mercoledì 28 febbraio 2018

Il Cyber crimine quanti danni fa?

Il “salto quantico” del cybercrime: danni per 500 mld nel 2017


Il “salto quantico” del cybercrime: danni per 500 mld nel 2017


Negli ultimi sette anni il numero di offensive informatiche è aumentato del 240%. Nel corso del 2017 sono stati registrati oltre 1.120 attacchi gravi, oltre 180 miliardi di dollari di costi per gli utenti. L’anticipazione del rapporto Clusit 2018
Il cybercrime ha compiuto un “salto quantico” nel 2017, colpendo oltre un miliardo di persone in tutto il mondo e generando danni complessivi per 500 miliardi di dollari con oltre 1.120 attacchi gravi. Dal 2011 a oggi, il volume delle offensive è cresciuto del 240% con un aumento del 7% nel corso degli ultimi 12 mesi. E a preoccupare è soprattutto il “cambiamento di fase” nel livello di cyber-insicurezza globale, con interferenze pesanti nella geopolitica, nella finanza e nella vita dei privati cittadini che sono stati vittime di crimini estorsivi su larghissima scala.

Non ci vuole molto a definire allarmante come mai è stato prima il rapporto 2018 del Clusit, l’Associazione italiana per la sicurezza informatica che annovera tra i soci oltre 500 aziende e organizzazioni e che collabora a livello nazionale con ministeri, authority, istituzioni, Polizia Postale e altri organismi di controllo. L’avanzata qualitativa e quantitativa del crimine informatico non è certo una novità, ma siamo sempre più in presenza di un fenomeno dagli impatti devastanti. Lo scorso anno l’insieme di truffeestorsionifurti di denaro e di dati personali ha colpito circa un miliardo di persone sparse nel mondo, causando ai singoli utenti una perdita stimata in 180 miliardi di dollari (il 36% dei danni totali).

«Il 2017 è stato l’anno del trionfo del malware, degli attacchi industrializzati realizzati su scala planetaria contro bersagli multipli e della definitiva discesa in campo degli Stati come attori di minaccia – sintetizza Andrea Zapparoli Manzonimembro del Comitato Direttivo Clusit - La situazione che emerge dalla nostra analisi è molto preoccupante, perché questo scenario prefigura concretamente l’eventualità di attacchi con impatti sistemici molto gravi». Il rapporto, che sarà presentato al pubblico il prossimo 13 marzo in apertura della decima edizione di Security Summit, piazza il cybercrime vero e proprio, cioè quello finalizzato a sottrarre informazioni, denaro, o entrambi, in cima alla classifica degli attacchi gravi a livello mondiale (76% degli attacchi complessivi, in crescita del 14% rispetto al 2016).

Non va meglio sugli altri fronti. Sono infatti in netto aumento rispetto allo scorso anno gli attacchi sferrati con finalità di “information warfare”, la cosiddetta guerra delle informazioni che segna un aumento del 24%, e lo spionaggio cyber, con finalità geopolitiche o di tipo industriale a cui va tra l’altro ricondotto il furto di proprietà intellettuale, che cresce del 46%. Ed è qui che si nascondono i problemi maggiori in ottica futura. «Pur essendo ancora la prima causa di attacco a livello globale e rappresentando un problema enorme, il cybercrime è diventato ormai l’ultimo dei nostri problemi in ambito cibernetico dal punto di vista della sua pericolosità intrinseca – sottolinea Manzoni - Oggi ci troviamo infatti a fronteggiare problemi ben peggiori». Una novità emersa dalla nuova edizione del rapporto riguarda la tipologia e la distribuzione delle vittime, con la categoria degli “obiettivi multipli” che risulta la più colpita: rispetto al 2016 si evidenzia un incremento a tre cifre, pari al 353%, a conferma del fatto che nessuno può ritenersi escluso dall’essere un obiettivo e che gli attaccanti sono sempre più aggressivi.

Dal punto di vista strettamente settoriale, si segnala la crescita degli attacchi nei settori Research / Education (+29%), Software / Hardware Vendors (+21%), Banking & Finance (+11%) e Healthcare (+10%). Mentre scendendo nel dettaglio relativo al nostro Paese, si stimano in Italia danni da attività di cyber crimine per quasi 10 miliardi di euro. Un valore dieci volte superiore a quello degli attuali investimenti in sicurezza informatica, che arrivano oggi a sfiorare il miliardo di euro. «Gli investimenti in sicurezza informatica nel nostro Paese sono ancora largamente insufficienti e ciò rischia di erodere i benefici attesi dal processo di digitalizzazione della nostra società. Alla vigilia delle elezioni – mette in luce Manzoni - riscontriamo che il dibattito politico in Italia sta dando risposte inadeguate al tema della sicurezza cyber, fondamentale per lo sviluppo e il benessere dei suoi cittadini, nonché per la credibilità e la competitività del nostro Paese sul piano internazionale». In questo scenario si inquadra il filo rosso dell’anno in corso: il nuovo regolamento europeo per la protezione dei dati personali (Gdpr). La compliance, concludono gli esperti, richiederà necessariamente un approccio multidisciplinare in tema di sicurezza delle informazioni, uno dei princìpi a cui il trattamento dei dati personali deve attenersi.

(da Repubblica 28 febbraio 2018)

Io farei un appunto però, la sicurezza è data da strumenti validi di controllo, uno Stato può dare uno strumento valido per dare più sicurezza, ho dei forti dubbi, solo il settore privato può farlo a discapito della libertà dei cittadini. Ed in questo credo che Microsoft, Google e Apple sono già esperti, in quanto limitatori delle libertà in nome dell'uso dei loro prodotti, la sanno lunga... però loro sono le prime vittime, dato che tutti gli attacchi informatici passano bene o male attraverso falle dei loro Sistemi Operativi.

Cosa può fare lo Stato contro il cyber crimine, quasi nulla, se non combatterlo come fa già ora, come una qualsiasi organizzazione criminale. Si può prevenire un cyber-attacco, solo studiando i lavori degli hacker, con lo stesso sistema che credo si usi per scoprire attacchi terroristici prima che avvengano. Quante possibilità? pochissime.

Le truffe sono sempre esistite, che siano le tre carte o le cyber frodi non cambia molto.

mercoledì 21 febbraio 2018

Google scopre vulnerabilità di Windows 10

Windows 10, Google scopre due falle di sicurezza non critiche

21 Febbraio 201







Due falle di sicurezza su Windows 10 sono emerse negli ultimi giorni: una, il cui rischio è definito "alto", riguarda il sistema operativo vero e proprio, l'altra, a rischio "medio", interessa il browser internet Edge. Entrambe sono state scoperte dal team di ricercatori di Google noto come Project Zero; i dettagli sono stati pubblicati online perché Microsoft non è riuscita a correggerle entro 90 giorni (più estensione di 14 su richiesta di Microsoft) da quando ne è stata informata.
La vulnerabilità di Windows 10 è stata notificata a Microsoft il 10 novembre. È stata verificata solo su Windows 10 1709 "Fall Creators Update", mentre per ora non ci sono conferme sulle precedenti versioni. È un attacco di tipo privilege escalation, in cui un utente normale riesce ad ottenere in modo illecito i permessi da utente amministratore. Sfrutta un errore nella RPC SvcMoveFileInheritSecurity che permette di assegnare arbitrariamente un descrittore di sicurezza a un file specificato. Il rischio è classificato "alto", ma non "critico" perché è necessario l'accesso fisico al sistema per infettarlo. Una correzione era stata rilasciata con il Patch Tuesday di febbraio, ma Google ha verificato che non era efficace.
La vulnerabilità di Edge è invece stata notificata a Microsoft il 17 novembre. Riguarda alcune modifiche apportate al motore di rendering in occasione di Windows 10 1703 "Creators Update". L'obiettivo era diminuire l'esecuzione di codice arbitrario, ma Google ha dimostrato che è relativamente facile aggirarlo. I dettagli della questione sono molto tecnici, chi fosse interessato può approfondire QUI. Microsoft ha già dichiarato che correggerà la falla con il Patch Tuesday di marzo.
(https://windows.hdblog.it/2018/02/21/windows-10-falle-edge-1709-google-project-zero/?utm_source=dlvr.it&utm_medium=gplus)

Intel premia chi trova nuove falle

Falla nei processori, Intel premia chi trova nuove vulnerabilità

Il colosso informatico di Sant Clara assicura ricompense fino a 250mila dollari per gli hacker etici
Falla nei processori, Intel premia chi trova nuove vulnerabilità

ROMA - Un premio in denaro a chi troverà vulnerabilità nei suoi processori. A lanciare il concorso è Intel, poche settimane fa nella bufera per la scoperta dei bug Spectre e Meltdown che hanno costretto diversi big della tecnologia a rilasciare subito aggiornamenti per difendere i dispositivi degli utenti. La ricompensa della multinazionale americana agli hacker etici che l'aiuteranno a trovare falle nella sicurezza, può arrivare fino a 250mila dollari. "Queste iniziative permettono di coinvolgere maggiormente la comunità che si occupa di ricerca nell'ambito della sicurezza, fornendo incentivi maggiori ma anche maggiori protezioni per i nostri clienti e i loro dati", dice Rick Echevarria di Intel.

Concorsi di questo tipo si chiamano 'bounty hunting' e sono abbastanza frequenti nel mondo della tecnologia, anche Facebook e Google li lanciano periodicamente e ricompensano chi trova falle nelle loro piattaforme. A volte però questi concorsi possono essere non facili da organizzare per aziende più piccole. Per questo negli Stati Uniti è nata una sorta di accordo tra un gruppo di hacker etici che si chiama HackerOne e la società di cyber-assicurazione Coalition. Le aziende che aderiscono a questo programma e quindi incoraggiano a trovare vulnerabilità sulla sicurezza, hanno tariffe agevolate sulle assicurazioni che interessano la sfera digitale.


(repubblica 19.02.2018)