Scuola: tutti i rischi connessi all'accesso ad Internet e come affrontarli

Una scuola iper connessa gode di grandissimi vantaggi in termini di funzionalità e servizi, ma, ovviamente, si espone a rischi informatici. Proviamo ad entrare, passaggio per passaggio, nella giusta ottica, percorrendo quello che dovrebbe essere il percorso che porta a scegliere come organizzare la sicurezza informatica. 

I rischi informatici sono migliaia, ma sono riassumibili in due tipologie: esterni e interni, a seconda della provenienza della minaccia. Da questo punto di vista è utile ricordare che molto spesso i peggiori e più dannosi attacchi provengono dall'interno e non dall'esterno, compiuti ad opera di soggetti che conoscono la struttura della rete e dei servizi scolastici perchè hanno o hanno avuto accesso ai sistemi di elaborazione per le funzioni che hanno ricoperto. 

Rischi esterni:

- Accessi non autorizzati: se la rete interna non è correttamente protetta, un cyber attaccante esterno potrebbe accedervi in maniera non autorizzata, esponendo sia gli endpoint collegati che i dati in essi contenuti. I dati potrebbero essere manomessi o sottratti.

Apocalisse Twitter: bucati centinaia di account verificati VIPS per diffondere una truffa

C'è chi già parla del più grave attacco hacker nella storia del social: per raccontare i crudi fatti , centinaia di profili Twitter verificati, tra i quali quelli di molti VIP come Barack Obama, Elon Musk, Bill Gates, Jeff Bezos ma anche aziende come Apple, Uber e Coinbase hanno iniziato a pubblicare tweet riguardanti una truffa su scala globale. 

I tweet erano tutti simili, con pochissime varianti tra loro: uno schema già usato in precedenza che si chiama Give Away. L'attaccante utilizza varie tecniche di ingegneria sociale per convincere i possessori di criptovaluta a inviare una certa quantità di denaro per poterne ricevere in cambio una quantità maggiore offerta da una celebrità. Questo piccolo anticipo viene giustificato dal fatto che occorre una prima transazione da parte dell'utente per poter verificare l'indirizzo del suo portafoglio. Se un utente si convince ed esegue questa transazione non potrà fare nulla per recuperare quanto inviato, poichè le transazioni in criptovaluta sono irreversibili.

E' con questo schema che gli attaccanti hanno raccolto 120.000 dollari in pochissime ore, finchè cioè la truffa è stata attiva. Va detto che la maggior parte delle transazioni sono equivalenti ad 1 dollaro, inviati evidentemente per test, ma la somma totale raccolta rende ancora più chiaro in quanti ci sono caduti: 350 milioni le persone che hanno visualizzato o ricevuto il messaggio fake. 

Il tweet usato in questo schema è visibile sotto, questa la traduzione “Mi sento generoso, raddoppio tutti i pagamenti inviati al mio indirizzo BTC. Voi mi mandate 1.000 dollari e io ve ne mando indietro 2.000! Lo faccio solo per i prossimi 30 minuti“

Ancora PEC compromesse: il malware sLoad diffuso contro utenti italiani

Il CERT-AgID ha individuato online una nuova massiva campagna di email di spam che vede come canale di distribuzione il circuito PEC. La campagna è terminata, è durata dalla tarda serata di Domenica 12 Luglio alle 2.40 del giorno successivo. 

L'email è un classico della truffa e dell'ingegneria sociale: l'oggetto è "Invio documenti elettronici" e il testo fa riferimento ad una fantomatica fattura. 

Secondo i dati in possesso di Cert-AgID le vittime sono tutte utenti PEC che hanno ricevuto sulla posta certificata questi messaggi: le email contengono un archivio .ZIP contenente a sua volta un file VBS e un file XML. 

La catena di infezione

Anche i cyber criminali sbagliano: TrickBot avvisa gli utenti dell'infezione e si fa scoprire

Per i cyber attaccanti è fondamentale che i malware restino più a lungo possibile non individuati una volta che infettano una macchina. Sono studiate e messe in pratica centinaia di differenti tecniche per ottenere i privilegi di amministrazione senza che un utente se ne accorga, per offuscare il codice del malware lasciando nascoste agli antivirus le porzioni di codice dannoso ecc...  Un malware che avvisa un utente di averlo infettato, a meno che non si tratti di un ransomware che manifesta la sua presenza nel sistema a fini estorsivi, è un vero paradosso. E infatti la nuova versione di TrickBot che avvisa l'utente dell'infezione configura un paradosso, ma è frutto di un errore piuttosto stupido dei suoi sviluppatori.

In dettaglio gli amministratori del malware hanno lasciato attivo un modulo di test che visualizza un alert che invita perfino a contattare l'amministratore di rete per affrontare il problema. Il contrario di quello che fa Trickbot di solito: infetta l'utente via email, poi si esegue nella maniera meno appariscente possibile sul computer, mentre scarica più moduli per eseguire differenti azioni dannose sul sistema, dal furto di password e cookie dai browser, al furto di chiavi OpenSSH fino alla diffusione laterale lungo la rete. Oltretutto gli sviluppatori di Trickbot guadagnano anche "affittando" le backdoor che lasciano aperte sulle reti a ransomware del calibro di Ryuk e del nuovo Conti. Insomma, se TrickBot avvisa della sua presenza su un sistema esegue un autogol da più punti di vista. 

La nuova versione e il modulo test

Ransomware Conti: è arrivato il successore di Ryuk?

Partiamo da un dato di fatto: Ryuk è, ad ora, il top ransomware. Può "giocarsela" con Maze, ma indubbiamente sta nella top dei ransomware ormai stabilmente da più di un anno. A Ryuk e Maze si deve una lievitazione impressionante della media dell'ammontare dei riscatti ransomware e un nuovo modello di attacco, una rivoluzione nel mondo di questi malware: colpire in maniera mirata target facoltosi (aziende ed enti) anziché perseguitare home user che al massimo possono spendere qualche migliaio di dollari per riavere in chiaro le foto delle vacanze. 

Il ransomware Conti è stato individuato nel Dicembre 2019, diffuso soltanto in attacchi mirati e isolati: da quel momento gli attacchi che lo hanno visto protagonista sono aumentati lentamente, ma alla fine di Giugno il numero di infezioni segnalate ha raggiunto livelli che cominciano ad essere allarmanti. Cogliendone le potenzialità, l'esperto di ransomware Lawrance Abrams ha cominciato quindi a tracciarlo ed analizzarlo. 

Qualche dettaglio tecnico