Violazioni GDPR: le linee guida sulle sanzioni

di Gianni Dell’Aiuto | Avvocato | Accademia Italiana Privacy

Il regolamento Europeo 679/2016 che ha riformato a livello sovranazionale il sistema di trattamento dei dati personali, ha anche previsto norme rafforzative per i poteri deputati a far rispettare la nuova disciplina. Titolari e responsabili del trattamento hanno maggiori responsabilità che non nel previgente sistema in quanto soggetti demandati alla materiale tutela dei diritti degli interessati che, anche ai fini interpretativi e di comprensione, sono la figura al centro del sistema GDPR. Hanno inoltre un ruolo centrale anche le pesanti sanzioni che possono essere emesse dalle autorità di controllo, cui spettano anche le misure di cui all’art. 58 (richieste di informazioni, potere di indagine, misure interdittive e, addirittura limiti e perfino il divieto di svolgere attività di trattamento).

Consapevole della delicatezza e dell’importanza del ruolo che andranno a svolgere gli organi di vigilanza, il Gruppo dell’art. 29 (organismo consultivo ormai disciolto, composto da rappresentanti delle autorità nazionali) ha predisposto, nell’Ottobre 2017, le linee guida che dovranno essere seguite proprio nell’emissione delle sanzioni.

Il documento programamtico del Gruppo 29

Xopero estende e migliora la tecnologia di disaster recovery

Recentemente sono stati rilasciati due update per le soluzioni di backup in locale di Xopero: stiamo parlando di Xopero Backup&Restore e Xopero QNAP Appliance. Entrambi fanno seguito a studi approfonditi rispetto a come migliorare l'efficienza ed efficacia del piano di disaster recovery. Il risultato di questo lavoro di approfondimento è stato lo Xopero Image Tool, un applicazione stand-alone che consente una rapida conversione delle immagini in qualsiasi altro formato supportato da popolari hypervisor come Hyper-V, VMware, Virtualbox e KVM.

Contemporaneamente il team di Xopero ha anche lavorato per espandere la tecnologia core RD - Smart Recovery -  per la soluzione Xopero Backup&Restore. 

Vediamo i dettagli di questi update....

Xopero Backup&Restore: disaster recovery

Le sanzioni amministrative ai sensi del GDPR

di Gianni Dell’Aiuto | Avvocato | Accademia Italiana Privacy 

Anche in pubblicazioni di carattere specialistico, è facile leggere che le sanzioni erogate dal Garante per la protezione dei dati personali, sono la conseguenza di una violazione della Privacy. Dobbiamo essere precisi quasi al punto della pignoleria: la violazione della privacy è un’illecita intromissione o interferenza nella sfera privata di una persona e trova le sue sanzioni nella possibilità di chiedere il risarcimento del danno e, nei casi più gravi, l’applicazione dell’art. 612 bis Codice Penale, che punisce gli atti persecutori: il cosiddetto stalking. Quelle che erroneamente vengono definite sanzioni per violazione della privacy ai sensi del GDPR, sono in realtà le conseguenze di una violazione dei doveri derivanti dal trattamento dati personali.

Ferme restando le sanzioni penali nelle ipotesi disciplinate dalle normative nazionali e la possibilità per chiunque abbia subito danni da una gestione non corretta dei dati personali di agire in sede civile, la normativa europea prevede pesanti sanzioni amministrative che si trovano già nei “considerata” iniziali nei quali si specifica come queste misure abbiamo una loro ragione anche per garantire una tutela dati cogente e uniforme nell’intera Unione. In tal senso, al punto 129, si prevede anche che le autorità di controllo dovrebbero (ma forse è più opportuno leggerlo “devono”) avere gli stessi compiti e poteri effettivi sia in attività istruttoria a seguito di segnalazioni, sia nell’erogazione delle sanzioni; tutto meglio indicato nell’art. 58.

L'exploit kit Magnitude sceglie il ransomware GandCrab

Di GandCrab ne abbiamo già diffusamente parlato (rimandiamo qui alla relativa pagina nella nostra Galleria dei Ransomware): si sta diffondendo in lungo e in largo attraverso campagne di spam talvolta massive talvolta più mirate, schemi di ingegneria sociale e campagne di exploit kit. Qualche giorno fa alcuni ricercatori hanno scoperto che Magnitude EK, exploit kit notoriamente "fedele" alla distribuzione di Magniber (ritenuto il successo di Cerber, assunse appunto il posto di Cerber nella distribuzione di Magnitude EK. Leggi qui), è passato alla distribuzione di GanCrab, abbandonando appunto il ransomware Magniber. Magniber infatti è stato sconfitto pochissimi giorni dopo l'avvio della distribuzione, con la pubblicazione di un tool gratuito per la decriptazione.  

La distribuzione di Magnitude EK rimane principalmente localizzata in Corea, ma i ricercatori sono riusciti a infettare una versione inglese di Windows senza troppi intoppi, segno che Magnitude EK può colpire senza alcun problema in larghe parti del mondo. 

Magnitude utilizza ora anche una tecnica fileless (cioè senza salvare alcun file nella memoria locale della macchina bersaglio) per caricare il payload del ransomware: una tecnica di elusione dei controlli antivirus ormai piuttosto diffusa ed efficace, dato che rende molto più difficile l'identificazione della minaccia, ma una novità per quanto riguarda questo exploit kit.

Il Payload

Hacker pubblica su Twitter una grave vulnerabilità zero-day di Windows

Un ricercatore di sicurezza, corrispondente al profilo Twitter SandboxEscaper, ha rilasciato ieri un nuovo proof-of-concept di exploit per una grave e sconosciuta vulnerabilità 0-day di Windows. Sandbox Escaper non è nuovo a tali fatti: due mesi fa pubblicò un exploit 0-day per il Task Scheduler di Windows. 

La nuova vulnerabilità risiede nel Microsoft Data Sharing (dssvc.dll) e consente ad un attaccante di aumentare i privilegi sulla macchina bersaglio. Il Microsoft Data Sharing è un servizio locale che viene eseguito come account LocalSystem con ampi privilegi e consente il data brokering tra le applicazioni. Questa vulnerabilità consente ad un attaccante con ridotti privilegi di elevarne il numero sul sistema bersaglio attraverso un codice exploit.  Il codice di exploit (deletebug.exe) pubblicato dal ricercatore ha funzioni limitate: consente solo a utenti con bassi livelli di autorizzazione di eliminare file di sistema critici. 

Osservazioni sui reati nel GDPR

di Gianni Dell’Aiuto | Avvocato | Accademia Italiana Privacy 

Il GDPR, il Regolamento Europeo in materia di trattamento dati personali prevede espressamente al n. 149 delle premesse, la possibilità per ogni singolo Stato di stabilire sanzioni penali per le violazioni delle disposizioni in esso contenute, ribadendo così la riserva degli Stati membri in detta materia. Si riporta l’articolo nella sua interezza nella traduzione in italiano sulla quale, peraltro, si avanzano alcune perplessità in quanto il condizionale che si trova nel testo, si ritiene avrebbe dovuto essere inteso, nel senso e nello spirito della norma, come un dovere per ogni Stato e non una mera possibilità.

• Gli Stati membri dovrebbero poter stabilire disposizioni relative a sanzioni penali per violazioni del presente regolamento, comprese violazioni di norme nazionali adottate in virtù ed entro i limiti del presente regolamento. Tali sanzioni penali possono altresì autorizzare la sottrazione dei profitti ottenuti attraverso violazioni del presente regolamento. Tuttavia, l'imposizione di sanzioni penali per violazioni di tali norme nazionali e di sanzioni amministrative non dovrebbe essere in contrasto con il principio del ne bis in idem quale interpretato dalla Corte di giustizia.

Ransomware: qualche aggiornamento sugli ultimi giorni. Dharma e Scarab tornano alla carica

La scorsa settimana (e sopratutto nel fine settimana), sono state messe in diffusione nuove versioni di ransomware che già ben conosciamo, ma che sono costantemente in aggiornamento/rifacimento: nel dettaglio stiamo parlando dei ransomware Dharma e Scarab.

Dharma Ransomware:

Galleria dei Ransomware >> vedi qui tutti i ransomware della famiglia

La nuova versione in diffusione cripta i file secondo lo stesso meccanismo delle precedenti versioni: modifica poi l'estensione dei file criptati in .[mixon.constantine@aol.com].gamma. La nota di riscatto, rilasciata sia informato .html che .txt, si chiama "all your data has been locked us You want to return?" e contiene due email tramite le quali contattare gli attaccanti e ottenere le informazioni necessarie a pagare il riscatto.  

Il Data breach che non ti aspetti: Facebook alla prova del GDPR

 

di Accademia Italiana Privacy

Il mese scorso Facebook ha annunciato la peggiore violazione di sicurezza mai subita, che ha consentito ad un gruppo di sconosciuti cyber attaccanti di rubare i token di accesso per milioni di account: l'attacco poggia su una vulnerabilità nella funzione "Vedi come". Al momento della prima divulgazione, Facebook stimava in circa 50 milioni gli utenti potenzialmente riguardati da questo attacco: un nuovo aggiornamento, pubblicato due giorni fa, ha ridotto le potenziali vittime a circa 30 milioni. Tra questi 30 milioni, 29 sono gli account tramite i quali gli attaccanti sono entrati con successo in possesso di dati personali: Facebook ha però assicurato che i cyber criminali non sono riusciti ad accedere a dati di app di terze parti. 

La classificazione dei dati rubati

[AccademiaItalianaPrivacy] GDPR e avvocati. Un breve memo

di Gianni Dell’Aiuto | Avvocato | Accademia Italiana Privacy

Premessa: il GDPR deve trovare applicazione anche negli studi legali e l’avvocato è Titolare del Trattamento: su questo sussistono pochi dubbi. L’avvocato, come del resto ogni altra azienda o ente, maneggia ogni giorno dati personali sensibili che riceve direttamente dai propri clienti al momento del conferimento dell’incarico, sia da terzi sia attingendoli direttamente presso gli uffici giudiziari. Si pensi al penalista che estrae copia dei risultati di un’indagine che contiene i riferimenti di coimputati, testimoni, vittime, intercettazioni, documenti e altro. Si noti che questi ultimi dati, a differenza di quelli ricevuti dal cliente che li fornisce per l’espletamento del mandato, vengono acquisiti dall’avvocato per una corretta esecuzione dello stesso in forza di una normativa che glielo permette.

Intuitivo come la perdita possa avere conseguenze non indifferenti in caso arrivassero non solo agli organi di stampa ma, ad esempio, usati da qualche hacker per un’estorsione. Allo stesso modo qualcuno potrebbe entrare nei computer di un avvocato che si occupa di divorzi e venire a conoscenza di tradimenti o altre vicende private dei coniugi.

Quali cautele devono essere poste in essere? 

Nuove tecniche di exploit per bypassare i controlli degli antivirus: campagna in corso in Europa!

E' in corso attualmente una campagna malware finalizzata alla diffusione dell'info stealer Agent Tesla (e non solo): la particolarità di questa campagna è che i cyber criminali hanno modificato una catena di exploit conosciuti per diffondere il malware senza attivare il rilevamento dei prodotti antivirus comuni.  

Il gruppo dietro a questa campagna, attualmente non individuato, ha organizzato una precisa infrastruttura per diffondere più famiglie di malware tramite due exploit pubblici per le vulnerabilità di Microsoft Word CVE-2017-0199 e CVE-2017-11882. 

Secondo gli analisti di Cisco Talos, la campagna è finalizzata alla diffusione di tre differenti payload: Agent Tesla, Loki e Gamarue. Tutti e tre sono capaci di sottrarre informazioni, ma solo Loki non ha funzionalità di accesso remoto.

Che cosa fanno questi malware?

Ransomware Gandcrab: risolvibile la versione 5. Nuova versione in diffusione

Il ransomware GandCrab sembra essere uno strumento sul quale i cyber criminali stanno investendo. Siamo ormai alla 5° versione in diffusione, senza considerare quelle di test: alcune sono risolvibili, altre no.

Versioni

v.1 .GDCB --> risolvibile

v.2 .crab --> non risolvibile

v.3 .crab --> non risolvibile

v.4 .krab --> non risolvibile

v.5  .[4 caratteri casuali] --> risolvibile

In caso di infezione da ransomware GandCrab, scriveteci alla mail alessandro@nwkcloud.it inviando due file criptati e la richiesta di riscatto. I nostri tecnici provvederanno ad analisi del tipo di infezione e potranno indicarvi una soluzione, se disponibile. Altrimenti i vostri file verranno "archiviati" e sarete ricontattati quando sarà disponibile un tool di decriptazione. Ulteriori info su www.decryptolocker.it

La versione 5 di GandCrab: evoluzione di un ransomware insidioso

Come si sa, il Ransomware GandCrab ha fatto la sua comparsa nel Gennaio di quest'anno, poi ha subito una serie rapida e ravvicinata di aggiornamenti, fino alla versione 5.0.2 apparsa lo scorso mese. Ad oggi è in diffusione la versione 5.0.3.

CoinMiner usa un nuovo trucco per camuffarsi da Installer di Adobe Flash Player

E' in corso una nuova, capillare, campagna di diffusione di miner di criptovaluta: il miner in questa campagna viene diffuso tramite un installer fake di Adobe Flash Player. Ora, se questa non è affatto una novità, la particolarità di questa campagna sta nel fatto che fa di tutto per apparire davvero legittima: non si limita infatti ad installare il miner, ma aggiorna anche realmente Flash Player. 

Come detto, gli installer di Flash Player con miner non sono affatto nuovi, ma nel passato si limitavano esclusivamente a installare il miner quindi aprire il browser al sito web di Adobe Flash Player. In questa nuova campagna malware, individuata dalla Palo Alto Unit 42, questo trojan che si spaccia per l'installer Flash Player, non solo installa il miner XMRig, ma aggiorna automaticamente la versione di Flash Player installata sul sistema bersaglio. E' il trojan stesso a scaricare l'update legittimo dal sito web di Adobe. 

Google+ chiude i battenti: una vulnerabilità ha esposto i dati di oltre 500.000 utenti. Nuove policy privacy in arrivo

di  Accademia Italiana Privacy

Google+ ha all'incirca 7 anni, trascorsi senza troppa gloria raggiungendo la punta massima di 100 milioni di iscritti. Ora Google+ ha deciso di abbandonare l'arena dei social network: lo ha fatto sapere l'azienda stessa. Il comunicato è molto lungo, ma da due notizie principali: la prima è appunto la chiusura di Google+. Non è dato sapere ancora se sia una chiusura definitiva oppure se, al contrario, è solo un passaggio verso un nuovo social targato Google. Il motivo è un da legarsi ad un problema nella gestione dei dati. 

Sotto accusa finiscono le API usate per le applicazioni di terze parti, che hanno permesso agli sviluppatori di ottenere alle quali però non avrebbero dovuto avere accesso. Insomma, stiamo parlando di un vero e proprio data leak che ha colpito circa 500.000 utenti Google+, i cui dati sono finiti nelle mani dei gestori di app di terze parti che non hanno però alcun titolo per trattarli.  

La protezione Ransomware di Windows 10 è bypassabile con una DLL injection

In Windows 10 Microsoft ha aggiunto una nuova funzione di protezione anti ransomware chiamata "Accesso Controllato Cartelle", che può essere usata per impedire modifiche da parte di programmi sconosciuti su file contenuti in cartelle protette. La scorsa settimana però, nell'ambito della conferenza sulla sicurezza informatica DerbyCON, un ricercatore di sicurezza ha mostrato come in realtà questo livello di protezione possa (abbastanza facilmente) essere bypassato da un ransomware grazie ad una DLL injection. 

Come funziona?

La funzione di Accesso Controllato Cartelle consente agli utenti di usufruire di una cartella protetta nella quale è possibile modificare i file contenuti solo ed esclusivamente da parte di programmi specificati chiaramente in una whitelist di software e applicativi: alcuni software consentiti sono previsti di default da Windows, ma l'utente ha la possibilità di aggiungere, eliminare, modificare i software contenuti in questa lista. 

[AccademiaItalianaPrivacy] Il registro dei trattamenti

di Gianni Dell’Aiuto | Avvocato | Accademia Italiana Privacy

L’articolo 30 del GDPR, il Regolamento Europeo in materia dati personali che ha modificato profondamente la legge 196/2003 e l’intero sistema della privacy per aziende e organizzazioni, prevede espressamente la tenuta dei registri dei trattamenti. Viene infatti stabilito che, al fine di dimostrare la corretta applicazione del Regolamento, e delle leggi nazionali attuative, il titolare del trattamento o il responsabile se nominato, debbano tenere sotto la sua/loro responsabilità un registro delle attività di trattamento. Si tratta anche di un indice di corretta gestione che potrà essere valutato non solo ai fini di applicazione della normativa, ma nell’ipotesi, non certo improbabile, che l’adeguamento al GDPR venga inserito tra i requisiti essenziali per partecipare ad appalti pubblici. L’articolo 30 del Regolamento trova fondamento già nelle premesse: in particolare al n. 60 nel quale, con una traduzione non certo impeccabile, si indica come obbligatoria la tenuta dei registri delle attività di trattamento che dovranno essere messi a disposizione delle Autorità di controllo ai fini del monitoraggio.

In ogni caso una corretta tenuta del registro appare opportuna anche ai fini dell’analisi del rischio e alla pianificazione dei trattamenti, vale a dire nel rispetto della linea di condotta da tenere in base al principio dell’accountability, cioè il principio che è alla base del GDPR. La corretta tenuta di tali libri sarà uno strumento utile per dimostrare, in caso di ispezioni, di essere conforme nel trattamento dati personali.