Monday, April 30, 2012

Retata nel black market !

Links to this post


Un'operazione internazionale di polizia ha inflitto un duro colpo al Black Market sequestrando numerosi siti che vendevano carte di credito rubate. 

Le stime economiche relative all'entità del cybercrime riferiscono di un valore pari a circa 780 Miliardi di Dollari, una cifra non molto inferiore a quella stimata per il traffico illegale di droga. Il Black Market è il pilastro fondamentale di questa economia sotterranea. Nel Black Market si trova in vendita un qualunque tipo di dato personale (documenti di identità, account mail, credenziali di conti correnti bancari, dati relativi a carte di credito, etc. etc.) ma anche strumenti per realizzare azioni criminose contro aziende o individui. 

I 36 siti sequestrati nel corso di questa operazione erano dediti prevalentemente alla vendita di carte di credito rubate al prezzo di 2 Dollari. 

Le attività di alcuni dei siti sequestrati sono state monitorate per un periodo di quasi 2 anni e durante quel periodo sono state impedite delle frodi su circa 2 milioni e mezzo di carte di credito, prevenendo una perdita pari a circa 0,5 Miliardi di Dollari in accordo ad un modello di calcolo generalmente utilizzato in questo ambito. 

L’indagine, coordinata dalla britannica Serious Organised Crime Agency (Soca), è stata condotta insieme a forze dell’ordine di vari Paesi a testimonianza della complessità di contrastare efficacemente il lack Market: FBI in USA, BKA in Germania, KLPD in Olanda, Ministero degli Affari Interni in Ucraina, ed infine Polizia Federale australiana e Polizia Nazionale rumena. 

Il video che segue (in lingua inglese) mostra il messaggio di benvenuto per i visitatori di uno dei siti coinvolti....è proprio vero che il marketing è l'anima di tutti i commerci, anche quelli illegali !!! 

Symantec ha dedicato un canale web, consultabile all’indirizzo  Symantec Black Market (clicca sul titolo), a chi vuole approfondire il tema del Black Market.

Friday, April 27, 2012

Un malware per 2 .... Windows e Mac

Links to this post
Il primo virus in grado di infettare il sistema operativo di un computer risale al 1982. Il sistema impattato era il DOS (versione 3.3) dei microcomputer Apple, e il virus era in grado di propogarsi attraverso lo scambio di floppy disk.

Da allora il numero delle vulnerabilità identificate nei sistemi operativi è progredito in linea con la diffusione degli stessi sul mercato dei personal computer; questa è la ragione per cui il maggior numero di vulnerabilità è stato identificato sui sistemi operativi Windows.

Una ricerca appena pubblicata ci rivela che i malware per Windows sono talmente diffusi da essere i più presenti anche sui computer Mac: circa il 20% dei computer Mac ospiterebbe un malware per Windows, e solo il 2,7% un malware specifico per Mac OS X.

Gli utilizzatori di Mac non cadano in errore guardando queste cifre, infatti, non sono per nulla immuni dai rischi presenti sul mondo digitale a cui vanno incontro gli utilizzatori di PC Windows. Le statistiche ci dicono solo che è meno diffuso il malware per Mac, ma questa non è altro che una conseguenza delle quote di mercato possedute al momento. 
E le cose stanno cambiando velocemente di pari passo con l'incremento dei prodotti Apple nelle nostre case.

A dimostrazione di quanto sopra basta ricordare il clamore recente derivante dalla scoperta qualche settimana fa, di una botnet costituita da oltre 600.000 Mac infettati da un virus denominato Flashback. Se rapportiamo questo numero alla quota di mercato dei Mac rispetto a quella dei PC Windows, si ottiene che la dimensione di questa botnet sarebbe di gran lunga ed in assoluto, la più estesa mai individuata in precedenza.

Un altro malware che sembra essersi diffuso in modo significativo sui Mac è quello denominato OSX/RSPlug. Si tratta di una versione per Mac OS X del famosissimo trojan DNSChanger, quello che sta mettendo a rischio il funzionamento dei servizi Internet, per centinaia di migliaia di computer, a partire dal prossimo 9 Luglio. Per approfondimenti su questo punto vedi l'articolo sul mio blog dal titolo "Internet risk blackout postponed on 9 July 2012" (clicca sul titolo)

Non meno importante la scoperta fatta qualche giorno fa dal Symantec Security Response Team, un gruppo composto dai massimi esperti di sicurezza mondiale impegnato costantemente nella ricerca ed analisi di malware ed attacchi sulla rete Internet mondiale.

Symantec ha identificato un nuovo Java Applet malevolo, in grado di sfruttare una vulnerabilità di Java per infettare il computer che visita la pagina web dove risiede. La novità di questa ultima versione di malware è che in questo caso il Java Applet è in grado di condurre una verifica sul tipo di sistema operativo che è in esecuzione sulla macchina, e di conseguenza scarica un malware specifico per quell'ambiente. L'illustrazione nel seguito spiega il funzionamento del malware

Insomma, parafrasando un vecchio modo di dire, è arrivato un malware per tutte le stagioni. 






Thursday, April 26, 2012

Un virus danneggia gli impianti petroliferi in Iran

Links to this post
Già da qualche tempo l'Iran è soggetta all'embargo del petrolio, non solo verso gli Stati Uniti ma anche l'Europa. In questo caso l'embargo è stato già deciso, ma partirà dal mese di Luglio per evitare che ci possano essere problemi nei Paesi come Italia e Spagna che energicamente dipendono in modo significativo da tali approvvigionamenti. 

Da qualche giorno però l'Iran è ancora più isolato. 

Difatti è stata data comunicazione da parte dello stesso governo iraniano della scoperta di un virus informatico che ha danneggiato alcune componenti importanti degli impianti petroliferi, ed in particolare ha causato l'isolamento del principale terminale avente in carico l'esportazione del greggio verso i paesi esteri.

La comunicazione ufficiale riporta che il virus è stato identificato prima che esso causasse un'infezione estesa, determinando in pratica come unico danno quello della mancanza di collegamento con la rete pubblica Internet. Non sono stati forniti però altri dettagli, e cosi ci sono state molte speculazioni sul fatto che si possa trattare di un virus similare a Stuxnet che, forse è utile ricordarlo, è stato responsabile di pesanti danneggiamenti agli impianti di produzione nucleare iraniani. 

Come detto le notizie circolate non permettono di formulare delle ipotesi precise a riguardo, ovvero di capire se il virus sia stato o meno forgiato per colpire le applicazioni SCADA o semplicemente colpisce i sistemi operativi Unix o Windows sottostanti a tali sistemi di controllo. La prima ipotesi sembra comunque la meno probabile anche se come ben noto Stuxnet ha già avuto un suo erede nel corso del 2011 ... DuQu. Ma questa è un'altra storia ...




Wednesday, April 25, 2012

Proteggere le informazioni nelle aziende...anche da errori inintenzionali

Links to this post


La scorsa settimana tutti i 1300 dipendenti di Aviva, una società assicurativa del Regno Unito, hanno ricevuto via mail la comunicazione del loro avvenuto licenziamento. Nella mail inviata dall'ufficio del personale, si richiedeva ai destinatari di non portare con se alcuna proprietà dell'azienda, e si ricordava loro l'obbligo di riservatezza nel trattamento delle informazioni aziendali in loro possesso.


In questi tempi di precarietà una notizia del genere purtroppo potrebbe non sorprendere, ma fortunatamente in questo caso l'azienda ha poi ammesso di aver compiuto un errore, destinando a tutti i dipendenti la mail che avrebbe dovuto essere indirizzata ad un unico impiegato.

Questo errore non dovrebbe avere conseguenze, o almeno spero che non ne abbia avuta alcuna sulle coronarie di nessuno dei 1300 impiegati !

Diverso sarebbe stato se la mail avesse contenuto informazioni riservate relative ad esempio ad uno dei dipendenti, all'azienda stessa, ad un cliente oppure un fornitore. 

Il bene più importante di un'azienda è oggi rappresentata dai dati e dalle informazioni in suo possesso. Potrebbe trattarsi dell'elenco dei propri clienti e dei loro dati personali (numero di carta di credito, traffico telefonico o navigazione internet, consumi di elettricità o gas,...) del piano strategico, del piano degli investimenti e/o dismissioni, della documentazione relativa ad una proprietà intellettuale o ad un contenzioso legale, eccetera eccetera. Chiaramente la tipologia di informazioni rilevante per una specifica azienda dipende dal tipo di business condotto dall'azienda stessa, ma non c'è dubbio che oggi l'informazione nelle imprese è digitale, e che una compromissione di taluni dati potrebbe causare un danno diretto o indiretto anche di grande entità. 

I casi recenti riconducibili a compromissioni esterne sono molto numerosi (Sony, Zappos, Stratfor, ...) ma l'esempio di Aviva è la chiara dimostrazione del fatto che tutte le aziende devono attuare una strategia di protezione dell'informazione che comprenda anche l'eventualità di errori inintenzionali da parte dei propri dipendenti.

Per non parlare poi dei dipendenti infedeli ...



Friday, April 6, 2012

La sicurezza dei circuiti di pagamento con carte di credito

Links to this post

Per quale motivo 1 milione e mezzo circa di persone che nel corso degli ultimi 12 mesi hanno preso un taxi a New York, dovrebbero preoccuparsi di un furto di dati riguardante una società di Atlanta chiamata Global Payment ? 

Il motivo è che quella società conservava, nei server del proprio data center di Louisville nello stato del Kentucky, i dati delle carte di credito VISA o MASTERCARD che quelle persone avevano utilizzato per pagare. 

Il rischio per tutti loro è di essere soggetti ad una frode, cosa resa ancora più probabile dal fatto che, come dichiarato da Global Payment, l’incidente si sarebbe verificato parecchie settimane prima rispetto al momento in cui è stato identificato e reso noto a VISA. 

E difatti, nel momento in cui la notizia è stata comunicata anche al pubblico, sarebbero già circa un migliaio le carte per le quali era stata certamente identificata un’attività fraudolenta in corso, realizzata attraverso la contraffazione della carta originale. 

Fortunatamente il consumatore attento in questo caso non dovrebbe fare le spese dell’altrui incapacità, in quanto tutelato dalle normative di legge. E difatti è buona regola controllare periodicamente i rendiconti relativi alle operazioni effettuate con le proprie carte di credito al fine di identificare tempestivamente la presenza di addebiti illeciti e comunicarli all’ente che aveva rilasciato la carta per ottenerne il rimborso. In questo specifico caso il rimborso dovrebbe essere garantito dal fatto che Visa ha comunicato agli emittenti delle carte la possibilità di frodi per le numerazioni coinvolte nell’incidente occorso a Global Payment. 

Dalla descrizione di questo evento emerge chiaramente la numerosità degli attori coinvolti nella gestione delle carte di credito e dei pagamenti effettuati. 

In primis il negozio (attore n.1) in cui effettuiamo la transazione con la carta per pagare il nostro acquisto. 

Il negoziante per rendere disponibile il servizio di pagamento con carta ai propri clienti, necessita di essere collegato ad uno dei circuiti di pagamento. Per questo ha dovuto realizzare un accordo con una sorta di intermediario (attore n. 2). L’intermediario (detto anche acquirer o third party processor) tipicamente si occupa anche della vendita o del noleggio dei terminali POS che il negoziante ha utilizzato per leggere la nostra carta, oltre che della rendicontazione dei pagamenti e delle eventuali dispute. Per tornare al nostro caso, Global Payment agisce come intermediario per le società di taxi di New York, alla pari ad esempio di quanto fa il conosciutissimo PayPal per gli utenti di Ebay. 

Il circuito di pagamento (attore n. 3) riceve i dati della nostra transazione per via dell’intermediario. Visa e Mastercard sono 2 dei principali circuiti mondiali (altri ben noti sono American Express e Diners) 

Le aziende che fanno parte del circuito di pagamento naturalmente dialogano con un ulteriore attore, che arrivo ad indicare per ultimo pur essendo il primo della catena, ovvero la banca (attore n. 4) che ci ha rilasciato la carta di credito previa sottoscrizione di un contratto. 

Tutti gli attori della catena dovrebbero proteggere la sicurezza e la privacy delle informazioni finanziarie dei propri clienti adottando le misure di protezione dei dati che sono previste dagli standard di riferimento. 

Ma è sufficiente essere certificati rispetto ad uno standard per garantire i necessari livelli di “sicurezza” ? Come consumatore posso confidare che il trattamento dei dati associati alla mia carta avverrà nel rispetto delle più stringenti misure di sicurezza e privacy se le aziende che li gestiscono sono certificate rispetto agli standard del settore ?

Per esperienza posso dire che non è così, ed altrettanto lo si potrebbe affermare facendo riferimento al nostro caso. Difatti Global Payment risulta certificato PCI (Payment Card Industry) che è lo standard di riferimento nell’ambito dei servizi finanziari e ciò nonostante ...

Molte aziende purtroppo confondono compliance per sicurezza 

Le aziende dovrebbero invece adottare le misure di sicurezza previste dagli standard di riferimento più significativi per il proprio settore, per integrarle all’interno di un modello di gestione dei rischi informatici che deriva da un’analisi completa delle minacce e dei potenziali impatti sul proprio business. 

Inoltre un’altra linea guida è fondamentale: essere in grado di controllare il mantenimento dei livelli di conformità alle normative o alle policy aziendali nel corso del tempo. 

In sintesi un modello di Policy Compliance Management è un pilastro fondamentale per una governace efficace della sicurezza all’interno di un’azienda. Altrimenti troppe volte ci troveremo a tentare di chiudere il recinto dopo che i buoi sono scappati, come sta succedendo ora con Global Payment per la quale è prevista un’investigazione forensics per determinare se essa sia effettivamente oggigiorno compliance allo standard PCI.

E per i consumatori ? Alcuni consigli. 

Al momento della sottoscrizione della carta è bene assicurarsi che la banca emittitrice o il circuito di pagamento prevedano il rimborso delle spese di cui non si riconosce la legittimità. 

Come detto in precedenza è bene controllare regolarmente l'estratto conto per verificare che non ci siano anomalie ed eventualmente richiedere il blocco della carta.

Negli acquisti online prima di mettere il numero della carta di credito verificare 2 cose: che la connessione sia in https in modo tale che i dati scambiati risultano cifrati, e che sia autentico il certificato associato al sito al fine di avere l'assolutata garanzia dell'autenticità dei sito con il quale si sta effettuando lo scambio di dati.
. 
Questa è una procedura abbastanza semplice da fare esaminando le proprietà che si ottengono in evidenza cliccando sul lucchetto che compare nella finestra del browser che state utilizzando. La verifica di tali proprietà andrebbe inoltre complementata con la verifica che nella barra degli indirizzi mostrata dal browser compare proprio il dominio web dell'ente contattato.

AGGIORNAMENTO 4 MAGGIO 2011:
Il Wall Street Journal ha pubblicato un articolo (clicca qui) nel quale si afferma che il numero di carte di credito a rischio di frodi a seguito di questo incidente sarebbero 7 Milioni e non "soltanto" 1 Milione e mezzo.