attaccanti. Non lo so se vanno presi di più a calci in c*lo loro o chi era addetto a quei sistemi. In rispetto delle vittime dell'attacco ho chiuso con il penetration testing, e sono entrato in stato difensivo (costruendo un honeypot che finge di impersonare un ambiente ESXi). Al momento ho rilevato solamente il malware "kinsing" nell'honeypot, inviato da un IP indonesiano di tipo Datacenter (è una VPS). Se mi arriva un attacco ransomware posso solo fare un report all'FBI, ma non so come decriptare i file senza la chiave.
E' una gara di ignoranza, un circo equestre fra gli autori dell'attacco e le vittime:
quelli che scopiazzano codici di ransomware e di CVE da github e li vomitano letteralmente sui dispositivi leakati da Shodan, Censys e Zoomeye (e il bello è che quando li cattureranno crederanno anche che sono bravi, che sanno fare un reversing manualmente, che conoscono le metodologie d'exploit developing, quando questi qua non sapranno manco cos'è un Hex Editor);
Poi gli amministratori che si scordano di fare il roll-up di update su un sistema unix-based, è il colmo, è come il paninaro che si scorda la gorgonzola.
Lo sanno anche i sassi e WannaCry cel'ha dimostrato, che le patch servono proprio per fermare questi soggetti, e tutti continuano a fregarsene. Posso solamente dire che è un 50 e 50? Per me vanno condannati sia i criminali (e molto pesantemente) ma anche i gestori di questi sistemi.
