Dizionario cybersecurity

Un glossario sulla sicurezza informatica realizzato nell'ambito del progetto ESVEI

APT

L’acronimo APT sta per “advanced persistent threat” (letteralmente “minaccia persistente avanzata”), gruppi che fanno cyber attacchi particolarmente sofisticati e che si ritiene siano statali o comunque agiscano per conto di uno Stato.

Sono gruppi che durano e lungo, e che, per quanto ovviamente segreti, a causa dello stile o altri elementi spesso risultano riconoscibili nel tempo.

Gli vengono assegnati, solitamente da aziende di cybersecurity , dei nomi, naturalmente non ufficiali. Fra i più noti Fancy Bear (Russia), Lazarus Group (Corea del Nord), Equation Group (USA), ecc. In alcuni casi è noto a quale soggetto corrispondano, ad esempio Comment Panda (APT1) è l’Unità 61398 dell’Esercito Popolare di Liberazione cinese.

Attribuzione

L’“attribuzione” nel diritto internazionale è il processo con cui si identifica l’autore di un attacco o di un’operazione svolta contro uno Stato. Non è un concetto nuovo ma i cyber attacchi pongono alcuni problemi che prima non esistevano. Di un attacco ci si può non rendere nemmeno conto. Occorre scoprirlo, svolgere un’indagine usando anche -ma non solo- strumenti tecnologici, e comunicare correttamente quanto scoperto.

Per approfondire: Che Stato è stato? L’attribuzione dei cyber attacchi.

Backdoor

Una backdoor (letteralmente “porta sul retro”) è un sistema che permette di accedere a un dispositivo informatico o ad un software aggirando i normali sistemi di protezione.

Una backdoor può essere inserita durante un attacco per facilitare successive incursioni, oppure può essere presente, segretamente o pubblicamente, fin dalla sua creazione del dispositivo o del software, magari perché richiesta dalla legge.

Il problema è che -proprio come il TSA lock nella foto- una backdoor, anche se magari pensata per essere utilizzata dalle agenzie di sicurezza all’interno di precisi quadri legali, potrà poi essere sfruttata anche da chi non ne avrebbe il diritto. Per questo sono stati espressi dubbi rispetto alla richieste di alcuni paesi di garantire, ad esempio, delle backdoor per accedere ai messaggi scambiati dagli utenti.

Exploit

Un exploit è un software che sfrutta una vulnerabilità per fare un attacco.

Fra i tanti vale la pena citare EternalBlue, sviluppato dalla National Security Agency (NSA) sulla base di una vulnerabilità altrimenti sconosciuta di Windows. L’exploit è stato trafugato alla NSA ed è stato utilizzato per creare il ransomware WannaCry, che ha fatto enormi danni a partire da maggio 2017. L‘NSA è stata criticata sia per l’imperizia dimostrata nel custodire questo exploit che per aver tenuto nascosto la vulnerabilità su cui era basato invece di segnalarla a Microsoft permettendo di correggerla per tempo.

Phishing

La parola “phishing” in inglese si pronuncia allo stesso modo di “fishing”, che significa “pesca”. Ad essere pescati col phishing però non sono pesci, ma dati personali, numeri di carte di credito, ecc.

Solitamente funziona così: si riceve una mail che apparentemente proviene da una banca, un social network, ecc. Questa mail contiene un link, apparentemente a un sito ufficiale, che contiene un modulo in cui occorre inserire i propri dati. Solo che si tratta in realtà un sito gestito da cyber criminali, che in questo modo carpiscono i dati necessari per poi rubare denaro o dati personali.

Secondo Citizen Lab e NortonLifeLock lo spearphishing (phishing mirato a una specifica persona) era l’arma preferita di Dark Basin/Mercenary.Amanda, un gruppo di “Hackers for Hire” probabilmente legato alla società indiana BellTroX.

Security Without Borders, un collettivo, ha realizzato una gallery di immagini riproducendo veri siti di phishing: ti saresti fatto ingannare?

Ransomware

I ransomware sono virus in grado di criptare il contenuto di un computer in modo che sia impossibile da decifrare senza un’apposita chiave, che sarà fornita all’utente in cambio di un riscatto (ransom). Lo scopo è economico, e il pagamento avviene attraverso criptovalute. L’attaccante avrebbe poi tutto l’interesse a permettere alla vittima di decriptare i propri contenuti, in modo da risultare “affidabile” e fare in modo che le altre vittime paghino, ma non sempre tutto va liscio. Fra i ransomware più famosi CryptoLocker (che avrebbe fatto guadagnare più di 3 milioni di dollari ai suoi autori) e WannaCry.

Negli Stati Uniti alcune aziende sono state costrette a chiudere a causa di attacchi ransomware. In Italia sono stati vittime di ransomware ad esempio l’azienda multiservizi IREN, l’ospedale di Erba, le Cantine Ferrari e il Comune di Spoleto. Secondo Kaspersky nel 2019 sono state 174 nel mondo le istituzioni municipali ad essere colpite. A volte però le vittime non denunciano pubblicamente di essere state vittime di attacchi di questo genere per paura di perdere investitori.

Spyware

Uno spyware “è un software malevolo che, una volta installato, spia alcune o quasi tutte le attività dell’utente, per sottrarre dati e monitorare comunicazioni” (Carola Frediani, Guerre di rete ).

Uno spyware può essere installato da remoto, attraverso un trojan, o anche ad esempio da qualcuno che abbia accesso fisico a un dispositivo senza bisogno di trojan (es. un genitore con il cellulare del figlio).

Fra gli spyware più famigerati c’è Pegasus, creato dall’azienda israeliana NSO group sfruttando alcuni exploit che permettevano anche di installarlo da remoto e venduto ai governi per spiare gli smartphone di criminali e, altre volte, di attivisti per i diritti umani.

Quando lo scopo è “avere il controllo della vita quotidiana di un individuo … al fine di terrorizzare, controllare e manipolare” (Cyber Security 360 ) il software prende il nome di stalkerware. Dell’argomento ha parlato Eva Galperin, direttrice della Cybersecurity alla Electronic Frontier Foundation in un Ted Talk .

Trojan

Un trojan è un programma che, come i greci con il cavallo di Troia, ne sfrutta un altro, apparentemente innocuo, per entrare in un computer di nascosto.

Può servire per installare backdoor, spyware, ecc.

Voto elettronico

Il voto elettronico, da remoto via internet o al seggio tramite voting machine, si propone di sostituire i classici sistemi di voto con carta e matita, con il vantaggio di ottenere subito i risultati.

Il voto elettronico è stato sperimentato anche in Italia, ad esempio per il referendum consultivo sull’autonomia della Lombardia, e la manovra economica 2019 ha finanziato nuove sperimentazioni. Come spiega però Stefano Zanero , professore di sicurezza informatica al Politecnico di Milano, allo stato i sistemi di voto elettronico non possono garantire la correttezza di elezioni e la fiducia degli elettori.

Per approfondire: Voto elettronico, cybersecurity e hacker russi.

Vulnerabilità informatica

Una vulnerabilità è un punto debole nella sicurezza di un sistema informatico, che può essere sfruttato per creare un exploit.

Le falle sono inevitabili, il problema è quanto sono gravi e chi le scopre. Molte aziende premiano chi scopre vulnerabilità nei loro siti o software e gliele segnala, ma attori malintenzionati possono essere disposti a offrire cifre maggiori sul mercati nero .

Zero-day

Una vulnerabilità zero-day (scritto anche come 0-day) non è ancora nota ai creatori di software e di antivirus, che quindi hanno avuto zero giorni per correggerla. Un attacco basato su una vulnerabilità zero-day prende a sua volta il nome di exploit zero-day. Sono eccezionalmente pericolose perché in alcuni casi possono mettere a rischio un dispositivo aggiornato, senza che l’utente abbia modo effettivo di tutelarsi.

Il fatto che una vulnerabilità sia stata scoperta da tempo non garantisce comunque che non sia più pericolosa: anche dopo che Microsoft aveva rilasciato le patch per EternalBlue, falla sfruttata da WannaCry, molti sistemi Windows sono rimasti a rischio semplicemente perché non venivano aggiornati.

blog comments powered by