Discorso alla Nazione: come è stato l’ennesimo anno della cybersecurity?

Se volessimo scrivere un articolo riassuntivo dell’ultimo anno valutando la cybersecurity il piu’ degli “esperti” scriverebbe…

Il mondo della cybersecurity nel corso dell’ultimo anno ha vissuto un periodo di intensa attività, caratterizzato da sfide senza precedenti e notevoli progressi tecnologici. Le minacce digitali si sono evolute, mettendo alla prova la resilienza delle organizzazioni e la capacità degli esperti di difesa informatica. In questo articolo, esamineremo i principali eventi e le tendenze che hanno caratterizzato il panorama della cybersecurity nel corso del 2023.

Aumento degli Attacchi Ransomware:
Il 2023 ha assistito a un notevole aumento degli attacchi ransomware, con cybercriminali che hanno mirato sia a grandi imprese che a utenti privati. Le richieste di riscatto sono diventate più sofisticate, spingendo le organizzazioni a rafforzare le proprie strategie di difesa e a investire in soluzioni di backup avanzate.

Sviluppi nella Difesa AI e Machine Learning:
L’integrazione di intelligenza artificiale (AI) e machine learning (ML) nelle soluzioni di sicurezza ha raggiunto nuovi livelli di sofisticazione. Le organizzazioni hanno adottato tecnologie avanzate per analizzare i modelli di comportamento degli utenti e rilevare anomalie in tempo reale, migliorando così la capacità di risposta alle minacce.

Emphasis sulla Formazione e Consapevolezza:
Data la crescente complessità delle minacce digitali, la formazione continua del personale è diventata una priorità. Le organizzazioni hanno investito in programmi di formazione sulla cybersecurity per sensibilizzare gli utenti e prevenire attacchi basati sull’ingegneria sociale.

Legislazioni sulla Privacy e la Protezione dei Dati:
La crescente preoccupazione per la privacy e la protezione dei dati ha portato a un rafforzamento delle legislazioni in tutto il mondo. Diverse nazioni hanno introdotto nuove leggi per garantire una gestione più sicura e trasparente delle informazioni personali, imponendo sanzioni più severe per le violazioni.

Collaborazione Globale contro le Minacce Cibernetiche:
Il 2023 ha visto un maggiore impegno nella collaborazione internazionale per affrontare le minacce cibernetiche transfrontaliere. Paesi e organizzazioni hanno condiviso informazioni e risorse per contrastare attacchi avanzati condotti da attori statali e non statali.

Sembrerebbe che la nostra unica preoccupazione siano i ransomware e il phishing (va da se…)

Ebbene no, proviamo a scriverne uno veritiero…

2023 – La conferma dei fallimenti strategici

Ransomware: Il Potere delle Minacce Informatiche Sfruttando una percezione falsata

La Debolezza dei Bug di Lunga Data:
Uno dei motivi principali per cui i ransomware sono diventati così potenti è la persistenza di bug e vulnerabilità nei sistemi operativi e nel software. Alcuni di questi bug possono esistere per anni senza essere scoperti o corretti, fornendo un terreno fertile per gli attacchi informatici.

Mancanza di postura adeguata di sicurezza:
Pensare al “prodotto” che mette al sicuro invece alla strategia (ci torniamo…)

Malhosting alla Ricerca di Vulnerabilità:
I malhosting, gruppi di hacker specializzati nell’individuazione e nello sfruttamento di vulnerabilità, giocano un ruolo cruciale nell’aumento del potere dei ransomware. Questi attori malevoli perlustrano costantemente la rete alla ricerca di sistemi non aggiornati o vulnerabili, pronti per essere compromessi e sfruttati per scopi illeciti.

I ransomware come tutti i malware sono pezzi di codice e come tali non hanno la capacità di pensare ad agire in base all’enviroment su cui atterrano. Chi li scrive cerca nuovi modi per bypassare antivirus, ips ecc (e qualcuno dimostra giornalmente che è possibile farlo) per poi sfruttare debolezze architetturali.

La sapiente correlazione tra phishing, codice e “sicurezza come prodotto” portano ad un aumento di questo tipo di attacchi, che non hanno nulla a che fare con gli hacker ma con una criminalità organizzata e digitale, che non trova adeguata difesa dall’altra parte.

L’Anno della Caduta dei Colossi: La Vulnerabilità di Fronte a Semplici Attacchi

Il recente annuncio di colossi informatici caduti sotto attacchi apparentemente semplici ha scosso il mondo della sicurezza informatica. Questo ultimo anno ha dimostrato in modo lampante che parlare di sicurezza non è sufficiente; occorrono competenze adeguate e un impegno reale per proteggere i dati e i sistemi da minacce sempre più ingenue ma altamente efficaci.

La Debolezza dei Giganti Tecnologici e governance:
Nel corso dell’ultimo anno, abbiamo assistito all’indebolimento di colossi tecnologici che sembravano inattaccabili e che si ergevano a “esperti” spacciando teorie su come gestire la sicurezza (tradotto: parole a ripetizione che portavano a un nulla di fatto pratico). Attacchi apparentemente semplici hanno svelato vulnerabilità nascoste, spesso culturali, mettendo in discussione la percezione di invulnerabilità di molte aziende e organizzazioni.

Attacchi di Ingegneria Sociale e reputational hammering:
Molti di questi attacchi hanno sfruttato l’ingegneria sociale ma anche la cecità intrinseca, una manipolazione psicologica che ha portato a degradare l’ottica mondiale sull’operato italiano (e già era pessima).

Il Mito della Sicurezza Assoluta:
L’idea che un sistema o un’azienda possa raggiungere un livello di sicurezza assoluta è stata messa in discussione. La complessità delle minacce attuali richiede un approccio più olistico alla sicurezza informatica, che va oltre la semplice implementazione di soluzioni di sicurezza e si concentra sulla formazione continua e sulla consapevolezza. Concetti come: “prima o poi tutti verremo attaccati” non sono credibili ne realistici. Forse non puo’ esistere la sicurezza assoluta, ma un mix tra automazione e personale adeguato possono arrivarci molto ma molto vicini.

L’Importanza delle Competenze Specializzate:
L’anno appena trascorso ha evidenziato l’importanza cruciale delle competenze specializzate nel campo della sicurezza informatica. Gli attaccanti, spesso agendo con tattiche semplici ma efficaci, hanno dimostrato che la mancanza di competenze adeguate può portare a conseguenze gravi per le aziende. L’autocelebrazione dei convegni “teorici” è solo un buon momento per spacciare le figurine false di interpretazioni di questo o altro codice, alla domanda: “ok ma in pratica cosa devo fare” rimane la questione irrisoltà.

La Necessità di un Cambiamento Culturale:
La sicurezza informatica non può essere solo una voce nelle politiche aziendali; deve diventare parte integrante della cultura organizzativa. Ciò richiede un impegno a tutti i livelli, dalla formazione di base alla leadership, per garantire che la sicurezza sia una priorità condivisa e una responsabilità collettiva.

Minacce Informatiche: Oltre le Superfici, alla Ricerca di una Visione Globale

Nel mondo in continua evoluzione della sicurezza informatica, la raccolta di threat intelligence è diventata una pratica essenziale per prevenire attacchi e proteggere le organizzazioni. Tuttavia, la realtà attuale evidenzia un problema cruciale: la limitata e spesso superficiale natura della raccolta di informazioni minacciose. Questo articolo esplorerà la necessità di andare oltre la ripetizione di dati comuni e l’uso di prodotti convenzionali per sviluppare una visione globale e approfondita delle minacce informatiche.

La Limitazione dei Dati Locali:
Molte organizzazioni si affidano principalmente alle informazioni raccolte attraverso i propri dispositivi di sicurezza, come i firewall. Questi strumenti forniscono una visione limitata e spesso distorta della realtà delle minacce, concentrandosi su eventi specifici ma trascurando il quadro più ampio delle potenziali vulnerabilità.

La Necessità di una Visione Globale:
Per affrontare le minacce informatiche in modo efficace, è essenziale sviluppare una visione globale. Questo implica andare oltre la raccolta di dati interni e incorporare fonti esterne, come feeds di intelligence, forum underground e rapporti di esperti di sicurezza. Una visione più ampia consente di comprendere meglio le tendenze, anticipare le nuove minacce e adattare le strategie di difesa.

La Criticità delle CVE (Common Vulnerabilities and Exposures):
Le CVE più ricercate spesso riguardano vulnerabilità ben note e diffuse, come stack TCP/IP e memory leaks. Sebbene sia fondamentale monitorare e correggere queste vulnerabilità, concentrarsi esclusivamente su di esse può portare a una visione distorta delle minacce emergenti e meno conosciute. La ricerca di nuove e meno evidenti vulnerabilità è essenziale per mantenere un approccio proattivo alla sicurezza.

Se volessimo stilare una lista delle vulnerabilità piu’ ricercate potremmo indicare:

CVE-2020-11899
CVE-2001-0540
CVE-2012-0152
CVE-2002-0013
CVE-2002-0012
CVE-1999-0517
CVE-2002-0013
CVE-2002-0012
CVE-2019-11500
CVE-2019-11500
CVE-2018-11776
CVE-2023-46604
CVE-2023-46604
CVE-2023-46604
CVE-2001-0414

Divertente notare che la ricerca è data da CVE vecchie di anni, in un mondo perfetto come lo spacciano gli “esperti” alle conferenze mi aspetterei ricerca di CVE al massimo del 2022 e non del 2001!

Questi dati sono presi da diverse fonti internazionali e non vendor like, ma da migliaia di ricercatori anche indipendenti che hanno a cuore fare sicurezza e non solo venderla.

NOTA: La sicurezza non è possibile racchiuderla in 8 ore, è una strategia 24/7 dinamica e basata su diverse competenze.

L’Importanza della Diversificazione delle Fonti:
La raccolta di threat intelligence dovrebbe abbracciare la diversificazione delle fonti. Relying solo su prodotti preconfezionati o report di sicurezza standard può limitare la comprensione delle minacce. Esplorare fonti meno convenzionali e collaborare con la comunità di sicurezza globale può fornire informazioni preziose al di là di ciò che è comunemente noto.

Il Ruolo delle Competenze Umane:
Nel contesto della threat intelligence, le competenze umane sono irrinunciabili. Gli esperti di sicurezza con una profonda comprensione delle tecnologie e delle tattiche degli attaccanti possono interpretare meglio i dati raccolti e individuare potenziali minacce che potrebbero sfuggire agli strumenti automatizzati.

La Sicurezza Informatica: Se non vedo una dashboard non so che fare

L’ultimo anno ancora una volta ha evidenziato un fail persistente: la tendenza a trattare la sicurezza come un prodotto piuttosto che come una strategia integrata a multi layer e granulare. Abbiamo assistito al perpetuarsi di questo macro problema, con conseguenze significative per le aziende e il personale dedicato alla sicurezza. La mancanza di una prospettiva olistica e l’assenza di una visione dettagliata attraverso gli strumenti e non solo “grafiche” possano compromettere la comprensione e la gestione delle minacce informatiche.

Sicurezza come Prodotto:
Troppo spesso, la sicurezza informatica è considerata come un prodotto singolo, come un antivirus o un firewall. Questo approccio limitato non tiene conto della complessità delle minacce attuali che richiedono una strategia più ampia e multifattoriale per garantire una difesa efficace.

La Necessità di una Strategia Multi-Livello:
Affrontare le minacce informatiche richiede una strategia multi-livello che vada oltre l’implementazione di singoli prodotti. Questo approccio dovrebbe includere la formazione degli utenti, la gestione delle vulnerabilità, la threat intelligence, e l’implementazione di politiche di sicurezza robuste. La sicurezza dovrebbe essere integrata in ogni aspetto delle operazioni aziendali.

La Mancanza di Comprensione senza Dashboard Dettagliate:
Un aspetto critico della strategia di sicurezza è la comprensione dettagliata delle attività in corso. Tuttavia, molte aziende e personale dedicato alla sicurezza potrebbero non avere accesso a dashboard approfondite che forniscono una panoramica completa delle minacce e delle attività sospette. Questa mancanza di visibilità può ostacolare la capacità di reagire prontamente agli attacchi.

Sfide nell’Adozione di una Prospettiva Olistica e granulare:
L’adozione di una prospettiva olistica sulla sicurezza richiede un cambiamento culturale e organizzativo. Le aziende devono superare la mentalità del “prodotto unico” e abbracciare un approccio integrato che coinvolga tutte le parti interessate, dalla leadership ai dipendenti di tutti i reparti.

Fate una prova: create un firewall, robusto, che tenga conto di ogni singolo attacco e metta un cane da guardia ad ogni singolo processo e date una shell al tipo che gestisce la sicurezza o secops, vedrete che nella maggioranza dei casi vi guarderanno come cani bastonati odiandovi perché non capiscono cosa sia.

L’Anno della Glorificazione Tecnologica: Tra Utilità, Percezioni Distorte e il Dominio dell’IA”

L’ultimo anno ha visto un’ulteriore ondata di glorificazione tecnologica, con l’entusiasmo e l’attenzione del pubblico che si sono concentrati su soluzioni emergenti. Tuttavia, dietro la brillante facciata della tecnologia utile, emerge una tendenza persistente: la glorificazione eccessiva, spesso basata su percezioni distorte delle reali esigenze. Se in passato era la blockchain ad essere protagonista, l’anno appena trascorso ha visto l’Intelligenza Artificiale (IA) prendere il centro del palcoscenico, alimentando discorsi entusiastici e talvolta irrealistici sul suo potenziale.

La Blockchain e la Percezione Distorta:
La blockchain, in passato acclamata come la panacea per molti problemi, ha spesso sofferto di una percezione distorta delle sue reali applicazioni. La glorificazione eccessiva ha portato a un’adozione sproporzionata e a progetti che, in molti casi, non corrispondevano alle reali esigenze. L’entusiasmo iniziale è stato in parte eclissato da una comprensione più realistica delle limitazioni e delle opportunità di questa tecnologia.

L’Ascesa dell’Intelligenza Artificiale:
Nel corso dell’ultimo anno, l’Intelligenza Artificiale ha preso il testimone, emergendo come la nuova star delle tecnologie. Discorsi sulla potenza trasformativa dell’IA hanno catturato l’immaginazione pubblica, spingendo molte aziende a adottare soluzioni basate sull’IA. Tuttavia, come nel caso della blockchain, è fondamentale evitare una glorificazione eccessiva e comprendere chiaramente dove e come l’IA può realmente portare vantaggi tangibili.

Il Rischio delle Soluzioni Inutili:
La corsa verso tecnologie dirompenti spesso ha portato a un’adozione affrettata, con aziende che implementano soluzioni solo perché sembrano all’avanguardia. Questo approccio, alimentato dalla paura di rimanere indietro, può portare a investimenti in soluzioni tecnologiche che non soddisfano realmente le esigenze aziendali o non apportano miglioramenti significativi.

La Necessità di una Valutazione Realistica:
Per evitare il rischio di adottare soluzioni inutili, è fondamentale una valutazione realistica delle esigenze aziendali. Le tecnologie, anche se potenti, devono essere adottate in base a un’analisi approfondita dei benefici effettivi che possono apportare, evitando l’illusione della “tecnologia per la tecnologia”.

Il Futuro: Utilità e Comprensione Equilibrata:
Guardando al futuro, è cruciale trovare un equilibrio tra l’entusiasmo per le nuove tecnologie e una comprensione equilibrata delle loro reali applicazioni. L’IA, come esempio più recente, offre indubbiamente opportunità straordinarie, ma è importante sottolineare che non tutte le soluzioni basate sull’IA sono adatte per tutte le situazioni.

Una domanda sorge spontanea: ma se la pubblica amministrazione, regolata da leggi e fior di agenzie usa ancora una versione di apache delle guerre puniche o un comune italiano ha ancora in bella vista una pagina che dice “hackerata da pinco pallino 2010” a che serve parlare di innovazione e futuro? Sembra tanto una ipocrisia conclamata!

A tutto quanto sopra possiamo aggiungere:

1 – Aziende e consulenti che spacciano soluzioni inutili o che eseguono “pentest” validi quanto un cucchiaio per travasare il mare

2 – Educazione errata da parte di sedicenti “esperti” a utenti

Ci sarebbe molto altro da dire, portando esempi reali di come per l’ennesimo anno la sicurezza informatica è stato un fallimento, il dato piu’ preoccupante è il fatto che invece che diminuire gli attacchi sono triplicati!
Questo dovrebbe far pensare, far ponderare gli “esperti” che la strada intrapresa è sbagliata.

Ma una risposta logica al perché potrebbe essere: si pensa a vendere sicurezza invece che fare sicurezza e la ricerca non esiste.

Il Paradosso della Failsecurity

Assunzione e i Rischi dell’Incapacità dei Recruiter

L’assunzione di personale è un processo cruciale e delicato per qualsiasi azienda, in quanto il successo dell’organizzazione dipende ampiamente dalla qualità dei suoi dipendenti.

Il l processo di selezione può spesso rivelarsi un labirinto pieno di paradossi e contraddizioni, con i recruiter che cercano candidati qualificati ma si ritrovano incapaci di valutare adeguatamente le competenze di un potenziale dipendente.

Questa ironia, possiamo definirla “failsecurity” e può avere conseguenze significative sia per l’azienda che per i candidati. In questo articolo, esploreremo la failsecurity, evidenziando gli errori dei recruiter, il suo impatto assurdo e l’importanza cruciale di fare scelte giuste nella selezione del personale.

Il basso costo di richiesta di personale preparato nella cybersecurity è un fenomeno che presenta diversi aspetti negativi e non corrisponde ad una logica di mercato qualitativo.

Mentre può sembrare un’opportunità per le aziende di risparmiare sui costi di assunzione, si avrà personale incapace di garantire che la sicurezza delle informazioni sia adeguatamente preservata il che inizia un effetto domino rischioso.

Ipotizzando che il basso costo di richiesta di personale preparato nella cybersecurity sia associato a stipendi o compensi inferiori rispetto ad altre posizioni nel settore IT, possiamo analizzarne le possibili cause e conseguenze:

Cause del basso costo:

1. Elevata domanda di professionisti: La crescente minaccia della cybersecurity ha aumentato la richiesta di professionisti con competenze di sicurezza informatica. Per soddisfare questa domanda, alcune aziende potrebbero essere disposte a offrire stipendi inferiori per attirare candidati.
   
2. Presenza di giovani professionisti: Molti giovani professionisti appassionati di cybersecurity entrano nel settore con entusiasmo, talvolta accettando stipendi iniziali più bassi per acquisire esperienza e costruire il proprio curriculum.

Conseguenze negative:

1. Bassa motivazione e rotazione del personale: Pagare stipendi inferiori rispetto al mercato potrebbe causare una minore motivazione tra i professionisti della cybersecurity e un aumento della rotazione del personale. I professionisti potrebbero essere attratti da offerte più allettanti e lasciare l’azienda, comportando una perdita di conoscenza e competenze.
2. Riduzione della qualità del servizio: Un basso costo di richiesta potrebbe spingere alcune aziende ad assumere personale meno preparato o meno qualificato nella cybersecurity, riducendo la qualità del servizio e mettendo a rischio la sicurezza delle informazioni aziendali.

Conseguenze positive:

1. Accessibilità alle competenze: Per le aziende con budget limitati, l’opportunità di assumere personale preparato nella cybersecurity a un costo inferiore può consentire loro di accedere alle competenze necessarie per migliorare la sicurezza informatica, ma devono comunque investire nella formazione che è diversa dall’esperienza.
2. Possibilità di crescita: Le aziende in crescita possono trarre vantaggio dall’assumere personale preparato nella cybersecurity a un costo inferiore per supportare la loro espansione e proteggere i loro asset digitali.

Il basso costo di richiesta di personale preparato nella cybersecurity presenta maggiormente svantaggi. È importante considerare attentamente le implicazioni a lungo termine e trovare un equilibrio tra l’accessibilità alle competenze e il mantenimento di uno standard di sicurezza adeguato. Le aziende dovrebbero essere consapevoli dei rischi associati all’assunzione di personale meno preparato a basso costo e assicurarsi di offrire incentivi adeguati per attrarre e trattenere professionisti della cybersecurity altamente qualificati. La sicurezza delle informazioni è un elemento critico per qualsiasi organizzazione, e investire nella giusta preparazione del personale è fondamentale per proteggere i dati e le risorse aziendali.

Il termine “sei bravo ma ci costi troppo” è quanto di piu’ stupido una azienda o un recruiter puo’ dire.

Si avranno sempre persone volenterose ma “castrate” se l’approccio alla cybersecurity non è totale

L’Assunzione di Personale: Un Paradosso Complesso

Il processo di assunzione di personale è un paradosso complesso che spesso coinvolge dinamiche contraddittorie. Da un lato, le aziende cercano candidati altamente qualificati che possano portare valore aggiunto all’organizzazione. Dall’altro lato, si incontrano recruiter che tentano di risparmiare sui costi del personale, cercando candidati con esperienza ma a basso costo. Questa contraddizione è il cuore della failsecurity e può portare a conseguenze disastrose sia per l’azienda che per il candidato.

Errori dei Recruiter: “Sai Tanto, Ma Mi Costi Troppo”

Uno dei paradossi più comuni della failsecurity è l’atteggiamento dei recruiter che valutano i candidati come “troppo costosi” nonostante le loro competenze e capacità. Questo atteggiamento può essere estremamente tristemente ironico, poiché le aziende cercano candidati altamente qualificati, ma poi si trovano a escluderli semplicemente per il costo. Questa mentalità può impedire all’azienda di acquisire talenti di alto livello e limitare la sua crescita e il suo sviluppo e il risultato lo vediamo spesso.

Incapacità dei Recruiter di Valutare un Candidato

Un altro paradosso della failsecurity è l’incapacità dei recruiter di valutare adeguatamente un candidato. Spesso, i recruiter si concentrano troppo su requisiti formali, come anni di esperienza o titoli accademici, senza comprendere appieno le capacità e le competenze del candidato. Questo può portare a un’assunzione sbagliata, con conseguenze costose per l’azienda. Un candidato può avere anni di esperienza, ma se non possiede le giuste competenze e attitudini, può rivelarsi un’aggiunta inefficace o persino dannosa per l’organizzazione.

L’Assurdità della Failsecurity: Il Risultato delle Scelte Sbagliate

La failsecurity ha un impatto assurdo che può portare a conseguenze negative per l’azienda. L’assunzione di un candidato non adatto può comportare perdite finanziarie e danni alla reputazione dell’organizzazione. I dipendenti incapaci di svolgere il proprio lavoro possono ridurre la produttività e la qualità del lavoro svolto, influenzando negativamente l’intera squadra e le prestazioni dell’azienda. Allo stesso modo, un candidato qualificato che viene scartato a causa di considerazioni finanziarie può essere una perdita significativa per l’azienda, privandola di un talento che avrebbe potuto portare un valore aggiunto reale.

L’Importanza Cruciale di Fare Scelte Giuste

In un mercato del lavoro competitivo e dinamico, fare scelte giuste nella selezione del personale è di fondamentale importanza. Un processo di assunzione ben strutturato e attento può garantire che i candidati migliori siano selezionati per le posizioni chiave. Questo richiede una valutazione accurata delle competenze e delle abilità dei candidati, oltre a un atteggiamento aperto e imparziale verso i costi e i benefici dei talenti potenziali. La ricerca, l’intervista e la valutazione devono essere basate su fatti e dati oggettivi, piuttosto che su supposizioni o pregiudizi.

Per terminare questa analisi possiamo dire che inutile sentir dire gli “esperti” dobbiamo prendere persone preparate e poi basare gare e assunzioni in base al prezzo!

La Fallimentare Realta’ della Cybersecurity: Un Approccio Customer-Centric e Skill-Oriented per Superare le Minacce

Negli ultimi anni, la crescente dipendenza dalla tecnologia ha portato a una trasformazione radicale nell’ambiente aziendale, rendendo la sicurezza informatica una priorità assoluta. Tuttavia, nonostante il rilevante impegno dedicato alla cybersecurity, la maggior parte delle aziende continua a lottare contro le sempre più insidiose minacce digitali. Questa situazione critica è il risultato di un approccio tradizionale, concentrato sul business, che tende a trascurare l’aspetto fondamentale di una cybersecurity strategica e su misura per il cliente. In questo articolo, esploreremo come il focus del business abbia spesso ignorato le esigenze dei privati, i quali sono diventati i bersagli principali degli attacchi, e come un approccio basato sulle competenze sia cruciale per affrontare con successo le minacce in continua evoluzione.

Siamo ad un punto in cui si usano protocolli e sistemi per “sentito dire” ma se andiamo a chiedere un dettaglio, per esempio ssl e tls, in pochi ti sapranno effettivamente rispondere

Il Primato del Business: Una Prospettiva Fallimentare

È innegabile che la cybersecurity sia diventata una preoccupazione centrale per le aziende di ogni dimensione e settore. Tuttavia, la sfida fondamentale risiede nel fatto che molte organizzazioni si avvicinano alla sicurezza informatica principalmente come un costo aziendale, piuttosto che come una strategia integrata nella cultura e nella visione dell’azienda. Le pressioni finanziarie e la concorrenza globale spingono le aziende a concentrarsi maggiormente sul profitto e sulla crescita, a volte a scapito degli investimenti nella sicurezza.

Questo approccio fallimentare è caratterizzato dall’acquisizione di soluzioni di sicurezza generiche e superficiali, scelte principalmente per i loro costi inferiori, senza una valutazione attenta delle esigenze specifiche dell’azienda. Come risultato, molte organizzazioni finiscono con il dotarsi di soluzioni non adeguate, incapaci di proteggere in modo adeguato i dati sensibili e le reti aziendali.

Il Disinteresse per la Sicurezza dei Privati: Un Gravissimo Errore

Un errore cruciale compiuto dalle aziende è quello di concentrarsi principalmente su di sé, ignorando le crescenti minacce che i privati stanno affrontando. I dati personali sono diventati una moneta preziosa per i criminali informatici, e i privati rappresentano una via di accesso alle reti aziendali. Le vulnerabilità dei privati, come ad esempio le minacce legate all’identità digitale, possono essere sfruttate per ottenere informazioni sensibili o per mettere a repentaglio l’intera sicurezza di un’azienda.

L’elevato numero di attacchi ai danni dei privati è testimoniato da un numero crescente di casi di furto di identità, truffe finanziarie e violazioni della privacy. I danni causati a livello finanziario ed emotivo sono enormi, eppure spesso questi aspetti vengono sottovalutati o ignorati dalle aziende, che si focalizzano principalmente sulla protezione dei propri interessi.

Se pensiamo che malgrado tutto l’awarness e informazione, il phishing becero è ancora il principale vettore di attaco

Un Approccio Customer-Centric per una Sicurezza Efficace

Per superare questa mentalità fallimentare, le aziende devono abbracciare un approccio customer-centric alla cybersecurity. Questo significa mettere al centro delle strategie di sicurezza le esigenze specifiche del cliente, sia esso un’azienda o un privato. Per farlo, le organizzazioni devono adottare un’analisi dettagliata dei rischi e delle vulnerabilità di ciascun cliente, in modo da sviluppare piani di sicurezza personalizzati e adeguati alle minacce affrontate.

L’adozione di un approccio strategico e ritagliato sul cliente richiede anche una maggiore consapevolezza delle esigenze e dei diritti dei privati. Le aziende dovrebbero promuovere la trasparenza riguardo alla raccolta e all’uso dei dati personali, oltre a implementare misure di sicurezza robuste per proteggerli. Solo un’attenzione particolare ai bisogni dei privati consentirà di costruire un ambiente digitale più sicuro per tutti.

Per ottenere tutto cio’ è necessario puntare alle competenze del personale piuttosto che il prodotto e una maggior responsabilità della sicurezza digitale personale da parte dei singoli

L’Importanza delle Competenze in un Mondo in Evoluzione

Un altro elemento cruciale per migliorare la cybersecurity è spostare l’attenzione dagli aspetti legati al prodotto a quelli incentrati sulle competenze (skills). Il settore della cybersecurity è in continua evoluzione, con nuove minacce e vulnerabilità che emergono costantemente. Affidarsi esclusivamente a prodotti e soluzioni può risultare inefficace nel lungo termine, poiché le tecnologie possono diventare obsolete rapidamente.

Investire nella formazione e nello sviluppo delle competenze dei professionisti della sicurezza è essenziale per rimanere al passo con gli sviluppi tecnologici e per affrontare le minacce in continua evoluzione. Solo attraverso una formazione continua e l’acquisizione di nuove competenze, gli esperti della cybersecurity saranno in grado di affrontare con successo le minacce più sofisticate e di proteggere al meglio i propri clienti.

Inoltre pensiamo sempre a supportare persone con la capacità di pensare “out of the box” e non con la rigidità che è sterile.

La cybersecurity deve essere considerata una priorità assoluta per qualsiasi organizzazione che desideri proteggere i propri dati e preservare la fiducia dei propri clienti. Tuttavia, per ottenere risultati concreti, è fondamentale adottare un approccio customer-centric, personalizzando le soluzioni di sicurezza in base alle esigenze di ciascun cliente. Inoltre, spostare l’attenzione dalle soluzioni di prodotto alle competenze è un passo cruciale per affrontare con successo le minacce in costante evoluzione. Solo combinando un approccio strategico, centrato sul cliente, e investendo nelle competenze dei professionisti della sicurezza, potremo sperare di costruire un ambiente digitale più sicuro e resiliente per tutti.

G.B. Caria 2023

Il NecroSEConomicon

Quando chatGPT ti supporta nella satira.

Negli oscuri recessi della cybersecurity moderna, si cela un terrore innominabile: il trionfo del NecroSECnomicon della negligenza digitale. Le sacre leggi della sicurezza delle informazioni sono state calpestate, mentre creature informatiche senza volto sghignazzano inebriate dal caos, vomitando giornalmente nuovi acronimi per coniare entità senza logica.

Un tempo, c’erano eroi della sicurezza informatica, professionisti coraggiosi che affrontavano le minacce virtuali con determinazione. Ma ora, le loro conoscenze sembrano risalire a un’epoca antica, mentre gli algoritmi malvagi e i malware astuti li superano con disprezzo, mettendo alla berlina sacchi d’oro rubati grazie a consulenze acrobatiche che oltre a grafici non producono nulla.

In un’epoca in cui l’ignoranza tecnologica abbonda come pesci nell’oceano, le aziende si ergono come testimoni impotenti della propria rovina. Le password deboli, più fragili delle braccia di un mollusco, vengono usate come chiavi d’accesso ai tesori digitali. Gli utenti, distratti come scimmie curiose, cliccano su ogni link come se fosse un dono degli dei, senza rendersi conto che il terrore del phishing li inghiotte senza pietà.

Dove gang criminali sono i veri specialisti di cybersecurity e grazie a mammuth di codice chiamati ransomware distruggono la presunzione e l’arroganza dei don chisciotte ubriachi

E mentre i governi scrutano il cielo in cerca di mostri cosmici, noi guardiamo i nostri monitor, vedendo le ombre delle violazioni di sicurezza che si stagliano come abissi senza fondo. Le creature dei cybercriminali si materializzano nella nostra rete, destreggiandosi con astuzia tra i nostri firewall, lasciandoci vulnerabili come polli in un recinto senza protezioni.

E le aziende? Ah, le aziende! Si aggrappano a politiche di sicurezza che sembrano stranezze burocratiche senza senso, come se proteggere i dati fosse solo un gioco di parole.Creano eventi dove si auto celebrano filosofie incravattate da cappi ben solidi. Le loro reti sono un labirinto di porte aperte, invitando malintenzionati ad entrare e festeggiare come creature infernali in una danza macabra.

E il NecroSECnomicon della negligenza digitale ride a crepapelle. Si nutre dell’incapacità umana di tenere il passo con l’evoluzione delle minacce virtuali, un incubo che si perpetua all’infinito. Il libro proibito del fallimento della cybersecurity moderna è aperto a ogni pagina, le sue parole contorte e sinistre si insinuano nelle menti dei responsabili della sicurezza, facendoli crollare nel baratro dell’impotenza.

E così, mentre ci avviciniamo all’apocalisse informatica, possiamo solo abbracciare la satira di questa triste realtà. Ridiamo delle nostre follie vomitate ad eventi auto celebrativi delle nostre carenze, perché è meglio ridere di noi stessi che piangere sulle macerie della cybersecurity. Ma forse, una speranza potrà esserci se arroganza e presunzione verrà obliterata e buttata giu’ dal carro dei rumorosi potremo spegnere la risata sinistra del NecroSECnomicon e riportare l’ordine nel caos digitale. Ma fino ad allora, prepariamoci a vivere nel mondo di Lovecraftiano terrore digitale, dove la cybersecurity è solo un mito lontano e il NecroSECnomicon ride ancora.

Text by Cinabro & ChatGPT (na cosa giusta l’ha fatta!)

ENG VERSION

The NecroSECnomicon

When chatGPT supports you in satire.

In the dark recesses of modern cybersecurity, lurks an unmentionable terror: the triumph of the NecroSECnomicon of digital negligence. The sacred laws of information security have been trampled underfoot, while faceless computer creatures cackle intoxicated with chaos, spewing new acronyms daily to coin entities without logic.

Once upon a time, there were cybersecurity heroes, courageous professionals who faced virtual threats with determination. But now, their knowledge seems to go back to an ancient era, as evil algorithms and cunning malware outwit them in contempt, pilloriing stolen bags of gold thanks to acrobatic consultancies that produce nothing other than graphs.

In an age where technological ignorance abounds like fish in the ocean, companies stand as helpless witnesses to their own downfall. Weak passwords, more fragile than a mollusk’s arms, are used as access keys to digital treasures. Users, distracted like curious monkeys, click on each link as if it were a gift from the gods, without realizing that the terror of phishing engulfs them mercilessly.

Where criminal gangs are the real cybersecurity specialists and thanks to mammoths of code called ransomware they destroy the presumption and arrogance of drunken quixotes

And while governments scan the sky for cosmic monsters, we watch our monitors, seeing the shadows of security breaches looming like bottomless abyss. Cybercriminal creatures materialize in our network, sneaking around our firewalls, leaving us as vulnerable as chickens in an unprotected pen.

And the companies? Ah, the companies! They cling to security policies that seem like meaningless bureaucratic oddities, as if protecting data were just a play on words. They create events where they self-celebrate philosophies tied by solid nooses. Their networks are a labyrinth of open doors, inviting bad guys to enter and party like hellish creatures in a macabre dance.

And the NecroSECnomicon of digital negligence laughs out loud. It feeds on the human inability to keep up with the evolution of virtual threats, an endlessly perpetuating nightmare. The forbidden book of modern cybersecurity failure is open to every page, its twisted and sinister words creeping into the minds of security officials, plunging them into the abyss of helplessness.

And so, as we approach the cyber apocalypse, we can only embrace the satire of this grim reality. We laugh at our spewed follies at self-celebratory events of our shortcomings, because it’s better to laugh at ourselves than cry over the rubble of cybersecurity. But perhaps, there may be some hope if arrogance and conceit is obliterated and thrown off the bandwagon of noisemakers we can quench the sinister laughter of the NecroSECnomicon and restore order to the digital chaos. But until then, let’s get ready to live in the world of Lovecraftian digital terror, where cybersecurity is just a distant myth and the NecroSECnomicon still laughs.

Text by Cinabro & ChatGPT (he did it right!)

ESXi Apocalypse – a reference links

Here a list of useful IoC, script and other things for the “massive shame”

I will not write blabla about what happened and is happening, this want be a reference ongoing article for researcher. I add all the recent Iocs about vmware and malware related , Beware! The massive attack is prolly a in-the-wild things and totally new so be careful state “is about CVE-2021-XXX” /SUPPOSE YOU PATCHED ALREADY THAT SHIT!)
I will include here also results from our Esxi Honeypot

IoC

https://otx.alienvault.com/pulse/63d0b7316d2d0687affe1630

https://otx.alienvault.com/pulse/63deacc00866255866330429

https://otx.alienvault.com/pulse/63997389ec56624102d39e65

https://otx.alienvault.com/pulse/63939dfcb68dba0721d9eb80

https://otx.alienvault.com/pulse/63997004e8142e99771a75c3

https://otx.alienvault.com/pulse/6362a673f9a6a564a602bd67

https://github.com/fastfire/IoC_Attack_ESXi_Feb_2023

https://github.com/soufianetahiri/ESXi_ransomware_bitcoinWallets

https://otx.alienvault.com/pulse/614e0dc583aa90bf2dd4ec91

Perpetual Scanner
shoda.io
zoomeye.org
censys.io

Script
https://github.com/psychomad/esxiMon
https://github.com/cisagov/ESXiArgs-Recover
https://github.com/marklindsey11/ESXiArgs-POC-EXPLOIT-CODE
https://github.com/merlinepedra/ESXiArgs-Recover
https://github.com/olafkewl/esxiargs-recover
https://github.com/sqrtZeroKnowledge/EsxiArgs_Ransomware
https://github.com/merlinepedra25/ESXiArgs-Recover

Research
https://www.giac.org/paper/gcfa/116/analysis-compromised-honeypot-vmware-linux73/105650

Remediation
https://enes.dev/

Mallox Ransomware showing signs of Increased Activity

Ransomware potentially targeting organizations dealing in Critical Infrastructure

“TargetCompany” is a type of ransomware that was first identified in June 2021. The researchers named it TargetCompany ransomware because it adds the targeted company name as a file extension to the encrypted files. In September 2022, researchers identified a TargetCompany ransomware variant targeting Microsoft SQL servers and adding the “Fargo” extension to the encrypted files. TargetCompany ransomware is also known to add a “Mallox” extension after encrypting the files… continue on the original article on cyble website

https://blog.cyble.com/2022/12/08/mallox-ransomware-showing-signs-of-increased-activity/

• IoC discovered by Alienvault downloadable on OTX
• Download

ISDC Remote Hub IGF 2021 – day 3

The third day of Remote Hub during the INTERNATIONAL GOVERNANCE FORUM IN KATOWICE – POLAND

ISDC REMOTE HUB IGF 2021 – DAY 3

11,00 – CenturiaLabs Foundation – “The Massive fail of cybersecurity in the modern Industry – the real need of a total new approach”

13,30 – Gianluca Rotino Chief Strategy and Innovation Officer at Kiromic Biopharma Inc. – no title

14,30 – Antonio Putrino DIGITALE DI STRADA – “Managing inter-generational security differences”

15,30 – Agnieszka Ciesiołkiewicz  – ” Cybersecurity of biotechnology research data at universities”

16,30 – RightsChain – ” Cyber Security Landscape: what has changed and what has not since 2014 (08/2014 first crypto ransomware)”

17,00 – Klaudia Makowska – “Lack of governance in Biotech”

Alessandro Benvegnu’ – Moderator

Between remote hub debates you can partecipate to all other IGF 2021 FORUM Session. All slides of our debates will be availabile on our website

isdigitalcouncil.org

LIVE STREAMING ON YOUTUBE ISDC COUNCIL CHANNEL HERE

Know Your Weakness

Siamo contenti finalmente di presentare il Progetto KYW-I.
Ogni giorno si verificano disastrosi incidenti di sicurezza che alterano e impediscono il corretto funzionamento delle organizzazioni di società, enti e istituzioni, danneggiando irrimediabilmente non solo le attività imprenditoriali, professionali e pubbliche ma anche utenti e cittadini.

Spesso le aziende (pubbliche e private) intendono la la sicurezza informatica come un costo e al pari di un costo tendono a eliminarlo.

Tuttavia, al verificarsi di qualsiasi attacco informatico o di semplice malfunzionamento dei sistemi informatici, i costi necessari al ripristino si “centuplicano” non solo in termini di spesa ma anche di impegno del capitale umano, di risorse finanziarie e di reputazione.

Problema quest’ultima critico se lo rapportiamo alla struttura di una PMI, può facilmente suscettibile di attacchi da parte di cybercriminali, con danni incalcolabili.

Le piccole e medie aziende infatti costituiscono la struttura portante del sistema produttivo nazionale, generando l’80% della forza lavoro!

Centurialabs Research è impegnata nella divulgazione dei rischi legati alle vulnerabilità di sistema di qualsiasi tipo di organizzazione.

In particolare, si occupa di rendere edotti tutti gli stakeholders di comportamenti, metodi e strumenti necessari per incrementare il livello di sicurezza dei sistemi informatici ed informativi, pubblici e privati.

Da anni Centurialabs Foundation e Centurialabs Research o si avvalgono di molteplici professionisti e associazioni sul territorio nazionale e internazionale. In particolare, tra le adesioni all’iniziativa “Know your weakness” si annoverano importanti collaborazioni.

L’iniziativa prevede un Vulnerability Assessment gratuito, del valore di circa 2.000 Euro, finalizzato all’analisi del sito delle società e delle istituzioni che vi aderiscono, per far emergere eventuali criticità.

L’analisi sarà corredata di un report ad hoc chiaro, (OSINT incluso) e dettagliato dei rischi dedotti, con evidenza delle criticità visibili ai malintenzionati. Il report darà conto anche dello stato di adeguamento privacy “check-up privacy” in relazione alla normativa vigente in materia di GDPR e conterrà indicazioni e raccomandazioni sulle azioni pratiche da intraprendere per prevenire gli attacchi ransomware, porre in essere una corretta politica di sicurezza e mitigare il rischio di connesse perdite finanziarie.

CenturiaLabs Foundation La CenturiaLabs e i professionisti coinvolti supporteranno gli aderenti nel perseguimento di un livello di sicurezza adeguato.

Un grazie doveroso ai partner: CONSUMERISMO NO PROFIT, Il Digitale è di Strada, Sara Simeone (Digital Oracles), Centuria Research Labs & CenturiaLabs Foundation, ISDC, JoyComm, CGIE

Ogni singolo professionista, PMI, Assocazione puo’ richiedere il suo VA gratuito a questo indirizzo:
https://kyw-i.com

Blog Ufficiale Centuria CyberLabs & Researchers

Il mio blog personale è diventato a tutti gli effetti quello ufficiale del mio centro ricerca (il primo indipendente italiano). La Centuria non è una azienda ma una passione per la cybersecurity e tutto no profit. Come viviamo? Ognuno ha il proprio lavoro e come laboratories offriamo i nostri servizi in cambio di una donazione. Questo ci permette di mantenere i nostri apparati che continuamente esplorano la rete e non solo honeypots.

 

Anti DDoS for Dummies

Come Configurare un Solido Sistema Anti-DDoS per Proteggere la Tua Infrastruttura

Nel mondo digitale di oggi, la protezione contro gli attacchi DDoS (Distributed Denial of Service) è fondamentale per garantire la stabilità e la sicurezza della tua infrastruttura online. Questo articolo vuole essere una piccola guida (da evolvere ovviamente)per guidarvi attraverso il processo di configurazione di un solido sistema anti-DDoS, compreso l’analisi e il calcolo del traffico, la configurazione di iptables, ufw e mod_evasive, e fornirà suggerimenti su come migliorare le difese perimetrali.

Un attacco DDoS viene lanciato da numerosi dispositivi compromessi, quindi le device “tanto a me nonvengono ad attaccare” sono il punto cruciale, come anche i subdomain “dimenticati” e spesso distribuiti a livello globale in quella che viene definita una botnet. Si distingue dagli altri attacchi Denial of Service (DoS) che utilizza un singolo dispositivo connesso a Internet (una connessione di rete) per inondare un bersaglio con traffico dannoso. Questa sfumatura è la ragione principale dell’esistenza di queste due definizioni un po’ diverse.

Non parliamo di buffer overflow che sotto diversi aspetti puo considerarsi un DoS ma a livello di codice.

Il termine “DDoS” (Distributed Denial of Service) può suonare intimidatorio, ma in realtà è un problema comune che può colpire chiunque abbia una presenza online, da siti web a server di gioco o persino aziende. In questo articolo, ti spiegheremo in modo chiaro e colloquiale cosa è un attacco DDoS, come funziona e come proteggerti da esso.

Cos’è un Attacco DDoS?
Un attacco DDoS è un tentativo malintenzionato di sovraccaricare un server o una rete con una quantità eccessiva di traffico, rendendo così inaccessibili i servizi offerti da quella piattaforma. Per farlo, gli attaccanti sfruttano una rete di dispositivi compromessi (spesso chiamati botnet) per inviare una grande quantità di richieste al server bersaglio in modo simultaneo.

In generale, gli attacchi DoS e DDoS possono essere suddivisi in tre tipologie:

Attacchi basati sul volume
Include flood UDP, ICMP e altre flood di pacchetti contraffatti. L’obiettivo dell’attacco è saturare la larghezza di banda del sito attaccato e l’entità viene misurata in bit al secondo (Bps). Una volta si forgiavano i pacchetti sfruttando anche gli algoritmi di backpoff e via dicendo.

Attacchi al protocollo
Include SYN Flood, attacchi di pacchetti frammentati, Ping of Death, Smurf DDoS e altro ancora. Questo tipo di attacco consuma le risorse effettive del server o quelle delle apparecchiature di comunicazione intermedie, come firewall e bilanciatori del carico, e viene misurato in pacchetti al secondo (Pps).

Attacchi a livello di applicazione
Include attacchi leggeri e lenti, inondazioni GET/POST, attacchi che prendono di mira le vulnerabilità di Apache, Windows o OpenBSD e altro ancora. Composti da richieste apparentemente legittime e innocenti, questi attacchi mirano a mandare in crash il server web e la portata viene misurata in richieste al secondo (Rps). Non dimentichiamoci di slowloris che lentamente rende il tutto non disponibile.

riassumendo:

Volumetric (Gbps)
Protocol (pps)
Application layer (rps) attacks.

Volumetric
Un attacco DDoS volumetrico è ciò che la maggior parte delle persone associa al termine “DDoS” perché è il più comune. Il primo attacco DDoS volumetrico ha fatto notizia alla fine degli anni ’90 e da allora ha generato un esercito di imitatori.

Gli attacchi volumetrici possono anche essere chiamati “flood” perché un attacco inonda il server di un bersaglio con richieste, come ping indesiderati. Gli attacchi vengono misurati in bit al secondo (bps) o Gigabit al secondo (Gbps).

Il concetto di un attacco volumetrico è semplice: inviare quanto più traffico possibile a un sito per sopraffare la larghezza di banda del server. Gli attacchi volumetrici vengono tipicamente prodotti utilizzando tecniche di amplificazione. L’amplificazione DNS è una delle tecniche più comuni utilizzate dagli aggressori per effettuare un attacco volumetrico. Il malintenzionato invia piccole richieste DNS con l’indirizzo IP di origine falsificato della vittima a un server DNS. Quando il server riceve la richiesta, risponde alla vittima con una risposta ampia.

Gli aggressori creano anche attacchi volumetrici utilizzando botnet costituite da dispositivi IoT sfruttati. I dispositivi connessi solitamente non dispongono di difese di sicurezza di base, ma poiché sono connessi a Internet e possono eseguire codice, possono essere facilmente sfruttati.

La proliferazione di dispositivi IoT economici come giocattoli, piccoli elettrodomestici, termostati, telecamere di sicurezza e router Wi-Fi rende facile lanciare un attacco efficace con pochi clic. Un hacker può facilmente sfruttare l’estensibilità di Internet per lanciare un attacco DDoS volumetrico di successo con poche risorse.

La botnet Mirai è un esempio della devastazione dei dispositivi IoT sfruttati e non protetti. Mirai ha preso di mira i dispositivi IoT, utilizzando ciascun dispositivo infetto per partecipare a un attacco DDoS volumetrico. Il risultato è stato un attacco riuscito contro alcune delle più grandi organizzazioni del mondo.

PPS
Un protocollo Internet è un insieme distinto di regole per lo scambio di informazioni su Internet. TCP/IP è una delle regole più conosciute per lo scambio di richieste e dati. Un malintenzionato può interrompere gravemente un servizio online sfruttando queste regole.

Gli attacchi al protocollo spesso funzionano ai livelli 3 e 4 del modello OSI su dispositivi di rete come i router. Poiché si trovano a livello di rete, vengono misurati in pacchetti al secondo (pps).

Di seguito è riportato un esempio di diversi tipi di attacchi DDoS a livello di rete:

Inondazioni dell’UDP
SYN inonda
Amplificazione NTP
Amplificazione DNS
Amplificazione SSDP
Frammentazione dell’IP
SYN-ACK si allaga
Esempi di attacchi DDoS basati sul protocollo di rete
Il ping of death (POD) è un attacco di frammentazione IP che sfrutta la limitazione intrinseca delle dimensioni di un pacchetto. Manipolando parti o frammenti del pacchetto, l’exploit può sovraccaricare i buffer di memoria allocati a quel pacchetto e quindi negare il servizio ai pacchetti legittimi.
Un TCP SYN Flood è un altro attacco di protocollo comune. In questo caso, un’ondata di richieste TCP SYN dirette verso un target travolge quest’ultimo e lo rende insensibile.

RPS
Mentre gli attacchi volumetrici e, in misura minore, gli attacchi di protocollo compromettono un servizio con l’enorme numero di richieste, gli attacchi a livello di applicazione o gli attacchi di livello 7 prendono di mira un server edge che esegue un’applicazione web.

Queste minacce sono più difficili da rilevare perché gli aggressori solitamente effettuano richieste come utenti legittimi. Di conseguenza, questi attacchi spesso si manifestano come picchi di traffico minori e non richiedono l’assistenza di una botnet.

Gli attacchi a livello di applicazione vengono misurati in richieste al secondo (RPS), ovvero il numero di richieste effettuate da un’applicazione. Un attacco a livello di applicazione è considerato un attacco basato sulle risorse; pertanto, sono necessarie meno richieste per arrestare un’applicazione perché l’attacco è focalizzato sul sovraccarico della CPU e della memoria.

Un attacco a livello di applicazione include in genere il colpire il server Web, l’esecuzione di script PHP e il contatto con il database per caricare pagine Web. Una singola richiesta HTTP, che è semplice da eseguire sul lato client, può far sì che un server esegua molte richieste interne e carichi numerosi file per soddisfare la richiesta, rallentando il sistema.

Un attacco a livello di applicazione può anche essere un attacco multi-vettore che utilizza una combinazione di attacchi volumetrici e di protocollo per aumentare la probabilità di mettere offline un servizio. A causa della loro complessità ed efficacia, gli attacchi multi-vettore sono sempre più popolari tra i gruppi di criminali informatici.

Attacco DDoS DNS (Domain Name System)
Cos’è un Attacco DDoS DNS:
Un attacco DDoS basato su DNS è mirato a sovraccaricare il sistema DNS di una rete o di un sito web. Il DNS è responsabile della traduzione dei nomi di dominio in indirizzi IP, consentendo agli utenti di accedere ai siti web tramite nomi leggibili anziché indirizzi numerici.

Come Funziona:
Durante un attacco DDoS DNS, gli aggressori utilizzano una rete di dispositivi compromessi per inviare una grande quantità di richieste DNS falsificate al server DNS bersaglio. Questo sovraccarica il server, rendendo difficile o impossibile la traduzione dei nomi di dominio in indirizzi IP. Di conseguenza, il sito web diventa inaccessibile agli utenti legittimi.

Obiettivo:
Gli attacchi DDoS DNS possono essere utilizzati per rendere inaccessibili i siti web o per nascondere altri attacchi mirati.

Attacco DDoS ICMP (Internet Control Message Protocol)
Cos’è un Attacco DDoS ICMP:
Gli attacchi DDoS basati su ICMP sfruttano il protocollo ICMP per sovraccaricare la larghezza di banda di un server o di una rete. ICMP è un protocollo di rete utilizzato per la gestione e il controllo della comunicazione tra i dispositivi.

Come Funziona:
Gli attaccanti inviano una grande quantità di pacchetti ICMP (spesso noti come “ping”) al server bersaglio. Questi pacchetti richiedono una risposta, e se inviati in modo massiccio, possono sovraccaricare la rete o il server, riducendo la capacità di rispondere alle richieste legittime.

Obiettivo:
Gli attacchi DDoS ICMP possono congestire la larghezza di banda e causare ritardi nella comunicazione di rete, rendendo l’accesso a servizi online più lento o impossibile.

Attacco DDoS NTP (Network Time Protocol)
Cos’è un Attacco DDoS NTP:
Un attacco DDoS basato su NTP sfrutta il Network Time Protocol, utilizzato per sincronizzare l’orologio di un dispositivo con un server di tempo di riferimento.

Come Funziona:
Gli attaccanti inviano una grande quantità di richieste NTP a server NTP non protetti. Queste richieste falsificate possono far sì che i server rispondano con dati in eccesso, consumando risorse e saturando la larghezza di banda.

Obiettivo:
Gli attacchi DDoS NTP possono sovraccaricare i server NTP, causando un impatto sulla sincronizzazione dell’orologio per i dispositivi che ne dipendono e riducendo la disponibilità di servizi online.

Come Funziona un Attacco DDoS genealmente?
Immagina il tuo sito web o il server di gioco come un ristorante con un solo cameriere. Normalmente, il cameriere riesce a gestire gli ordini dei clienti senza problemi. Tuttavia, durante un attacco DDoS, centinaia o migliaia di persone entrano nel ristorante contemporaneamente, ordinando cibo a caso e cercando di bloccare il cameriere. Il cameriere diventa così oberato di richieste che non può più servire gli altri clienti, rendendo il ristorante inaccessibile.

1. Analisi del Traffico
   La prima cosa da fare è analizzare il traffico della tua infrastruttura per identificare pattern e anomalie. Puoi utilizzare strumenti di monitoraggio del traffico come Wireshark o soluzioni più avanzate come Snort. Analizza i dati per individuare comportamenti sospetti o fluttuazioni significative nel traffico.
   Inoltre è importante capire l’utilizzo di banda tipico della vostra infrastruttura, NON esiste una difesa anti ddos

Questi alcuni metodi usati per mitigare gli attacchi

Usare un dns sicuro!
La cosa migliore sarebbe avere un sinkhole o un bind9 configurato correttamente in modo da eliminare attacchi di amplification. Anche un pihole va benissimo (ma la macchina dove è installato deve essere hardenizzata!). Evitare dns di google è cosa buona e giusta, se non capite perché andate a leggervi topolino…

Installazione di alcuni tools:

apt-get install ipset iptables-persistent fail2ban

Configurate fail2ban con nginx con le seguenti istruzioni:

nano /etc/nginx/nginx.conf
limit_req_zone $binary_remote_addr zone=myzone:20m rate=5r/s;

/etc/nginx/sites-enabled/example.com.conf

location / {
limit_req zone=myzone burst=5 nodelay;
}

systemctl restart nginx

apt-get install fail2ban

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

nano /etc/fail2ban/jail.local

[nginx-limit-req]
enabled = true
filter = nginx-limit-req
action = iptables-multiport[name=ReqLimit, port=”http,https”, protocol=tcp]
logpath = /var/log/nginx/*error.log
findtime = 300
maxretry = 3
bantime = 3600

I valori findtime e maxretry sono importanti perché decidono la frequenza con cui gli IP sospetti vengono bannati. Se riduci questi valori, gli IP degli aggressori verranno bannati più spesso. Modifica i valori secondo le tue necessità. (NO! bisogna farseli due calcoli altrimenti nessuna protezione vale qualcosa!)

nano /etc/fail2ban/filter.d/nginx-limit-req.conf

[Definition]
failregex = limiting requests, excess:.* by zone.*client:

ignoreregex =

systemctl restart fail2ban.service
systemctl status fail2ban.service

Stringhe prese da:
https://sysopstechnix.com/protect-web-servers-from-ddos-attacks-using-fail2ban/

Per apache invece possiamo creare una jail di questo tipo:

[apache-get-dos]
enabled = true
port = http,https
filter = apache-get-dos
logpath = /var/www/*/logs/access.log
datepattern = %%d/%%b/%%Y:%%H:%%M:%%S %%z
maxretry = 300
findtime = 5m
bantime = 1h

creiamo la ban action in jail.d/custom.conf

[DEFAULT]
bantime = 300
findtime = 300
banaction = iptables-allports

[INCLUDES]
before = common.conf

[Definition]

#
ignoreregex =

Per verificare potete usare questa stringa:

Option: failregex

Notes.: regex to match GET requests in the logfile resulting in one of the

following status codes: 401, 403, 404, 503.

The host must be matched by a group named “host”. The tag “”

can be used for standard IP/hostname matching and is only an alias for

(?:::f{4,6}:)?(?P[\w-.^_]+)

Values: TEXT

failregex = ^ .“GET (?!\/robots.txt).” (401|403|404|503)\s

Option: ignoreregex

Notes.: regex to ignore. If this regex matches, the line is ignored.

Values: TEXT

netstat -ntu | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -nr | head -n20

Maggiori dettagli in questo articolo da cui ho preso le stringe apache

https://pipo.blog/articles/20210915-fail2ban-apache-dos

2. Configurazione di iptables
   Iptables è uno strumento potente per la gestione delle regole del firewall su sistemi Linux. Per proteggerti da attacchi DDoS, configura iptables per limitare il traffico indesiderato. Ad esempio, puoi configurare regole per limitare il numero di connessioni da un singolo IP o per bloccare le richieste provenienti da IP sospetti.

Ecco un esempio di configurazione di iptables per limitare le connessioni in arrivo da un singolo IP:

bash

Abilita il tracking delle connessioni

iptables -A INPUT -m conntrack –ctstate ESTABLISHED,RELATED -j ACCEPT

Limita il numero di connessioni da un singolo IP

iptables -I INPUT -p tcp –dport 80 -m connlimit –connlimit-above 50 -j REJECT
Assicurati di personalizzare le regole iptables in base alle tue esigenze specifiche.

1: Drop invalid packets ###

iptables -t mangle -A PREROUTING -m conntrack –ctstate INVALID -j DROP

2: Drop TCP packets that are new and are not SYN ###

iptables -t mangle -A PREROUTING -p tcp ! –syn -m conntrack –ctstate NEW -j DROP

3: Drop SYN packets with suspicious MSS value ###

iptables -t mangle -A PREROUTING -p tcp -m conntrack –ctstate NEW -m tcpmss ! –mss 536:65535 -j DROP

4: Block packets with bogus TCP flags ###

iptables -t mangle -A PREROUTING -p tcp –tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
iptables -t mangle -A PREROUTING -p tcp –tcp-flags FIN,SYN FIN,SYN -j DROP
iptables -t mangle -A PREROUTING -p tcp –tcp-flags SYN,RST SYN,RST -j DROP
iptables -t mangle -A PREROUTING -p tcp –tcp-flags FIN,RST FIN,RST -j DROP
iptables -t mangle -A PREROUTING -p tcp –tcp-flags FIN,ACK FIN -j DROP
iptables -t mangle -A PREROUTING -p tcp –tcp-flags ACK,URG URG -j DROP
iptables -t mangle -A PREROUTING -p tcp –tcp-flags ACK,FIN FIN -j DROP
iptables -t mangle -A PREROUTING -p tcp –tcp-flags ACK,PSH PSH -j DROP
iptables -t mangle -A PREROUTING -p tcp –tcp-flags ALL ALL -j DROP
iptables -t mangle -A PREROUTING -p tcp –tcp-flags ALL NONE -j DROP
iptables -t mangle -A PREROUTING -p tcp –tcp-flags ALL FIN,PSH,URG -j DROP
iptables -t mangle -A PREROUTING -p tcp –tcp-flags ALL SYN,FIN,PSH,URG -j DROP
iptables -t mangle -A PREROUTING -p tcp –tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP

SSH brute-force protection ###

iptables -A INPUT -p tcp –dport ssh -m conntrack –ctstate NEW -m recent –set
iptables -A INPUT -p tcp –dport ssh -m conntrack –ctstate NEW -m recent –update –seconds 60 –hitcount 10 -j DROP

Protection against port scanning ###

iptables -N port-scanning
iptables -A port-scanning -p tcp –tcp-flags SYN,ACK,FIN,RST RST -m limit –limit 1/s –limit-burst 2 -j RETURN
iptables -A port-scanning -j DROP

iptables-save > /etc/iptables/rules.v4
iptables-save > /etc/iptables/rules.v6

E’ utile anche bloccare il traffico da e per rete tor

ipset create tor-nodes iphash

curl -sSL “https://www.dan.me.uk/torlist/?ip=$(curl icanhazip.com)” | sed -e ‘/^#/d’ -e ‘/:/d’ | while read IP; do
ipset -q -A tor-nodes $IP
done

Per mitigare loslowloris:

iptables -I INPUT -p tcp –dport 80 \
-m connlimit –connlimit-above 20 –connlimit-mask 40 -j DROP

3. UFW (Uncomplicated Firewall)
   UFW è un’interfaccia semplificata per iptables su Ubuntu. Puoi utilizzare UFW per semplificare la configurazione del firewall e la gestione delle regole.

Per abilitare UFW e configurarlo per proteggere la tua infrastruttura, segui questi passaggi:

Installa UFW (se non è già installato):

sudo apt-get install ufw
Abilita UFW:
sudo ufw enable
Configura le regole di UFW in base alle tue esigenze. Ad esempio, per consentire solo il traffico HTTP e HTTPS:
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

nano /etc/ufw/before.rules

subito dopo filter inseriamo:

:ufw-http – [0:0]
:ufw-http-logdrop – [0:0]

:ufw-before-input – [0:0]
:ufw-before-output – [0:0]
:ufw-before-forward – [0:0]
:ufw-not-local – [0:0]

e inseriamo le seguenti appena prima di COMMIT

start

Enter rule

-A ufw-before-input -p tcp –dport 80 -j ufw-http
-A ufw-before-input -p tcp –dport 443 -j ufw-http

Limit connections per Class C

-A ufw-http -p tcp –syn -m connlimit –connlimit-above 50 –connlimit-mask 24 -j ufw-http-logdrop

Limit connections per IP

-A ufw-http -m state –state NEW -m recent –name conn_per_ip –set
-A ufw-http -m state –state NEW -m recent –name conn_per_ip –update –seconds 10 –hitcount 20 -j ufw-http-logdrop

Limit packets per IP

-A ufw-http -m recent –name pack_per_ip –set
-A ufw-http -m recent –name pack_per_ip –update –seconds 1 –hitcount 20 -j ufw-http-logdrop

Finally accept

-A ufw-http -j ACCEPT

Log

-A ufw-http-logdrop -m limit –limit 3/min –limit-burst 10 -j LOG –log-prefix “[UFW HTTP DROP] “
-A ufw-http-logdrop -j DROP

end

infine
ufw reload

4. Mod_evasive
   Mod_evasive è un modulo per il server web Apache che aiuta a mitigare gli attacchi DDoS limitando il numero di richieste da un singolo IP in un determinato intervallo di tempo. Ecco come configurarlo:

Assicurati che il modulo mod_evasive sia installato. Puoi farlo con il seguente comando:
bash

sudo apt-get install libapache2-mod-evasive

Configura mod_evasive modificando il file di configurazione Apache. Di solito, puoi farlo in evasive.conf o evasive20.conf:

sudo nano /etc/apache2/mods-available/evasive.conf

Configura il modulo inserendo le seguenti linee o personalizzandole in base alle tue esigenze:

DOSHashTableSize 3097
DOSPageCount 2
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 10

Riavvia il server Apache per applicare le modifiche:

sudo service apache2 restart

5. Difese Perimetrali
   Per migliorare ulteriormente la tua protezione DDoS, considera di implementare difese perimetrali come CDN (Content Delivery Network) e servizi di mitigazione DDoS. Un CDN distribuirà il traffico tra più server in tutto il mondo e filtrerà il traffico malevolo prima che raggiunga il tuo server.

Inoltre, investi in servizi di mitigazione DDoS che possono rilevare e bloccare gli attacchi DDoS prima che colpiscano la tua infrastruttura. Questi servizi solitamente offrono protezione basata su cloud ed è possibile configurarli per ridirigere il traffico malevolo lontano dal tuo server.

Ricordate che ogni prodotto commerciale VA CONFIGURATO! anche se abilitate il modulo antiddos su fortigate per esempio non vi servirà a nulla se non inserite i valori giusti!

In sintesi, la protezione contro gli attacchi DDoS è un aspetto cruciale per mantenere la tua infrastruttura online sicura e stabile. La combinazione di analisi del traffico, regole di iptables, UFW, mod_evasive e difese perimetrali ti aiuterà a mitigare gli attacchi DDoS e a mantenere la tua infrastruttura al sicuro. Ricorda di mantenere sempre le tue difese aggiornate e monitorare costantemente il traffico per adattarti alle nuove minacce.

Redis Server: aumenta p2p infection via vecchia CVE

Nel mondo dell’informatica moderna, l’uso di Redis Server è diventato sempre più diffuso tra gli sviluppatori e le aziende. Questo potente sistema di memorizzazione cache e database in memoria è diventato una componente chiave per molte applicazioni, garantendo prestazioni elevate e scalabilità. Tuttavia, la sua onnipresenza e l’uso a volte inosservato hanno reso i Redis Server un bersaglio ideale per gli attaccanti. In questo articolo, prendero’ ad esempio Redis, ma la stessa analisi e attenzione, in altra forma è utile per ogni componente.
Useremo una vulnerabilità recente (CVE-2022-0543) sfruttata da un malware P2P e il crescente trend degli attacchi provenienti dalla Cina.

Redis: Il Cuore delle App Moderne

Redis è un sistema di memorizzazione cache open-source in-memory che offre prestazioni eccezionali ed è ampiamente utilizzato per la gestione di dati in tempo reale. Le sue funzionalità di caching e gestione dei dati lo rendono un componente cruciale per applicazioni web, giochi online, app mobili e molto altro ancora. Tuttavia, la sua natura a volte “silenziosa” nella stack delle tecnologie può portare a una sottovalutazione della sua importanza per la sicurezza.

La Vulnerabilità CVE-2022-0543

Una delle recenti minacce alla sicurezza dei Redis Server è la vulnerabilità nota come CVE-2022-0543. Questa vulnerabilità è stata scoperta e catalogata nel 2022, ma potrebbe avere impatti significativi se non trattata. Il CVE-2022-0543 indica esecuzione remota di codice (RCE) che potrebbe consentire a un attaccante di eseguire codice dannoso sui server Redis non adeguatamente protetti.

Il Malware P2P e l’Origine Cinese

Un elemento ancora più preoccupante riguardo a questa vulnerabilità è il fatto che è sfruttata da un malware P2P recente (Luglio 2023) . Questo tipo di malware utilizza reti peer-to-peer per la distribuzione e lo scambio di codice dannoso, rendendolo difficile da rilevare e controllare. Gli investigatori hanno notato un aumento del trend degli attacchi che cercano di sfruttare la CVE-2022-0543 per infettare sistemi, con alcune evidenze che suggeriscono che tali attacchi potrebbero provenire dalla Cina.

L’Importanza di Conoscere i Componenti delle App

Questo scenario mette in evidenza l’importanza di comprendere appieno tutti i componenti delle applicazioni che utilizziamo. Mentre Redis Server può sembrare un elemento “nascosto” della nostra infrastruttura, la sua sicurezza è essenziale per proteggere dati sensibili e garantire che la nostra applicazione non diventi un obiettivo per gli attaccanti.

Ecco alcune buone pratiche per aumentare la sicurezza dei Redis Server:

Mantenere Redis Aggiornato: Assicurarsi di utilizzare la versione più recente di Redis Server, poiché spesso le vulnerabilità note vengono corrette nelle nuove versioni.

Proteggere l’Accesso: Utilizzare password robuste per autenticare l’accesso a Redis Server. Evitare l’accesso non autorizzato configurando correttamente le liste di controllo degli accessi (ACL).

Monitorare l’Attività: Implementare un sistema di monitoraggio per tenere traccia dell’attività del server Redis e delle possibili intrusioni.

Firewall e VPN: Limitare l’accesso ai server Redis attraverso firewall e VPN, riducendo così il rischio di accesso non autorizzato.

Patch Regolari: Assicurarsi di applicare regolarmente le patch di sicurezza e le correzioni fornite dagli sviluppatori di Redis.

Questi sono i passi standard per renderlo sicuro e vanno bene per ogni applicazione, ovviamente la sicurezza è una strategia e va adeguata alle esigenze infrastrutturali

info:
https://www.cadosecurity.com/redis-p2pinfect/
https://otx.alienvault.com/pulse/650c2ac214806b3ef6325312

Il Trend degli Attacchi Digitali: vecchie vulnerabilità per moderni fallimenti

Uno dei trend più preoccupanti nell’ambito della sicurezza informatica è rappresentato dagli attacchi basati su vecchie Common Vulnerabilities and Exposures (CVE), che rivelano un profondo scollamento tra la promozione della cybersecurity e la sua effettiva attuazione.

Vecchie CVE: Una Minaccia Persistente

Le CVE rappresentano identificatori unici assegnati a vulnerabilità informatiche specifiche. Questi identificatori vengono utilizzati per tenere traccia delle vulnerabilità e coordinare gli sforzi per correggerle.
Tuttavia, le vecchie CVE sono diventate il terreno fertile per gli attaccanti digitali. Spesso, le organizzazioni non riescono a implementare tempestivamente i patch di sicurezza, lasciando le porte aperte per gli attaccanti che sfruttano queste vulnerabilità notoriamente note.
Ma se viviamo in un mondo dove ogni giorno migliaia di “esperti” si ergono in cattedra dicendo come si deve fare, perché queste vecchie CVE sono tra le piu’ricercate?
Semplice rispondere: abbiamo migliaia di vulnerability scan giornalieri che pero’ diventano di difficile remediation per i piu’ svariati motivi

Questi attacchi basati su vecchie CVE non sono solo un fenomeno occasionale; sono ormai sempre più comuni. E’imbarazzante vedere ancora scansioni alla ricerca di vulnerabilità sfruttabili da Wannacry.
Gli attaccanti sfruttano le conoscenze pubbliche su queste vulnerabilità, sapendo che molte organizzazioni non sono in grado di mantenere il passo con la corsa armamentistica delle minacce cibernetiche. Questo crea una disparità significativa tra la consapevolezza delle vulnerabilità e la loro mitigazione effettiva.

Scansione delle ASN e Attacchi Mirati

Per aumentare ulteriormente la portata degli attacchi basati su vecchie CVE, gli aggressori stanno sempre più rivolgendo la loro attenzione alle Autonomous System Number (ASN). Le ASN sono assegnate agli Internet Service Provider (ISP) e ai grandi operatori di rete per identificare le porzioni specifiche di Internet sotto la loro gestione. La scansione delle ASN consente agli attaccanti di individuare bersagli ideali all’interno di reti più ampie, poiché possono concentrarsi su organizzazioni specifiche con una visibilità limitata.

Questa pratica si basa su un modello di attacco altamente mirato, in cui gli aggressori identificano e sfruttano vulnerabilità all’interno di un’organizzazione specifica. Questo approccio mirato può comportare danni significativi, soprattutto quando le organizzazioni non hanno implementato misure di sicurezza adeguate per proteggersi da attacchi mirati.

La Discrepanza tra “Cybersecurity” e “Security”

La crescente prevalenza di attacchi basati su vecchie CVE e la scansione delle ASN mette in luce una discrepanza fondamentale tra la retorica della “cybersecurity” e la realtà della “security”. Mentre le organizzazioni investono sempre più risorse nella promozione della loro capacità di difendersi dalle minacce cibernetiche, la mancata attuazione di pratiche di sicurezza effettive è evidente.

Spesso, la promozione della cybersecurity è una mossa tattica per aumentare la fiducia dei clienti e degli investitori, ma la realtà è che molte organizzazioni non riescono a implementare adeguatamente le misure di sicurezza di base. Questo scollamento è alimentato da una serie di fattori, tra cui budget limitati, mancanza di personale qualificato e una cultura aziendale che non mette la sicurezza al centro delle sue operazioni.

I dati dei vari centri di ricerca dimostrano ancora una volta chela cybersecurity è una strategia operativa e processuale, che deve per forza raggiungere un obiettivo chiaro e concreto. Manca ancora una responsabilità precisa da parte delle aziende.

In definitiva, il trend degli attacchi digitali basati su vecchie CVE e la scansione delle ASN è una chiara dimostrazione che la sicurezza informatica è più importante che mai. Le organizzazioni devono affrontare questa sfida con urgenza e determinazione, altrimenti rischiano di rimanere vulnerabili alle sempre più sofisticate minacce cibernetiche.

ENG VERSION

The Trend of Digital Attacks: old vulnerabilities for modern failures

One of the most worrying trends in cybersecurity is attacks based on old Common Vulnerabilities and Exposures (CVE), which reveal a profound disconnect between the promotion of cybersecurity and its actual implementation.

Old CVEs: A Persistent Threat

CVEs represent unique identifiers assigned to specific computer vulnerabilities. These identifiers are used to track vulnerabilities and coordinate efforts to fix them.
However, old CVEs have become breeding grounds for digital attackers. Often, organizations fail to implement security patches in a timely manner, leaving the door open for attackers to exploit these notorious vulnerabilities.
But if we live in a world where every day thousands of “experts” stand in the chair saying how to do it, why are these old CVEs among the most sought after?
The answer is simple: we have thousands of vulnerability scans every day which, however, become difficult to remediate for various reasons

These attacks based on old CVEs are not just a one-time phenomenon; are now increasingly common. It’s embarrassing to still see scans looking for vulnerabilities exploitable by Wannacry.
Attackers exploit public knowledge about these vulnerabilities, knowing that many organizations are unable to keep pace with the arms race of cyber threats. This creates a significant disparity between awareness of vulnerabilities and their effective mitigation.

ASN Scanning and Targeted Attacks

To further increase the scope of attacks based on old CVEs, attackers are increasingly turning their attention to Autonomous System Numbers (ASNs). ASNs are assigned to Internet Service Providers (ISPs) and large network operators to identify specific portions of the Internet under their management. Scanning ASNs allows attackers to locate ideal targets within larger networks, as they can focus on specific organizations with limited visibility.

This practice is based on a highly targeted attack model, in which attackers identify and exploit vulnerabilities within a specific organization. This targeted approach can lead to significant damage, especially when organizations have not implemented adequate security measures to protect against targeted attacks.

The Discrepancy Between “Cybersecurity” and “Security”

The growing prevalence of attacks based on old CVEs and ASN scanning highlights a fundamental disconnect between the rhetoric of “cybersecurity” and the reality of “security.” As organizations invest more and more resources in promoting their ability to defend against cyber threats, the failure to implement effective security practices is evident.

Often, promoting cybersecurity is a tactical move to increase customer and investor confidence, but the reality is that many organizations fail to adequately implement basic security measures. This disconnect is fueled by a number of factors, including limited budgets, a lack of qualified staff and a company culture that does not put safety at the heart of its operations.

The data from the various research centers demonstrate once again that cybersecurity is an operational and procedural strategy, which must necessarily achieve a clear and concrete objective. There is still a lack of precise responsibility on the part of companies.

Ultimately, the trend of digital attacks based on old CVEs and ASN scanning is a clear demonstration that cybersecurity is more important than ever. Organizations must face this challenge with urgency and determination, otherwise they risk remaining vulnerable to increasingly sophisticated cyber threats.

Clownaborazione e Clowntract: Fornitori a supporto dei criminali digitali

Le “terze parti” nel contesto della sicurezza informatica si riferiscono a organizzazioni o individui esterni a un’azienda o a un’organizzazione, ma che sono coinvolti in alcun modo nelle operazioni o nei processi di quest’ultima. Queste terze parti possono avere un ruolo vario e diversificato nel panorama della cybersecurity. Ecco alcuni esempi delle terze parti più comuni e il loro ruolo nella sicurezza informatica:

Fornitori e Partner Commerciali: Queste sono aziende o entità con cui l’organizzazione intrattiene relazioni commerciali. Possono includere fornitori di servizi IT, fornitori di hardware o software, partner di outsourcing, e altro. Le terze parti in questo caso possono rappresentare un’importante superficie di attacco per gli attacchi informatici.

Fornitori di Servizi Cloud: Le organizzazioni spesso utilizzano servizi cloud per archiviare dati, eseguire applicazioni e altro ancora. I fornitori di servizi cloud sono terze parti che gestiscono l’infrastruttura e i dati dei clienti. La sicurezza di questi servizi è cruciale per garantire che i dati dell’organizzazione siano protetti da accessi non autorizzati e violazioni.

Consulenti in Sicurezza Informatica: Le organizzazioni spesso si rivolgono a consulenti esterni specializzati in sicurezza informatica per valutare le loro vulnerabilità, fornire consulenza strategica e assistere nella progettazione di politiche di sicurezza. I consulenti in sicurezza informatica sono terze parti che contribuiscono a migliorare la postura di sicurezza dell’organizzazione.

Aziende di Ricerca e Intelligence: Le aziende specializzate in ricerca sulla sicurezza informatica e intelligence sulle minacce forniscono informazioni preziose sulle minacce cibernetiche emergenti. Queste terze parti raccolgono e analizzano dati per identificare nuovi attacchi e tendenze, aiutando le organizzazioni a prepararsi meglio contro minacce future.

Appaltatori di Sviluppo di Software: Le organizzazioni spesso si affidano a terze parti per lo sviluppo di software personalizzato. La sicurezza del software è fondamentale per proteggere i dati e prevenire vulnerabilità che potrebbero essere sfruttate da malintenzionati.

Il Paradosso delle Terze Parti (I clownaboratori)

come abbiamo detto le terze parti sono organizzazioni o individui esterni che forniscono servizi o risorse alle aziende. Questo può includere fornitori, partner commerciali, consulenti, fornitori di servizi di cloud, o persino aziende specializzate nella sicurezza informatica. In teoria, le terze parti dovrebbero essere alleate preziose nella nostra lotta contro le minacce informatiche, ma la realtà è spesso molto diversa.

Attacchi Cibernetici di Successo: Un Trend Inquietante

Un trend preoccupante sta emergendo: gli attacchi cibernetici di successo tendono sempre più a sfruttare le terze parti come punto di ingresso.

I clownaboratori sono sufficientemente consapevoli dei rischi cibernetici?
Spesso,non sono adeguatamente formate o preparate per affrontare le minacce cibernetiche. Le loro vulnerabilità sono di fatto il nostro punto debole.

Quanto fiducia possiamo davvero avere nelle nei clownaboratori?
Anche se intratteniamo rapporti commerciali fidati con terze parti, fino a che punto possiamo essere certi della loro sicurezza informatica? Specialmente se pensiamo a enormi realtà con nomi altisonanti che pero’ VENDONO sicurezza e non la fanno!

I clownaboratori sono una minaccia inconsapevole o deliberata?
In alcuni casi, le terze parti potrebbero essere ignare delle loro vulnerabilità, ma in altri casi, potrebbero diventare involontari complici o addirittura agenti deliberati di attacchi cibernetici. La cosa diventa grave se i clownaboratori sono coloro che ci forniscono la sicurezza!

Come possiamo proteggerci in modo adeguato? Data la crescente complessità delle catene di fornitura e delle partnership commerciali, come possiamo garantire la sicurezza dei dati e delle risorse quando così tante terze parti sono coinvolte?

La Necessità di una Riconsiderazione della Sicurezza delle Terze Parti

Affrontare il problema delle terze parti richiede un’attenta riconsiderazione della sicurezza informatica. Ecco alcune strategie che le organizzazioni possono adottare per mitigare questa crescente minaccia:

Valutazione Continua: Effettuare valutazioni regolari della sicurezza delle terze parti coinvolte. Questo deve includere la valutazione delle loro politiche di sicurezza, dei protocolli di accesso ai dati e dei processi di sicurezza. Un metodo coerente sarebbe quello che i partner fornissero documenti (reali) di come gestiscono la qualità della sicurezza (iso/iec 15408-1:2009 per esempio è forse una delle migliori ISO per capire se effettivamente si fanno le cose bene, anche se va sempre mantenuta la cosa e deve essere recente NON di 20 anni prima!) Anche fornire dati di penetration test e non di un vulnerability scanner fatto con il tool di ammiocuggino

Monitoraggio Costante: Implementare sistemi di monitoraggio che consentano di individuare tempestivamente comportamenti anomali o violazioni nelle attività delle terze parti. La regola del zero-trust è valida se ben applicata (se male applicata vedi UK)

Contratti Protettivi e non clowntract come quelli attuali: Includere clausole di sicurezza rigorose nei contratti con le terze parti, stabilendo standard minimi per la sicurezza dei dati e definendo le responsabilità in caso di violazione.
Un contratto tra una terza parte e un cliente, con un focus sulla sicurezza informatica, dovrebbe essere un documento completo e dettagliato che stabilisce chiaramente le responsabilità, le aspettative e le misure di sicurezza che devono essere adottate per mitigare il rischio di violazioni della sicurezza. Questo contratto dovrebbe includere:

Definizione delle Responsabilità: Il contratto deve definire chiaramente le responsabilità delle due parti. Questo include le responsabilità della terza parte per quanto riguarda la protezione dei dati e la sicurezza informatica, nonché le responsabilità del cliente nell’adottare misure di sicurezza ragionevoli.

Politiche di Sicurezza: Il contratto dovrebbe richiedere che la terza parte abbia in atto politiche di sicurezza informatica adeguate, che includano procedure di accesso, crittografia dei dati, monitoraggio delle minacce e gestione degli incidenti. Queste politiche dovrebbero essere in linea con le migliori pratiche del settore.

Conformità alle Leggi e Regolamenti: Il contratto dovrebbe richiedere che la terza parte sia in conformità con tutte le leggi e i regolamenti applicabili in materia di sicurezza dei dati, compresi quelli relativi alla protezione della privacy.

Valutazione dei Rischi: Il contratto potrebbe richiedere che la terza parte conduca una valutazione dei rischi per identificare e mitigare le potenziali vulnerabilità. Questa valutazione dovrebbe essere periodica e dovrebbe essere condivisa con il cliente.

Gestione degli Incidenti: Il contratto dovrebbe stabilire una procedura chiara per la gestione degli incidenti di sicurezza informatica. Questo include la notifica tempestiva al cliente in caso di violazione dei dati e l’adozione di misure correttive.

Controllo e Ispezione: Il cliente dovrebbe avere il diritto di ispezionare e monitorare le misure di sicurezza della terza parte per garantire la conformità al contratto.

Formazione del Personale: Il contratto potrebbe richiedere che la terza parte fornisca formazione regolare al proprio personale per garantire una cultura di sicurezza informatica.

Termini di Risoluzione: Il contratto dovrebbe stabilire i termini e le condizioni per la risoluzione del contratto in caso di violazione delle misure di sicurezza o delle politiche stabilite.

Classe di Riservatezza: Il contratto dovrebbe includere una clausola di riservatezza che impedisca alla terza parte di divulgare o utilizzare i dati del cliente in modo improprio.

Audit Periodici: Il contratto può prevedere audit periodici da parte del cliente o di un terzo per verificare la conformità alle disposizioni di sicurezza del contratto.

Collaborazione: Collaborare con le terze parti per affrontare le sfide della sicurezza informatica in modo congiunto. La condivisione di informazioni e migliori pratiche può essere fondamentale per proteggere le risorse condivise.

Autenticazione: Assicurarsi che i partner adottino sistemi di autenticaizone decenti a piu fattori per loggarsi non solo sui vostri sistemi ma anche alle macchine (loro) che dovranno operare nella nostra infrastruttura!

Anche nel contesto dell’adozione del cloud computing, è fondamentale comprendere che la sicurezza informatica rimane una responsabilità cruciale che non può essere trascurata. La shared responsibility model (modello di responsabilità condivisa) assegna al cliente una parte significativa di responsabilità nella protezione dei dati e delle risorse nell’ambiente cloud. Mentre il provider cloud si occupa della sicurezza della piattaforma e dell’infrastruttura stessa, è il cliente che deve garantire la corretta configurazione delle risorse, la gestione degli accessi, la crittografia dei dati, la monitoraggio delle attività sospette e la gestione degli aggiornamenti di sicurezza. Questa divisione delle responsabilità sottolinea l’importanza di avere una solida strategia di sicurezza informatica, anche quando si fa affidamento al cloud. Ignorare la propria parte di responsabilità potrebbe mettere a rischio la sicurezza dei dati e delle applicazioni nell’ambiente cloud. Pertanto, è fondamentale che le organizzazioni comprendano appieno la shared responsibility model e adottino misure di sicurezza appropriate per proteggere i propri asset digitali.
Insomma chi pensa “vado sul cloud e sono al sicuro visto che ci pensano loro, ha già fallito in partenza”

Qualche giorno fa qualcuno mi chiese di “indicami un tools che mi metta al sicuro” gli risposi che non esiste tale tool e che ogni tipo di softwatre ha le sue debolezze o limitazioni e SOLO una strategia di sicurezza puo’ indicare tool a supporto delle operazioni e della mitigazione del rischio.
Alla fine il mio interlocutore non è riuscito a capire la differnza e si è dileguato cercando il sacro graal che gli facesse anche il caffè.
Questo comportamento porterà quasi sicuramente al un problema serio di sicurezza, ma è il trend comune attuale!

Il fatto stesso che oggi siano le terze parti a essere il rischio indica la cattiva strategia adottata negli anni:
I piu comuni errori sono questi pensieri:
1 – Mi proteggo solo da attacchi web e dai malware
2 – Vado sul cloud cosi sono al sicuro
3 – Ho il backup ma non ho mai provato a ripristinare
4 – abbiamo sempre fatto cosi non vedo perché cambiare
5 – mi fido del mio clownaboratore perché non ho mai avuto problemi
6 – uso quel tool e sono a posto, nemmeno devo controllarlo

Spesso, le istituzioni possono trovarsi in una situazione di svantaggio quando si tratta di sicurezza informatica e conoscenza tecnologica legate al cloud. Queste sfide possono derivare dalla mancanza di risorse finanziarie e di personale specializzato, il che può rendere difficile per loro adottare misure di sicurezza avanzate e sfruttare appieno i benefici delle tecnologie cloud.

Ci troviamo di fronte a nomi altisonanti che si pensa abbiano la capacità tecnica idonea e invece hanno conoscenze approssimative che si ripercuotono su tutta l’operatività dell’infrastruttura (e qui mi fermo perché altrimenti mi facico odiare ancor di piu’)

Per concludere, fare sicurezza e non venderla e basta, pretendere la sicurezza senza fidarsi di nessuno, perchè è in gioco la vostra azienda e non quella dfel cugino!

ENGLISH VERSION

Clownaboration and Clowntract: Suppliers supporting digital criminals

“Third parties” in the context of cybersecurity refer to organizations or individuals external to a business or organization, but who are involved in any way in the latter’s operations or processes. These third parties can have a varied and diverse role in the cybersecurity landscape. Here are some examples of the most common third parties and their role in cybersecurity:

Suppliers and Business Partners: These are companies or entities with which the organization has business relationships. They may include IT service providers, hardware or software vendors, outsourcing partners, and more. Third parties in this case can represent an important attack surface for cyber attacks.

Cloud Service Providers: Organizations often use cloud services to store data, run applications, and more. Cloud providers are third parties that manage customer infrastructure and data. The security of these services is crucial to ensuring that your organization’s data is protected from unauthorized access and breaches.

Cyber Security Consultants: Organizations often turn to external cybersecurity consultants to assess their vulnerabilities, provide strategic advice, and assist in designing security policies. Cybersecurity consultants are third parties who help improve the organization’s security posture.

Research and Intelligence Firms: Companies specializing in cybersecurity research and threat intelligence provide valuable insights into emerging cyber threats. These third parties collect and analyze data to identify new attacks and trends, helping organizations better prepare against future threats.

Software Development Contractors: Organizations often rely on third parties for custom software development. Software security is critical to protecting data and preventing vulnerabilities that could be exploited by attackers.

The Third Party Paradox (The Clownratories)

as we said, third parties are external organizations or individuals that provide services or resources to companies. This can include vendors, business partners, consultants, cloud service providers, or even companies specializing in cybersecurity. In theory, third parties should be valuable allies in our fight against cyber threats, but the reality is often very different.

Successful Cyber Attacks: A Disturbing Trend

A worrying trend is emerging: Successful cyber attacks increasingly tend to exploit third parties as an entry point.

Are clown laboratories sufficiently aware of cyber risks?

Often, they are not adequately trained or prepared to deal with cyber threats. Their vulnerabilities are in fact our weak point.

How much trust can we really have in clown workshops?

Even if we have trusted business relationships with third parties, to what extent can we be confident in their cybersecurity? Especially if we think of huge companies with high-sounding names that however SELL security and don’t do it!

Are clownaborators an unconscious or deliberate threat?

In some cases, third parties may be unaware of their vulnerabilities, but in other cases, they may become unwitting accomplices or even deliberate agents of cyberattacks. The matter becomes serious if the clown workers are the ones who provide us with security!

How can we protect ourselves adequately? Given the increasing complexity of supply chains and business partnerships, how can we ensure the security of data and assets when so many third parties are involved?

The Need for a Reconsideration of Third Party Security

Addressing the third-party problem requires a careful reconsideration of cybersecurity. Here are some strategies organizations can adopt to mitigate this growing threat:

Continuous Assessment: Conduct regular security assessments of the third parties involved. This must include evaluating their security policies, data access protocols and security processes. A consistent method would be for partners to provide (real) documents of how they manage security quality (iso/iec 15408-1:2009 for example is perhaps one of the best ISOs to understand if things are actually being done well, even if it goes always maintained and it must be recent NOT 20 years old!) Also provide penetration test data and not a vulnerability scanner done with the ammiocuggino tool (but first understand the difference and recognize a well done pt!)

Constant Monitoring: Implement monitoring systems that allow the timely identification of anomalous behavior or violations in the activities of third parties. The zero-trust rule is valid if well applied (if poorly applied see UK)

Protective and non-clown contracts like the current ones: Include strict security clauses in contracts with third parties, establishing minimum standards for data security and defining responsibilities in the event of a breach.

A contract between a third party and a customer, with a focus on cybersecurity, should be a comprehensive and detailed document that clearly sets out the responsibilities, expectations and security measures that must be taken to mitigate the risk of security breaches. This contract should include:

Definition of Responsibilities: The contract must clearly define the responsibilities of the two parties. This includes the third party’s responsibilities regarding data protection and cybersecurity, as well as the customer’s responsibilities to take reasonable security measures.

Security Policies: The contract should require that the third party has adequate cybersecurity policies in place, which include access procedures, data encryption, threat monitoring and incident management. These policies should be in line with industry best practices.

Compliance with Laws and Regulations: The contract should require the third party to be in compliance with all applicable laws and regulations relating to data security, including those relating to the protection of privacy.

Risk Assessment: The contract may require the third party to conduct a risk assessment to identify and mitigate potential vulnerabilities. This assessment should be periodic and should be shared with the client.

Incident Management: The contract should establish a clear procedure for managing cybersecurity incidents. This includes promptly notifying the customer of a data breach and taking corrective action.

Control and Inspection: The customer should have the right to inspect and monitor the third party’s security measures to ensure compliance with the contract.

Staff Training: The contract may require the third party to provide regular training to its staff to ensure a cybersecurity culture.

Termination Terms: The contract should establish the terms and conditions for termination of the contract in the event of a violation of established security measures or policies.

Class of Confidentiality: The contract should include a confidentiality clause that prevents the third party from disclosing or using customer data improperly.

Periodic Audits: The contract may provide for periodic audits by the customer or a third party to verify compliance with the security provisions of the contract.

Collaboration: Collaborate with third parties to jointly address cybersecurity challenges. Sharing information and best practices can be critical to protecting shared resources.

Authentication: Make sure partners adopt decent multi-factor authentication systems to log in not only to your systems but also to (their) machines that will be operating in our infrastructure!

Even in the context of cloud computing adoption, it is critical to understand that cybersecurity remains a crucial responsibility that cannot be overlooked. The shared responsibility model places a significant portion of responsibility on the customer for protecting data and assets in the cloud environment. While the cloud provider takes care of the security of the platform and the infrastructure itself, it is the customer who must ensure the correct configuration of resources, access management, data encryption, monitoring of suspicious activities and management of security updates . This division of responsibilities highlights the importance of having a solid cybersecurity strategy, even when relying on the cloud. Ignoring your share of responsibility could put the security of data and applications in the cloud environment at risk. Therefore, it is critical that organizations fully understand the shared responsibility model and take appropriate security measures to protect their digital assets.

In short, anyone who thinks “I’ll go to the cloud and I’m safe since they take care of it has already failed from the start”

A few days ago someone asked me to “show me a tool that will keep me safe” I replied that no such tool exists and that every type of software has its weaknesses or limitations and ONLY a security strategy can indicate tools to support operations and risk mitigation.

In the end my interlocutor was unable to understand the difference and disappeared looking for the holy grail that would also make him coffee.

This behavior will almost certainly lead to a serious security problem, but it is the current common trend!

The very fact that today third parties are the risk indicates the bad strategy adopted over the years:

The most common errors are these thoughts:

1 – I only protect myself from web attacks and malware

2 – I go to the cloud so I’m safe

3 – I have backup but have never tried to restore

4 – we have always done it this way, I don’t see any reason to change

5 – I trust my clown because I have never had any problems

6 – I use that tool and I’m fine, I don’t even have to check it

Often, institutions can find themselves at a disadvantage when it comes to cloud-related cybersecurity and technological knowledge. These challenges may arise from a lack of financial resources and specialized personnel, which can make it difficult for them to adopt advanced security measures and fully exploit the benefits of cloud technologies.

We are faced with high-sounding names who are thought to have the appropriate technical ability and instead have approximate knowledge which has repercussions on the entire operation of the infrastructure (and here I will stop because otherwise I will make myself hated even more)

To conclude, create security and don’t just sell it, demand security without trusting anyone, because your company is at stake and not your cousin’s!

La Maturità della Legge Italiana e i Nuovi Crimini Digitali: Una Prospettiva Critica

L’era digitale ha portato con sé una rivoluzione tecnologica che ha profondamente influenzato ogni aspetto della nostra vita quotidiana, inclusa la nostra percezione della sicurezza e della legalità. La rapidità con cui la tecnologia si è evoluta ha reso possibile l’emergere di nuovi tipi di crimini, conosciuti come “crimini digitali”, che sfidano la capacità delle leggi esistenti di affrontarli in modo adeguato. In Italia, come in molti altri paesi, la legge sta lottando per tenere il passo con questa rapida evoluzione tecnologica. In questo articolo, esamineremo le ragioni per cui la legge italiana non è ancora matura per affrontare i nuovi crimini digitali, fornendo esempi concreti delle lacune nel sistema legale.

La natura mutevole dei crimini digitali

Uno dei principali ostacoli che la legge italiana affronta nell’affrontare i crimini digitali è la loro natura mutevole e sempre in evoluzione. Gli autori di crimini digitali sono noti per la loro capacità di adattarsi rapidamente alle nuove tecnologie e ai cambiamenti nei comportamenti online. Questo rende estremamente difficile per il legislatore mantenere le leggi aggiornate e rilevanti. Ad esempio, l’emergere di criptovalute e la crescente popolarità dei mercati online darknet hanno reso difficile per le autorità perseguire le attività illegali associate a questi mezzi finanziari.
I criminali digitali, diversi dagli hacker, sono noti per la loro capacità di adattarsi rapidamente alle nuove tecnologie e ai cambiamenti nel panorama digitale. Questa adattabilità costante è ciò che rende così difficile per il sistema legale tenerli sotto controllo. Per esempio, i virus e il malware che una volta erano rudimentali si sono evoluti in sofisticati strumenti di attacco che possono infiltrare sistemi altamente protetti.

Un esempio emblematico di questa evoluzione è rappresentato dagli attacchi ransomware. Inizialmente, questi attacchi consistevano semplicemente nel bloccare l’accesso ai dati della vittima e richiedere un riscatto per sbloccarli. Tuttavia, i criminali digitali hanno sviluppato nuove varianti di ransomware che non solo cifrano i dati, ma anche minacciano di rivelarli pubblicamente, mettendo le vittime sotto pressione aggiuntiva.

Protezione dei dati e privacy

La protezione dei dati personali è diventata una questione critica nella società digitale odierna. Tuttavia, la legge italiana non è ancora completamente allineata con le normative europee in materia di protezione dei dati, come il Regolamento Generale sulla Protezione dei Dati (GDPR). Questo ha creato un vuoto normativo che può essere sfruttato da criminali digitali per rubare dati sensibili, causando danni significativi alle vittime. Ad esempio, nel 2020, un attacco informatico alla piattaforma di tracciamento COVID-19 dell’Italia ha compromesso i dati personali di migliaia di cittadini, mettendo in evidenza la vulnerabilità del sistema alla luce delle nuove minacce digitali.

Difficoltà di identificazione e giurisdizione

Un’altra sfida che la legge italiana affronta è la difficoltà di identificare e perseguire gli autori di crimini digitali. Gli attacchi informatici possono essere condotti da individui o gruppi situati in tutto il mondo, sfruttando l’anonimato offerto dalla rete. Questo rende spesso difficile stabilire una giurisdizione competente per perseguire i responsabili. Ad esempio, se un gruppo di hacker esteri attacca un’azienda italiana, le autorità italiane potrebbero avere difficoltà a identificare e perseguire gli autori a causa delle sfide legali transnazionali.

Uno degli aspetti più complessi della lotta contro i crimini digitali è la loro natura senza frontiere. Gli hacker possono operare da qualsiasi parte del mondo e aggirare facilmente le giurisdizioni nazionali. Questo rende estremamente difficile per le forze dell’ordine e il sistema giudiziario identificare, perseguire e arrestare i responsabili.

Ad esempio, un hacker in Russia potrebbe condurre un attacco informatico contro un’azienda negli Stati Uniti e nascondersi dietro numerosi livelli di anonimato e criptazione. Le autorità statunitensi potrebbero lottare per affrontare questo problema a causa delle barriere giurisdizionali e delle sfide legate all’estradizione. Questa globalizzazione dei crimini digitali ha reso necessaria una cooperazione internazionale più stretta per affrontare questa minaccia.

Il furto delle foto per azioni criminali

La condivisione di foto e immagini online è diventata una pratica comune. Tuttavia, con la crescente diffusione di smartphone e social media, è emerso un problema che la legge italiana sta affrontando con difficoltà: il furto delle foto. Questo fenomeno solleva una serie di sfide complesse per le autorità e il sistema giudiziario, rendendo difficile l’imputazione dei responsabili. In questo articolo, esamineremo le ragioni per cui il furto delle foto è un reato di difficile imputazione secondo la legge italiana.

La Difficoltà nella Prova dell’Intenzione Criminale

Una delle principali sfide nell’affrontare il furto delle foto è la difficoltà di provare l’intenzione criminale del presunto colpevole. Spesso, le persone condividono immagini online attraverso social media o servizi di messaggistica senza una chiara comprensione delle implicazioni legali. In molti casi, il furto delle foto può derivare da una mancanza di consapevolezza sul fatto che stanno commettendo un reato.

Per esempio, il semplice atto di condividere una foto su un social media può consentire a terzi di scaricarla o salvarla senza l’intenzione di commettere un reato. Questo solleva la domanda di come si possa dimostrare che il download o il salvataggio di una foto sia stato fatto con l’intenzione specifica di commettere un furto. La legge italiana richiede prove solide per stabilire l’intenzione criminale, il che può essere estremamente difficile quando si tratta di reati digitali come il furto delle foto.

L’Anonimato Online e la Difficoltà nell’Identificazione dei Colpevoli

Un’altra sfida chiave nell’affrontare il furto delle foto è l’anonimato relativo alla maggior parte delle attività online. I responsabili possono utilizzare pseudonimi o account falsi per condurre le loro attività criminali, rendendo difficile l’identificazione. In molti casi, gli autori di furto delle foto possono nascondersi dietro una serie di livelli di protezione online, tra cui l’uso di reti private virtuali (VPN) e tecnologie di anonimizzazione.

Inoltre, la giurisdizione può diventare un problema. Se il presunto colpevole si trova in un’altra giurisdizione o addirittura in un altro paese, diventa ancora più difficile perseguirlo legalmente. Questa complicazione geografica può ritardare o ostacolare ulteriormente l’identificazione e l’imputazione dei responsabili.

Le Lacune nella Legge Italiana

La legge italiana, come molte altre leggi in tutto il mondo, sta cercando di adattarsi a questa nuova realtà digitale. Tuttavia, esistono ancora lacune significative nella legislazione che rendono difficile l’imputazione dei responsabili del furto delle foto. La legge italiana è in gran parte basata su norme e leggi che precedono l’era digitale, il che rende complesso applicarle in modo efficace a reati digitali come questo.

Mancano leggi specifiche e chiare sul furto delle foto e sulle conseguenze legali per coloro che commettono questo reato. Inoltre, il confine tra la condivisione lecita e il furto delle foto è spesso sfumato, rendendo difficile stabilire quando un comportamento attraversa la linea di legalità.
La necessità di formazione e risorse

Per affrontare con successo i crimini digitali, le forze dell’ordine e il sistema giudiziario richiedono una formazione specializzata e risorse adeguate. Tuttavia, in Italia, la formazione in materia di cybercriminalità è ancora insufficiente, e le risorse assegnate a questa area sono spesso limitate. Questo crea un divario tra la crescente complessità delle minacce digitali e la capacità delle autorità di rispondere efficacemente. Un esempio tangibile di questa carenza è il ritardo nella risoluzione dei casi di cybercrime e nella cattura dei colpevoli.

In conclusione, la legge italiana sta facendo del suo meglio per affrontare i nuovi crimini digitali che affliggono la società moderna. Tuttavia, vi sono chiare lacune che devono essere affrontate per garantire una protezione adeguata ai cittadini e alle imprese. Queste lacune includono la necessità di leggi più flessibili e aggiornate, una maggiore armonizzazione con le normative europee, una migliore collaborazione internazionale per affrontare la sfida della giurisdizione e un investimento significativo nella formazione e nelle risorse per le forze dell’ordine e il sistema giudiziario. Solo attraverso queste misure sarà possibile rafforzare la maturità della legge italiana nel contesto dei crimini digitali e garantire una giustizia adeguata per le vittime di questa crescente minaccia.

I rischi delle perizie forensi create con ChatGPT (e simili)

Limiti nell’analisi dei dati eccessivamente conversazionali

Nell’era digitale in cui viviamo, l’utilizzo di intelligenza artificiale (IA) per svolgere attività complesse ha guadagnato una crescente attenzione.

Uno degli ambiti in cui l’IA sta facendo ingresso è quello forense, dove strumenti come ChatGPT vengono utilizzati per generare perizie forensi nei tribunali italiani.

Tuttavia, è fondamentale considerare i rischi associati a queste perizie, in particolare la loro limitata capacità di analizzare i dati eccessivamente conversazionali.

L’utilizzo di ChatGPT nelle perizie forensi e la sua natura conversazionale potrebbe compromettere l’integrità del processo.

Limitata capacità analitica

ChatGPT è un modello di IA progettato per generare testi coerenti in base a input conversazionali.

Tuttavia, la sua capacità di analizzare e interpretare i dati in modo accurato è limitata.

Nell’ambito delle perizie forensi, dove è richiesta un’analisi dettagliata e approfondita delle prove digitali, l’utilizzo di un modello di conversazione come ChatGPT può portare a conclusioni incomplete o adirittura inventate di sana pianta. In pratica se diciamo a chatGPT che il computer del sospetto è stato trovato su marte e le condizioni atmosferiche ne hanno comprom,esso l’integrità magnetica subatomica, chatGPT costruirà un testo apparentemente logico basato sull’assurdo!

Rischio di interpretazioni distorte

Poiché ChatGPT impara dai dati forniti, incappiamo nel rischio che l’interpretazione delle prove digitali sia distorta o influenzata dai dati di addestramento.

Se il modello viene esposto a informazioni errate o fuorvianti, le perizie prodotte possono essere tendenziose o inesatte.

Ciò mette in discussione l’obiettività e l’imparzialità delle prove digitali presentate in tribunale.

L’interpretazione sarà sempre dettata dalla capacità investigativa e dall’esperienza, inoltre vista la quantità enorme di dati a volte apparentemente simili potrebbe arrivare a conclusioni del tipo: “quella persona era agli antipodi nella stessa ora e nello stesso giorno”, tanto per capirci

Mancanza di contesto e comprensione legale

La comprensione delle implicazioni legali e la capacità di contestualizzare le prove sono essenziali per le perizie forensi. Tuttavia, ChatGPT è intrinsecamente privo di esperienza legale o di una comprensione approfondita del contesto giuridico specifico. Questo porta a una mancanza di precisione e completezza nelle analisi delle prove, con conseguenti conseguenze negative per il processo giudiziario.

In definitiva, chi ha già provato a creare rapporti forensi usando l’analisi di chatGPT ha di fatto usato un potere enorme in maniera errata, dove non ha tenuto conto che le sue “conclusioni” se affidate a chatGPT rischiano di far cadere in grossi guai un innocente!

Assenza di accountability e responsabilità

Un aspetto critico nell’utilizzo di perizie forensi basate su ChatGPT è la questione della responsabilità.

Chi è responsabile delle conclusioni raggiunte dal modello?

Come si può garantire l’accountability in caso di errori o interpretazioni errate?

La mancanza di un esperto umano nel processo di creazione delle perizie può sollevare preoccupazioni sulla trasparenza e sulla possibilità di contestare le conclusioni presentate.

Come riconoscere una analisi/perizia forense creata con chatGPT?

Riconoscere un’analisi di una perizia forense del tribunale creata da ChatGPT può essere un compito impegnativo, ma ci sono alcuni elementi che potrebbero suggerire l’utilizzo di un modello di intelligenza artificiale come ChatGPT.
Ecco alcune indicazioni da considerare:

Stile e coerenza del testo
Le perizie forensi tradizionali sono solitamente scritte in modo tecnico e obiettivo, seguendo precise convenzioni stilistiche. Se l’analisi della perizia presenta un linguaggio conversazionale, formulazioni poco tecniche o un tono informale (senza battute sicuramente!), è quasi certamente un segnale dell’utilizzo di ChatGPT o di un altro modello di intelligenza artificiale.

Limiti e incongruenze
Se l’analisi della perizia presenta limiti evidenti o incongruenze nella comprensione del contesto legale o delle procedure forensi, potrebbe essere un’indicazione dell’utilizzo di un modello di intelligenza artificiale. ChatGPT non è in gradi di comprendere appieno le sottili sfumature delle norme legali e presenta errori o mancanze di contesto.

Segni di generazione automatica del testo
L’utilizzo di modelli di intelligenza artificiale come ChatGPT può portare a segni di generazione automatica del testo. Ad esempio formulazioni simili in più sezioni della perizia sono segni di modelli digitali.

Assenza di analisi approfondita dei dati
Se l’analisi della perizia manca di una valutazione dettagliata e approfondita dei dati o si limita a fornire conclusioni generali senza un’adeguata spiegazione dei processi o delle metodologie utilizzate, è un segno che l’analisi è stata generata da un modello di intelligenza artificiale!

È importante sottolineare che il riconoscimento di un’analisi di una perizia forense creata da ChatGPT non è sempre immediato o facile.

Tuttavia, se sorgono dubbi sull’origine dell’analisi o sulla sua validità, è fondamentale porre domande all’autore della perizia o richiedere ulteriori dettagli per comprendere meglio il processo di creazione delle prove digitali.

Sebbene l’intelligenza artificiale, come ChatGPT, sembra promettente per semplificare alcune attività forensi, è importante riconoscere i rischi associati all’utilizzo di modelli conversazionali nella generazione di perizie forensi, uno di questi è sicuramente il rischio di fornire evidenze del tutto sballate.

La limitata capacità di analisi dei dati e la mancanza di esperienza legale compromettono l’integrità delle prove digitali e mettono a rischio l’esito del processo. Un giudice si basa sull’esperienza e la capacità del perito e quindi non è suo compito mettere in dubbio quando scritto nel rapporto (salvo una controperizia da parte della difesa).

Per concludere, la tecnologia non ha cervello, nemmeno la AI! Se speriamo diventi il deus ex machina allora aumenteranno i problemi e basta e avremo l’era di Idiocracy definitiva

Cinabro

Ransomware survival Guide 1.0

Ransomware attacks are a type of cyberattack that involves the use of malware to encrypt an organization’s files and hold them for ransom. The goal of a ransomware attack is to extort money from the victim by threatening to delete or release sensitive data.

Ransomware attacks can target any organization, from small businesses to large corporations, and they typically follow a similar pattern. Here’s how a typical ransomware attack might unfold:

1. Delivery: Ransomware is usually delivered via phishing emails or malicious websites. Attackers may send out thousands of phishing emails in the hope that someone will click on a link or open an attachment containing the malware.
   But also thru know or 0-day vulnerabilities, for this reason, private sites or emails are the ones targeted the most, thanks also to the fact that there is the belief “I have nothing that interests hackers”, well maybe you have nothing interesting but you become a heel vehicle where criminals use your email or your site to perform criminal activities and remember that the police forces will come looking for you!
   
2. Installation: Once the ransomware is delivered, it will attempt to install itself on the victim’s computer or network. This may involve exploiting vulnerabilities in software or operating systems to gain access to the system.
3. Encryption: Once installed, the ransomware will begin encrypting the victim’s files. This can take several times, depending on the amount of data that needs to be encrypted (so why no hints something bad is happening?).
   
4. Ransom Demand: Once the encryption process is complete, the attacker will send a ransom demand to the victim. This usually involves a message on the victim’s computer screen or an email containing instructions on how to pay the ransom.
   
5. Payment: If the victim decides to pay the ransom, they will typically be directed to a payment portal or Bitcoin wallet. Once payment is made, the attacker will provide a decryption key that can be used to unlock the victim’s files.
   
6. Removal: Even if the victim pays the ransom and receives the decryption key, they will still need to remove the ransomware from their system. This can be a difficult and time-consuming process, as ransomware is designed to be hard to detect and remove.

Not all ransomware attacks follow this exact pattern. Some attackers may use different delivery methods or demand different payment methods. Additionally, some ransomware attacks may involve stealing data as well as encrypting it, in order to give the attacker more leverage in their extortion attempt.

In any case, ransomware attacks can be incredibly disruptive and costly for organizations, and it’s important to take steps to prevent them from occurring in the first place. This may involve implementing security measures such as antivirus software, email filters, and network segmentation, as well as providing employee training on how to recognize and avoid phishing attacks.


The Scope

This is a generic explanation of what ransomware is and how it works.
The questions we want to answer in this article are:

1) Given the multiple activities involving the infection and given the investments made by some companies, how is it possible that there is not even a small alarm?

2) How can we implement defenses to minimize the risk of being affected by ransomware, knowing that they are constantly evolving and a standard solution cannot be a winner?

Let’s give a look to common point of ransomware activities and common mechanism:

1 – Attack vector
2 – pre-infection activities
3 – infection
4 – persistence
5 – data exfiltration

Let’s try to analyse all those steps and find weak spot of modern defense and try to find the best process and the best solution

Attack Vector

A ransomware attack vector is the means by which ransomware is delivered to a victim’s computer or network. Ransomware can be delivered through a variety of attack vectors, including email phishing, malvertising, drive-by downloads, and exploit kits. Here are some common ransomware attack vectors:

Email Phishing: Email phishing is the most common ransomware attack vector. Attackers will send an email that appears to be from a legitimate source, such as a bank or a shipping company, and contain a link or attachment that, when clicked or opened, will download the ransomware onto the victim’s computer.
Malvertising: Malvertising involves the use of malicious advertisements that are displayed on legitimate websites. These ads may contain a script that downloads the ransomware when clicked or opened
Drive-By Downloads: A drive-by download is a type of attack that occurs when a victim visits a compromised website. The website will then download and install the ransomware without the victim’s knowledge or consent.
Exploit Kits: An exploit kit is a pre-packaged set of software tools that are designed to exploit vulnerabilities in software or operating systems. Attackers will use these kits to gain access to a victim’s computer or network and install the ransomware.
Remote Desktop Protocol (RDP) Attacks: RDP attacks involve attackers gaining access to a victim’s computer or network through an open RDP port. Once inside, they can install the ransomware and encrypt the victim’s files.
Social Engineering: Social engineering involves tricking a victim into downloading and installing the ransomware. Attackers may use social engineering tactics such as phone calls or messages that appear to be from a trusted source, in order to convince the victim to download and install the ransomware.

According to estimates by international research centers in 2022, 91% of ransomware attacks were performed through phishing.
Which means an email has arrived and someone has opened it.

If it was opened on a private computer at home we can assume that the protections are minimal as there is a tendency to think that cybercriminals ONLY attack large companies.
This way of thinking is harmful and completely wrong. Private users are the most affected precisely because of the lack of effective basic security.
The multitude of private users provide an easy and infinite playground for criminals.
Safeguarding private users is not easy, given the anarchy and the wrong approach, furthermore every private user is also part of a company and this means that the consequences of an attack on the private could very well affect the company to which it belongs.
To avoid this, the company must write well-defined policies that limit the use of company resources at home, for example: do not use the company laptop on the same LAN as the home, do not look at private emails on the work laptop and the whole series of “acceptable use” of computer programs and the use of devices such as USB.

If the infection takes place within the company perimeter, multiple aspects and problems must be evaluated. Getting infected with ransomware could also prove to be a great lesson in the mistakes you made in securing your business. Sure, a dearly paid lesson and shouldn’t happen (except in the lab). So how can we limit the attack vector? Surely adequate threat intelligence and the development of corporate threat profiling are two winning activities in the fight against ransomware. We need to stop adopting the strategies: we wait for it to happen and then we will implement the security measures. This strategy is 99% of the failure of modern cybersecurity, as well as a waste of budget (I buy that product that costs a lot and promises to bring me coffee in the morning too)

Threat Intelligence
The whole world collects thousands of data every day to fight and prevent attacks, including ransomware. Adopting the right threat intelligence strategy is now necessary to be preventive and proactive. If we rely on unique intelligence about the vendor we adopt or the attacks in the specific country in our company, we risk limiting ourselves and not being adequately proactive. I have often noticed that certain ones could have been avoided if one had looked further than one’s nose. For example, a ransomware that turns out to be active in England is useful to use those IoCs even if we live in Italy. DO NOT wait to see it in our ASNs.

For correct intelligence we must first profile our business to identify weak spots.
Another huge mistake of modern cybersecurity is thinking that there is a unique strategy to defend against attacks. It’s right to prepare for what we don’t know yet will happen!
It is not an impossible thing if we know how to outline our strengths and weaknesses well. Having clear our attack surface is essential, monitoring everything is equally essential, especially in the case of ransomware which makes quite a noise in the network and with the right precautions it is possible to mitigate or avoid the infection

Reducing the possibility of infection means limiting digital anarchy and evaluating aspects of information security cybersecurity digital security and governance, everything must be orchestrated in the best way because each area must put its knowledge for an ideal defense.
For example, many companies do not see corporate telephony, corporate and personal smartphones as an attack vehicle. The answer is usually: “they just do this or that”, never a sentence was more wrong

Some basic rules are:

• Write appropriate policies on the acceptable use of corporate digital assets
• Limit the interaction of digital private life to working life (basically private emails can be read very well on their phone!)
• Prevent users’ private devices from interacting with company resources, therefore no USB at home or private mobile phones connected to wifi and LAN
  These are just some of the mitigations, but the concept is the same: clearly distinguish user and company.

We also need to dispel a myth: you DON’T have to spend thousands of euros to be able to monitor every single thing, you need to have the necessary skills to know what they are like, you need to decide whether to be the mechanic who knows that that screw is turning, do this from the mechanic who knows all of which happens by turning the screw in the whole engine.

An indispensable thing is to NEVER trust the defense tools that we adopt, I mean that if you think you are spending a lot of money and that you just need to turn on the firewall of another and you are safe, you are wrong! I’ve seen myriads of fortigates used as a simple router without a rule!

Secure DNS
It is also very important not to neglect the security of our DNS, relying on a free DNS is not always the ideal choice as we must not trust the DNS provided by our ISP. It is always useful to have everything under control and based on the criticality of the assets to be secured we must make suitable choices.
Securing DNS against ransomware is an important step to prevent malicious actors from infecting an organization’s network and encrypting their files for ransom. Here are some technical details on how to secure DNS against ransomware:

1. Implement DNS Security Extensions (DNSSEC): DNSSEC is a security protocol that helps to prevent DNS spoofing attacks by adding digital signatures to DNS records. DNS spoofing attacks can be used by ransomware to redirect legitimate DNS queries to malicious websites, leading to infections. Implementing DNSSEC can help to prevent these attacks and ensure that DNS responses are authentic and trustworthy.
2. Use DNS Firewall: DNS Firewall is a security solution that provides real-time threat intelligence and blocks access to known malicious domains. DNS Firewall can be used to block access to known ransomware command and control servers, preventing them from communicating with infected devices in the organization’s network. This can help to stop the spread of ransomware and prevent encryption of files.
3. Implement DNS Sinkholing: DNS sinkholing is a technique used to redirect malicious DNS requests to a non-existent or harmless IP address. By redirecting DNS requests for known malicious domains to a non-existent IP address, organizations can prevent ransomware from connecting to the command and control servers and carrying out encryption of files.
4. Implement Network Segmentation: Network segmentation is the process of dividing an organization’s network into smaller subnetworks or segments. This can help to prevent ransomware from spreading across the entire network by isolating infected devices and containing the infection. DNS can be used to enforce network segmentation by directing traffic to the appropriate network segment.
   
   A couple of nice solution are BIND9 (in chroot) and UNBOUND
   https://www.isc.org/bind/
   https://nlnetlabs.nl/projects/unbound/about/
   Here a nice description how to implement bind9 on debian
   http://clark.tipistrani.it/?p=1782
   
   
   
   

Indicator of Compromise

Indicators of compromise (IoCs) are pieces of information that can be used to identify potential security threats. Using IoCs can be an effective way to defend against ransomware by detecting and responding to potential attacks. Here are some steps on how to use correct IoCs to defend against ransomware:

1. Identify relevant IoCs: The first step is to identify relevant IoCs for defending against ransomware. These can include IP addresses, domain names, email addresses, file hashes, and other indicators that are associated with known ransomware variants or attacks.
2. Monitor network traffic: Once relevant IoCs have been identified, it is important to monitor network traffic for any suspicious activity. This can be done using network monitoring tools that can detect anomalous traffic patterns or connections to known malicious domains or IP addresses.
3. Use threat intelligence: Threat intelligence feeds can provide up-to-date information on known ransomware attacks and IoCs associated with those attacks. By using threat intelligence feeds, organizations can proactively identify and respond to potential ransomware attacks before they can cause damage.
4. Implement automated defenses: Automated defenses such as firewalls, intrusion detection systems (IDS), and antivirus software can be used to automatically block or quarantine traffic associated with known ransomware IoCs. These defenses can be configured to trigger alerts or take immediate action to prevent the spread of ransomware across the network.
5. Share information: Sharing information on IoCs with other organizations or security communities can help to prevent ransomware attacks from spreading. This can be done through threat intelligence sharing platforms or by participating in industry-specific information sharing groups.
6. Conduct regular security audits: Regular security audits can help to identify potential vulnerabilities in an organization’s network or security controls. These audits can be used to update IoCs and refine defenses against ransomware attacks.

Using appropriate IoCs and studying the behavior analyzes made by others is often the key to avoiding even a new generation of ransomware. So don’t be static but always preventive and proactive!

Server protection

A server in production must ALWAYS have successfully passed hardening, penetration tests and security assessments.
Once the chances of exploits from known attacks and weak configurations have been reduced, it is a good idea to limit the information that the server provides to third parties.
Better to use a DROP rather than a REJECT in short.
Obviously the hardening must also be done on all the services that the server offers (and without saying the deleted unused default services).
Our server must EXCLUSIVELY perform the operations for which it is designed, everything that is not its operation MUST BE ELIMINATED!

In Linux it is always good to use jailkits to secure processes

A secure server is not said to be secure forever, so it is necessary to implement tools that provide information on everything that happens or has happened on the server.
Then implement:

Integrity monitor
Policy monitors

They are fundamental!

An integrity monitor on a server is a security tool that is designed to detect any unauthorized changes to critical files and system configurations. The integrity monitor continuously monitors and tracks the status and integrity of the server’s files and settings, and alerts system administrators if any changes are detected that could indicate a security breach or unauthorized access.

An integrity monitor typically works by comparing the current state of a file or system configuration to a known baseline or reference state, which is established during initial system setup or configuration. The reference state includes details such as file size, permissions, and modification timestamps, and is used as a basis for comparison to identify any changes made to the server.

When changes are detected, the integrity monitor generates alerts or notifications that can be used by system administrators to investigate and remediate the issue. For example, if a file is modified without proper authorization, the integrity monitor can detect the unauthorized change and notify the appropriate personnel. This can help to identify and address security breaches, data breaches, or other unauthorized activities that may be occurring on the server.

Integrity monitoring is particularly important for servers that store sensitive or confidential data, such as financial data, personally identifiable information (PII), or healthcare data. By implementing an integrity monitor, organizations can ensure the security and integrity of their data and systems, and help to prevent data breaches or other security incidents that could result in loss of data, revenue, or reputation damage.

A policy monitor on a server is a security tool that is designed to enforce and monitor compliance with organizational security policies and best practices. The policy monitor typically includes a set of predefined policies and rules that define how the server should be configured and managed to ensure security and compliance with regulatory requirements.

The policy monitor continuously checks the server’s configurations and settings against the predefined policies and rules, and generates alerts or notifications if any discrepancies or violations are detected. For example, if a user creates an account with a weak password, the policy monitor can detect the violation and generate an alert to notify the appropriate personnel.

The policy monitor can be customized to suit the specific needs of the organization, and may include policies related to password management, access control, data encryption, antivirus and firewall configurations, software updates and patches, and more. The policy monitor can also be configured to automatically remediate any policy violations, such as resetting a weak password or disabling an unauthorized user account.

By implementing a policy monitor, organizations can ensure that their servers are configured and managed in accordance with best practices and regulatory requirements, and minimize the risk of security breaches, data loss, or other security incidents. The policy monitor can also help organizations to demonstrate compliance with regulatory requirements and standards, such as HIPAA, PCI DSS, or ISO 27001.

For example on linux server can be configure tools like logwatch (apt install logwatch) or use a powershell script like https://github.com/akunzai/windows-secure-auditor

We need to know what administrative user do, who logged in and activities! Do not forget to write a specific policy for that.

Also for linux server can be used additional security layer with PORTSENTRY (apt install portsentry) and an HIDS like PSAD (apt install psad) and of course OSSEC (https://www.ossec.net/) used with active response can be a very powerful tool.

Client Security
And here we are on the sore side, the client, where myriads of users hit the keys carelessly convinced that behind there are wizards like Harry Potter able to do magic and keep everything safe.
It is right to make employees aware, but we need to start from some assumptions:

• Employees don’t want responsibility, they have to do the job and they will always try to do it their own way. So if the security is too restrictive they will always try to circumvent it thus becoming your most feared enemy. When you create a policy, talk to the various teams and try to create a policy that doesn’t disrupt your daily work but doesn’t leave gaps either
• In my opinion, responsibility for the use of corporate digital assets must be taught, correct use of the email browser, etc. must be made responsible by policies that indicate that if they are used in any other way, one is liable to something, no terrorism, but the corporate good it must be protected and the user must never be trusted!

Especially in Windows client we need to monitor and put something to stop usual ransomware behaviour, implementing PUA (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/detect-block-potentially-unwanted-apps-microsoft-defender-antivirus?view=o365-worldwide) and secure folder option form Windows defender are just a good first step.

To finish this article also use a LAN honeypot to caught ranbsomware activities or other bad behaviour.

Here a list of software can be useful:

SparkyzCodez/FSRM-Anti-ransomware: A suite of PowerShell and Python scripts to help you fight ransomware using both known filespecs and zero-day resistant honey traps.

https://github.com/davidande/FSRM-ANTICRYPTO

CIRCL/SquashFu: A backup program employing the use of SquashFS, Aufs and Rsync

nshalabi/ProtectVSS: PoC to protect volume shadow copies

nexxai/CryptoBlocker: A script to deploy File Server Resource Manager and associated scripts to block infected users

Randomize163/FSDefender: Technion CS Ransomware Project: Writing Windows Mini-Filter Driver to protect PC from Ransomware

zelon88/Ransomware_Defender: A Windows Logon / Startup / Scheduled Task Script for Ransomware Detection & Early-Warning

codingo/Ransomware-Json-Dataset: Compiles a json dataset using public sources that contains properties to aid in the detection and mitigation of over 1000 variants of ransomware.

K2/EhTrace: ATrace is a tool for tracing execution of binaries on Windows.

prestoncooper/RansomwareDetectionService: This program detects all present and future ransomware in Windows file shares or local drives for Windows file servers. I created this windows service to aide system administrators not average users.

EddyErkel/Powershell_updateHostsFile: PowerShell script for @StevenBlack ‘s hosts project

JLChnToZ/RansomHoneyPot: Experimental program for detecting if any ransomware is attacking your files

seanpm2001/Hospital_Defender: A suite of hospital security tools to defend hospitals against digital attacks/cyber attacks and to promote better hospital security.

y0g3sh-99/windows-malware-exe-blocker: This tool blocks well known exe, bat, com launchers / executables of malwares (Trojans, ransomwares, worms etc)

its0v3r/BunnyShield-Anti-Ransomware: Anti-ransomware software for Linux that uses a file system events monitor, dynamic honeypots and the Linux audit service to detect and stop ransomware activity.

skaspi/dynamic-ransom: Ransomware Detection Project, Technion, Israel

undeadwarlock/shadowcloak: Windows MTD-Based Ransomware Prevention using new extensions and file associations for files on choosen directories.

Ubaidjaffery/Ransofight: Prevention against Ransomware attack, an automated implementation which help to prevent ransomware attacks

FcoAtalaya/Analysis-implementation-and-solutions-of-Ransomwares: Functional Ransomware programmed in python and a Ransomware detector based on files modifications. Bachelor thesis with a grade of 9.7 over 10

Oliver-Binns/PSEC: Open Assessment for Topics in Privacy & Security module. This module was worth ten credits as part of my Master’s Year and received a mark of 76%.

UPDATE

https://github.com/Ultimate-Hosts-Blacklist/Ultimate.Hosts.Blacklist

https://github.com/utkusen/hidden-tear

https://github.com/infinitydaemon/canary

https://github.com/YJesus/AntiRansom

https://github.com/mohammed-sec2010/RansomHoney

Agenda Ransomware Uses Rust to Target More Vital Industries

An emerging ransomware family, Agenda has recently been targeting critical sectors such as the healthcare and education industries. The threat actors behind this ransomware appear to be migrating their ransomware code to Rust as recent samples still lack some features seen in the original binaries written in the Golang variant of the ransomware. Rust language is becoming more popular among threat actors as it is more difficult to analyze and has a lower detection rate by antivirus engines.

Full article HERE

IoC can be downloaded HERE

Sophisticated DarkTortilla Malware Spreading Via Phishing Sites

Security researchers have identified a sophisticated campaign of DarkTortilla malware, which is spread via typosquatted phishing sites. DarkTortilla is a complex .NET-based malware that has been active since 2015. The malware is known to drop multiple stealers and Remote Access Trojans (RATs) such as AgentTesla, AsyncRAT, NanoCore, etc

Full article HERE

IOC can be download from HERE

Google ads lead to fake software pages pushing IcedID (Bokbot)

Fake sites for popular software have occasionally been used by cyber criminal groups to push malware. Campaigns pushing IcedID malware (also known as Bokbot) also use advanced distribution technique (it’s also common to see IcedID sent through email).

Read full article HERE

IOC from Alienvault HERE