Evoluzione delle minacce informatiche nel terzo trimestre del 2016

Contenuti

Le statistiche

Il quadro della situazione

Attacchi mirati e campagne malware

Dropping Elephant

Per avere successo, le campagne basate sulla conduzione di attacchi informatici mirati non hanno necessariamente bisogno di essere tecnicamente avanzate. A tal proposito, abbiamo descritto, nel mese di luglio 2016, un gruppo APT denominato Dropping Elephant (ugualmente conosciuto come ‘Chinastrats’ e ‘Patchwork’). Utilizzando una combinazione di ingegneria sociale, vecchi codici exploit e malware basato su PowerShell, questo gruppo è stato comunque in grado di carpire dati sensibili alle proprie vittime.

Il gruppo in questione, attivo dal mese di novembre 2015, prende di mira organizzazioni diplomatiche ed economiche di elevato profilo, collegate alle relazioni esterne della Cina; tale specifico interesse emerge in maniera evidente dalle tematiche di cui si avvalgono gli hacker per insidiare le loro vittime designate.

Nella fattispecie, gli hacker fanno ricorso ad un’efficace combinazione di e-mail di spear-phishing ed attacchi di tipo watering-hole. La prima di tali attività di natura malevola comporta l’invio di un documento con contenuto remoto. Quando la vittima apre il documento in questione, viene subito inviata una richiesta “ping” al server di Comando e Controllo (C2) allestito dagli hacker. L’utente-vittima riceve, in seguito, una seconda e-mail di spear-phishing, contenente un documento Word, oppure un file PowerPoint (i quali sfruttano vulnerabilità ormai datate – rispettivamente CVE-2012-0158 e CVE-2014-6352). Una volta che è stato eseguito il payload, viene recapitato al sistema sottoposto ad attacco un eseguibile AutoIT (compresso mediante l’utilizzo del packer UPX), il quale, non appena avviato, provvede al download di ulteriori componenti nocivi dal server C2; ha così inizio il furto di dati sensibili dal computer-vittima.

Gli hacker hanno ugualmente creato un sito web adibito alla funzione di “watering-hole”; attraverso di esso viene effettuato il download di articoli di news autentici, estratti da siti Internet del tutto legittimi. Nel caso in cui un visitatore del sito desideri visionare l’intero articolo, viene offerta la possibilità di scaricare un file PowerPoint: quest’ultimo rivela, sì, il resto del documento, ma, allo stesso tempo, chiede all’ignaro navigatore di procedere al download di un oggetto che, di fatto, risulterà malevolo. Talvolta, gli hacker inviano per posta elettronica appositi link destinati a condurre verso il loro sito web, preposto al “watering-hole”. Inoltre, essi mantengono specifici account Google+, Facebook e Twitter, allo scopo di ottenere risultanti rilevanti a livello di SEO (Search Engine Optimization), e raggiungere, in tal modo, target ancora più estesi.

L’ampio successo riscosso dal gruppo Dropping Elephant è davvero sorprendente, visto che, per prendere di mira potenziali vittime di alto profilo, non sono stati utilizzati, da parte di tali attori APT, né exploit zero-day, né tecniche avanzate; è tuttavia evidente come, implementando i necessari aggiornamenti di sicurezza, e migliorando, al contempo, la consapevolezza e le specifiche conoscenze, da parte del personale, in termini di sicurezza IT, il buon esito di simili attacchi possa essere agevolmente prevenuto. All’inizio dell’anno in corso avevamo di fatto previsto che le campagne APT avrebbero profuso sempre minori sforzi nello sviluppo di sofisticati strumenti di attacco, ed avrebbero invece fatto un maggiore uso, nel perseguire i propri scopi, del cosiddetto malware “off-the-shelf” (in pratica il malware “di serie”, subito disponibile per l’impiego). In ultima analisi, Dropping Elephant rappresenta indubbiamente un ulteriore, chiaro esempio di come investimenti decisamente contenuti, e l’utilizzo di toolkit pronti all’uso, possano comunque rivelarsi molto efficaci, se abbinati a tecniche di social engineering di “alta qualità”.

ProjectSauron

Nello scorso mese di settembre, l’Anti-Targeted Attack Platform allestita da Kaspersky Lab ha evidenziato un’anomalia all’interno della rete informatica di un’organizzazione cliente. Lo svolgimento di ulteriori indagini a tale riguardo ha condotto alla scoperta di ProjectSauron, un gruppo che, a partire dal mese di giugno 2011, ha sottratto ingenti quantità di dati confidenziali ad organizzazioni situate sul territorio di Russia, Iran e Ruanda – e, probabilmente, di altri Paesi ancora. Sono state da noi rilevate oltre 30 vittime: tutte le organizzazioni bersagliate da ProjectSauron svolgono un ruolo chiave nella fornitura di servizi a livello statale, e risultano riconducibili a vari settori: governativo, militare, finanziario, ricerca scientifica e telecomunicazioni.

mw_q3_it_1

ProjectSauron si focalizza, in particolar modo, nell’ottenere l’accesso alle comunicazioni criptate; va letteralmente a caccia di queste ultime avvalendosi di un’avanzata piattaforma modulare di cyber-spionaggio, la quale comprende un set di strumenti e tecniche davvero unici. Il costo, la complessità, l’esplicita persistenza del malware, e l’obiettivo finale dell’operazione (ovvero realizzare il furto di dati segreti appartenenti ad organizzazioni a carattere statale) suggeriscono, di fatto, che ProjectSauron è una campagna sponsorizzata a livello di stati nazionali. ProjectSauron dà l’impressione di un threat group in possesso di una notevole esperienza, che ha peraltro compiuto un considerevole sforzo per “imparare” da altri attacchi informatici di natura altamente avanzata, tra cui Duqu, Flame, Equation e Regin; più precisamente, l’attore APT in questione ha adottato alcune delle tecniche più innovative praticate dai gruppi qui sopra menzionati, migliorando tuttavia le strategie utilizzate dagli stessi, con il preciso intento di non essere scoperto.

mw_q3_it_2

Una delle caratteristiche più interessanti e maggiormente degne di nota, per quel che riguarda ProjectSauron, è rappresentata dal fatto di evitare deliberatamente qualsiasi modello o schema prestabilito: gli impianti malware di cui fa uso tale gruppo sono in effetti “personalizzati” per ogni vittima, e non vengono mai riutilizzati. Tutto questo, in pratica, rende quasi inutile l’abituale utilizzo degli IoC (Indicators of Compromise). Un simile approccio, abbinato all’impiego di molteplici percorsi per l’esfiltrazione dei dati rubati (quali, ad esempio, l’utilizzo di canali e-mail e DNS del tutto legittimi) consente a ProjectSauron di condurre campagne di spionaggio ben nascoste e di lunga durata, all’interno delle reti informatiche prese di mira.

Principali caratteristiche di ProjectSauron:

  • impianti malware di base unici per ogni vittima;
  • utilizzo di script legittimi per l’aggiornamento del software;
  • utilizzo di backdoor in grado di effettuare il download di nuovi moduli, o eseguire comandi esclusivamente nella memoria dei sistemi informatici infetti;
  • l’obiettivo principale è costituito dalle informazioni correlate al software di crittografia specificamente adottato nell’ambito della rete sottoposta ad attacco;
  • utilizzo di strumenti di tipo low-level “orchestrati” da script LUA di tipo high-level (l’utilizzo del linguaggio di programmazione LUA è davvero molto raro; è stato visto, in precedenza, soltanto nell’ambito degli attacchi Flame e Animal Farm);
  • utilizzo di drive USB appositamente allestiti per bypassare i sistemi air-gapped, con impiego di comparti nascosti per lo storage dei dati sensibili progressivamente carpiti;
  • utilizzo di molteplici meccanismi di esfiltrazione, allo scopo di occultare il trasferimento dei dati all’interno del traffico di rete quotidiano.

Il metodo impiegato per realizzare l’infezione iniziale dei computer-vittima rimane tuttora sconosciuto.

Il singolo utilizzo di metodi del tutto unici, per quel che riguarda i server di controllo, le chiavi di crittografia, e via dicendo, combinato con l’adozione di tecnologie all’avanguardia, riprese da altri attori APT di primaria importanza – rappresenta un elemento di assoluta novità. L’unico modo efficace per poter fronteggiare simili minacce è costituito dall’implementazione di molteplici livelli di sicurezza, con l’impiego di appositi sensori, in grado di monitorare anche la più lieve anomalia che può aver luogo all’interno del normale flusso di lavoro che caratterizza l’organizzazione; tutto questo, ovviamente, deve essere abbinato a specifiche metodologie di threat intelligence, e alla conduzione di tempestive analisi forensi. Potete trovare qui ulteriori elementi riguardo ai metodi disponibili per affrontare minacce informatiche del genere.

ShadowBrokers

Nello scorso mese di agosto, una singola persona, o un gruppo di hacker, che si autodefinisce con l’appellativo di ‘ShadowBrokers’, ha annunciato di essere in possesso di file appartenenti al noto gruppo di cyber-spionaggio denominato Equation. Nella circostanza, sono stati forniti, dalla misteriosa entità, persino i link relativi a due archivi PGP cifrati. Inoltre, è stata resa nota, gratuitamente, la password necessaria per accedere al primo dei due, mentre l’accesso al secondo archivio è stato “messo all’asta”, fissando un prezzo di partenza pari ad 1 milione di BTC (1/15 del volume complessivo dei bitcoin attualmente in circolazione).

Avendo di fatto scoperto il gruppo APT Equation nel mese di febbraio 2015, abbiamo deciso di esaminare, con interesse, il primo archivio. Esso contiene quasi 300 MB di exploit per firewall, strumenti e script, classificati per mezzo di criptonimi quali BANANAUSURPER, BLATSTING e BUZZDIRECTION. La maggior parte dei file risale ad almeno tre anni fa, con entry relative a modifiche apportate nel corso del mese di agosto 2013, e con il timestamp più recente datato ottobre 2013.

mw_q3_it_3

Il gruppo Equation fa ampio uso degli algoritmi di crittografia RC5 e RC6 (tali algoritmi, come è noto, sono stati progettati da Ronald Rivest, rispettivamente nel 1994 e nel 1998). Il “tesoretto” messo a disposizione in forma gratuita da ShadowBrokers comprende 347 diverse istanze di implementazioni relative agli algoritmi RC5 e RC6. Dal punto di vista funzionale, la tipologia di implementazione adottata risulta identica a quella individuata nel malware di cui fa uso Equation, e non è stata rilevata da nessuna altra parte.

mw_q3_it_4

L’evidente similarità del codice ci induce a ritenere che i tool presenti nell’archivio in possesso di ShadowBrokers siano correlati, con un elevato grado di probabilità, al malware utilizzato dal gruppo APT Equation.

Operation Ghoul

Nello scorso mese di giugno, abbiamo rilevato una vera e propria ondata di e-mail di spear-phishing contenenti allegati dannosi. I messaggi di posta in questione, inviati prevalentemente ai dirigenti e al management di più elevato livello, nell’ambito delle numerose organizzazioni prese di mira, sembravano provenire, in apparenza (!), da una banca situata negli Emirati Arabi Uniti. Tali e-mail parevano offrire, a prima vista, specifici servizi di consulenza riguardo alla tematica delle varie forme di pagamento, a nome della banca Emirates NBD, ed includevano, in allegato, un documento SWIFT. L’archivio in causa, in realtà, conteneva del malware. Le ulteriori indagini condotte hanno permesso di appurare che gli attacchi eseguiti nel mese di giugno costituivano, in pratica, l’operazione più recente di un gruppo che i ricercatori stavano monitorando da oltre un anno, soprannominato Operation Ghoul dagli esperti di Kaspersky Lab.

Il gruppo ha attaccato con successo oltre 130 organizzazioni, ubicate in 30 diversi Paesi, tra cui Spagna, Pakistan, Emirati Arabi Uniti, India, Egitto, Regno Unito, Germania ed Arabia Saudita. In base alle informazioni ottenute attraverso le operazioni di sinkhole eseguite su alcuni server C2, è emerso che la maggior parte delle organizzazioni prese di mira opera nel settore industriale e nel campo dell’engineering. Gli altri target sottoposti ad attacco sono riconducibili al settore delle spedizioni, al settore farmaceutico, alla manifattura, al commercio e all’istruzione.

ghoul_it

Il malware dispiegato dal gruppo Operation Ghoul è basato su HawkEye, un tool spyware disponibile in commercio, esplicitamente venduto sul Dark Web. Una volta installato, il malware in causa provvede a raccogliere dati “di particolare interesse” dal computer-vittima, incluso le sequenze dei tasti premuti dall’utente, il contenuto della clipboard, le credenziali dei server FTP, i dati relativi agli account di cui viene fatto uso (custoditi a livello di browser, client di messaggistica istantanea e client di posta elettronica); completano il quadro le informazioni relative alle applicazioni installate. I dati carpiti vengono poi trasmessi ai server C2 predisposti dal gruppo in questione.

L’effettivo scopo della campagna nociva sembra essere rappresentato dal profitto finanziario: tutte le organizzazioni bersagliate, in effetti, custodiscono dati sensibili particolarmente “pregiati”, che possono essere in seguito venduti sul mercato nero.

Il continuo successo ottenuto dal social engineering, in veste di metodo particolarmente efficace per poter mettere inizialmente piede all’interno delle organizzazioni e delle società prese di mira, evidenzia in maniera inequivocabile l’assoluta necessità, per le imprese, di rendere la specifica educazione, e la sensibilizzazione del personale, un elemento centrale per quel che riguarda la strategia da adottare nel campo della sicurezza IT.

Le “storie” di sicurezza IT più significative del trimestre

Lurk

Nel mese di giugno 2016 abbiamo riferito in merito al Trojan bancario Lurk, utilizzato per sottrarre in maniera sistematica consistenti somme di denaro dagli account di varie organizzazioni commerciali ubicate sul territorio della Federazione Russa, tra cui un certo numero di banche. La polizia stima che le perdite finanziarie causate da questo temibile Trojan ammontino a circa 45 milioni di dollari USD.

Durante le ricerche da noi condotte riguardo al Trojan in questione, è emerso in tutta evidenza come le vittime di Lurk avessero ugualmente installato, sul proprio computer, il software di amministrazione remota denominato Ammyy Admin. Sebbene, in un primo momento, non avessimo dato molto peso a tale specifica circostanza, è poi chiaramente risultato come il sito web ufficiale del programma Ammyy Admin fosse stato compromesso, e venisse utilizzato dalla cybergang Lurk come parte di un attacco di tipo watering-hole: in pratica, il Trojan veniva scaricato sui computer-vittima assieme al software legittimo.

mw_q3_it_6

Il dropper presente sul sito di Ammyy Admin ha iniziato a distribuire un Trojan diverso il 1° giugno dell’anno in corso; si trattava, più precisamente, del programma malware denominato ‘Trojan-PSW.Win32.Fareit’: nello stesso giorno venivano arrestati i presunti creatori del Trojan Lurk. Sembra che i responsabili della violazione del sito web dedicato ad Ammyy Admin fossero di fatto ben contenti di vendere il loro Trojan dropper a chiunque volesse distribuire malware attraverso il sito compromesso.

L’utilizzo del suddetto Trojan bancario non si è rivelato essere l’unica attività cybercriminale in cui era coinvolto il gruppo Lurk. In effetti, la gang in questione ha ugualmente sviluppato il famigerato exploit kit denominato Angler, un set di programmi dannosi appositamente progettati per sfruttare le vulnerabilità individuate in software largamente diffusi, allo scopo di installare programmi malware. Originariamente, questo exploit pack era stato sviluppato per assicurare un canale di consegna “affidabile” ed efficace per il malware utilizzato dal gruppo. Tuttavia, nel 2013, il gruppo Lurk ha iniziato ad affittare il temibile kit a chiunque fosse disposto a pagare per esso, probabilmente allo scopo di contribuire, in tal modo, al pagamento delle considerevoli spese connesse sia all’enorme infrastruttura di rete di cui si avvaleva la cybergang in causa, sia, al tempo stesso, all’ampio numero di “dipendenti” gestiti. L’exploit kit Angler è di fatto divenuto uno degli strumenti più potenti disponibili negli ambienti dell’underground cybercriminale. A differenza del Trojan bancario Lurk, focalizzato sulle vittime ubicate in territorio russo, Angler è stato utilizzato da hacker situati in tutto il mondo, compreso i gruppi che si celavano dietro le quinte dei famigerati ransomware CryptXXX e TeslaCrypt, e dell’insidioso Trojan bancario denominato Neverquest (quest’ultimo è stato impiegato nei confronti di circa 100 banche). Le operazioni cybercriminali correlate ad Angler sono state poi interrotte dopo l’arresto dei presunti membri del gruppo Lurk.

Il gruppo era inoltre implicato in ulteriori attività collaterali. Durante un periodo di oltre cinque anni, la suddetta banda di criminali informatici è progressivamente passata dallo sviluppo di malware estremamente potente, per il furto automatizzato di denaro (visto che il software allora utilizzato per i servizi di remote banking non era in grado di impedirlo), ad un sofisticato genere di furto fraudolento basato sullo scambio di SIM card, per divenire infine veri e propri esperti di hacking, specializzati nell’attaccare le infrastrutture interne delle banche.

Kaspersky Lab ha fornito assistenza alla polizia russa nell’ambito delle estese indagini condotte riguardo al gruppo criminale che teneva le fila del pericoloso Trojan Lurk. Gli arresti effettuati hanno segnato il culmine di un’approfondita indagine protrattasi per ben sei anni, condotta dal nostro Computer Incidents Investigation Team. Un dettagliato resoconto delle indagini svolte è disponibile qui.

Ransomware

È ormai difficile che trascorra un intero mese senza che i media riferiscano in merito alla conduzione di temibili attacchi ransomware: un report stilato di recente, ad esempio, ha evidenziato come, nel corso di questi ultimi 12 mesi, siano rimasti vittima del ransomware ben 28 trust (enti autonomi) del servizio sanitario pubblico del Regno Unito (NHS). La maggior parte degli attacchi ransomware è diretta agli utenti consumer; tuttavia, una significativa percentuale di tali attacchi informatici prende di mira il settore corporate (circa il 13%, nel periodo 2015-16). Secondo l’indagine IT Security Risks Survey 2016 condotta da Kaspersky Lab, circa il 42% delle imprese di piccole e medie dimensioni è divenuto vittima del ransomware nei 12 mesi antecedenti al mese di agosto 2016.

In una recente campagna ransomware è stato richiesto, in qualità di riscatto, il pagamento di una cifra piuttosto considerevole: due bitcoin, pari a circa 1.300 dollari USD. Il relativo programma ransomware, denominato Ded Cryptor, cambia innanzitutto lo sfondo presente sullo schermo del computer-vittima, facendo comparire la minacciosa immagine di un Babbo Natale in versione decisamente “malvagia”.

mw_q3_it_7

Il modus operandi di tale programma malware (vale a dire la realizzazione di file criptati, un’immagine che incute spavento, e la relativa richiesta di pagamento del riscatto) non è particolarmente degno di nota; la “storia” che precede tale attacco, invece, appare di sicuro interesse. L’attacco si basa sul codice ransomware open source denominato EDA2, sviluppato da Utku Sen come parte di un esperimento poi fallito. Utku Sen, un esperto di sicurezza IT turco, ha in effetti creato un programma ransomware, ed ha in seguito pubblicato il relativo codice online. Egli, ovviamente, era ben consapevole del fatto che i cybercriminali avrebbero fatto uso del codice sorgente per creare i loro propri cryptor; Utku Sen, tuttavia, sperava che tale circostanza avrebbe poi aiutato i ricercatori operanti nel campo della cybersicurezza a comprendere meglio il modo in cui certi criminali informatici concepiscono e sviluppano il codice dannoso; gli esperti di sicurezza IT avrebbero quindi prodotto i loro sforzi per cercare di bloccare l’avanzata del ransomware in maniera ancor più efficace.

Ded Cryptor, in fondo, non è che uno dei numerosi programmi ransomware “generati” attraverso il codice EDA2. Un altro di tali programmi, comparso di recente sulla scena, è poi Fantom. Si tratta di un malware che si dimostra interessante non per il fatto di essere correlato a EDA2, ma poiché simula una schermata di aggiornamento Windows che, a prima vista, sembra essere del tutto autentica.

mw_q3_it_8

Essa viene visualizzata dall’utente-vittima proprio mentre Fantom, in background, provvede a codificare i file custoditi sul computer sottoposto ad attacco. Il falso programma di aggiornamento viene eseguito in modalità full-screen; esso blocca visivamente l’accesso agli altri programmi, e distrae quindi la vittima da ciò che sta realmente accadendo. Una volta completato il processo di codifica, Fantom mostra all’utente un messaggio decisamente più “tradizionale”.

mw_q3_it_9

Non vi è alcun dubbio che la consapevolezza pubblica stia sensibilmente crescendo, riguardo al problema di sicurezza IT in questione, ma appare bene evidente come gli utenti privati e le organizzazioni stesse non facciano ancora abbastanza per combattere una simile minaccia; i cybercriminali, ovviamente, cercano di capitalizzare al massimo una circostanza del genere: tutto questo si riflette, in maniera palese, nel crescente numero di attacchi ransomware ai quali stiamo assistendo negli ultimi tempi.

È di fondamentale importanza, pertanto, ridurre il proprio livello di “esposizione” al ransomware (abbiamo reso disponibili, a questo proposito, qui e qui, tutta una serie di importanti consigli e raccomandazioni riguardanti le misure di sicurezza che si possono adottare in materia). Naturalmente, non esiste il concetto di “sicurezza al 100%”; è tuttavia necessario mitigare nel miglior modo possibile l’effettivo rischio esistente. In particolare, si rivela essenziale disporre della copia di backup dei propri dati, per evitare di doversi trovare in una situazione davvero spiacevole, in cui le uniche scelte possibili sono quella di pagare il riscatto richiesto dai cybercriminali o, in alternativa, quella di perdere, inevitabilmente, preziosi dati. Non è mai consigliabile procedere al pagamento del riscatto.

Se vi trovate nella situazione in cui i vostri file sono stati cifrati, e non disponete della relativa copia di backup, chiedete innanzitutto al vostro vendor anti-malware se esso ha la possibilità di aiutarvi, e controllate, inoltre, il sito web dedicato all’iniziativa No More Ransom, per vedere se esso è provvisto delle chiavi necessarie per decodificare i vostri dati. Si tratta di un’iniziativa congiunta messa in atto dalla National High Tech Crime Unit (NHTCU) allestita dalla cyberpolizia olandese, dallo European Cybercrime Centre (EC3) di Europol, da Kaspersky Lab ed Intel Security – appositamente realizzata per aiutare le vittime del ransomware a recuperare i propri file criptati, senza dover pagare alcun riscatto in denaro ai cybercriminali.

In una recente sessione del genere “Chiedi all’esperto“, Jornt van der Wiel – esperto di sicurezza IT, ransomware e crittografia, facente parte del Global Research and Analysis Team (GReAT) di Kaspersky Lab – ha fornito indicazioni particolarmente utili, per ciò che riguarda la preoccupante piaga del ransomware.

Fughe di dati

Le informazioni personali rappresentano un bene prezioso; non possiamo pertanto meravigliarci del fatto che i cybercriminali prendano spesso di mira i provider di servizi online, cercando di escogitare il modo di realizzare il furto in massa di dati, nel corso di un singolo attacco. Ci siamo purtroppo abituati, in questi ultimi tempi, ad un flusso continuo di notizie relative ad incidenti di sicurezza IT caratterizzati da eclatanti fughe di dati, puntualmente riportate dai mass media. Il trimestre qui analizzato non ha rappresentato di certo un’eccezione, in tal senso, visto che nel periodo oggetto del presente report si sono verificate importanti fughe di dati, riguardanti il forum ufficiale di DotA 2, Yahoo, ed altre risorse ancora.

Alcuni di tali attacchi hanno comportato il furto di enormi quantità di dati, evidenziando, oltretutto, come molte società, enti ed istituzioni non adottino misure di sicurezza adeguate per proteggersi nei confronti del cybercrimine. Qualsiasi organizzazione che custodisca dati di natura personale è tenuta a proteggere gli stessi in maniera efficace. Questo può essere effettuato, in primo luogo, attraverso apposite procedure di hashing e salting delle password dei clienti, così come tramite la cifratura degli altri dati sensibili.

Dall’altro lato, gli utenti stessi possono contribuire in maniera considerevole a limitare i danni derivanti da una fuga di dati confidenziali, subita da un provider di servizi online, scegliendo password univoche e complesse: la password ideale è in effetti composta da almeno 15 caratteri, e comprende un insieme di lettere, numeri e simboli ricavati sfruttando tutta la tastiera. In alternativa, gli utenti possono ricorrere all’utilizzo di una speciale applicazione per la gestione delle password, la quale permette, di fatto, di eseguire tutto questo in maniera automatica.

È ugualmente una buona idea ricorrere all’utilizzo degli appositi sistemi di autenticazione a due fattori, nel caso in cui il fornitore di servizi online metta a disposizione dei propri utenti tale funzionalità di sicurezza – tramite la quale, per poter accedere ad un determinato sito web, oppure per apportare modifiche alle impostazioni del proprio account, viene richiesto, al cliente, di inserire un codice di sicurezza generato da un token hardware, oppure di introdurre un codice segreto appositamente trasmesso ad un dispositivo mobile.

Dato il forte impatto che può potenzialmente produrre un’ingente fuga di dati, non costituisce motivo di particolare sorpresa il fatto che le autorità di regolamentazione dedichino, attualmente, attenzioni sempre maggiori alla delicata questione. L’ICO (Information Commissioner’s Office) – organismo indipendente preposto, nell’ambito del Regno Unito, a promuovere l’accesso alle informazioni ufficiali e a proteggere, al tempo stesso, le informazioni di natura personale – ha di recente comminato una multa record di 400.000 sterline a TalkTalk, motivata dalla “mancata implementazione – da parte della società di telecomunicazioni – delle più elementari misure di cybersicurezza”, in relazione all’attacco subito da tale compagnia nel mese di ottobre 2015. Secondo il punto di vista dell’ICO, la multa record “agisce in qualità di avvertimento per tutti gli altri, visto che la cybersicurezza non è una questione che si limita esclusivamente all’ambito informatico, ma rappresenta un serio problema che debbono affrontare gli amministratori di ogni impresa”.

Il Regolamento Generale sulla Protezione dei Dati (GDPR, General Data Protection Regulation), adottato nell’aprile scorso dalla Commissione Europea, e che entrerà in vigore nel mese di maggio 2018, richiederà di fatto, alle aziende, di notificare all’apposita autorità di regolamentazione le fughe di dati subite; tale provvedimento contempla, tra l’altro, l’applicazione di considerevoli sanzioni, in caso di mancata protezione dei dati personali. Cliccando sul presente link è possibile consultare una descrizione sintetica di tale regolamento.

Abbiamo infine dedicato un’interessante retrospettiva al profondo impatto provocato dall’enorme violazione di dati subita da Ashley Madison, a quasi un anno di distanza dall’attacco hacker che ha generato l’eclatante fuga di dati personali relativi agli utenti del noto sito di “incontri”; nell’occasione, abbiamo offerto alcuni buoni consigli e suggerimenti, in termini di sicurezza IT, a chiunque desideri “cercare l’amore online” (le raccomandazioni fornite sono ugualmente valide per poter gestire al meglio qualsiasi account online).

Related Articles

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *