Motivazioni dei cyber criminali

Questions and Answers

Qual è la motivazione più comune dietro gli attacchi informatici moderni, come il ransomware?

• Spionaggio industriale
• Attivismo politico (Hacktivism)
• Guadagno economico (correct)
• Vendetta personale

Un worm informatico, a differenza di un virus, non necessita dell'intervento dell'utente per diffondersi e può propagarsi autonomamente attraverso la rete.

True (A)

Cos'è un 'exploit zero-day'?

Un exploit che sfrutta una vulnerabilità di sicurezza non ancora nota al produttore del software (e per la quale non esiste ancora una patch).

Un _____ è un software malevolo che si presenta come utile o innocuo per ingannare l'utente a installarlo volontariamente, ma che una volta eseguito svolge attività dannose (es. apre backdoor, spia l'utente).

Trojan

Cosa rappresenta la 'superficie d'attacco' di un sistema informatico?

Il totale dei possibili punti di ingresso o vulnerabilità attraverso cui un attaccante può colpire (B)

Qual è la lezione principale impartita da incidenti come WannaCry riguardo la gestione delle patch di sicurezza?

È cruciale applicare gli aggiornamenti di sicurezza tempestivamente.

È considerato sicuro riutilizzare la stessa password complessa su più account diversi, purché sia difficile da indovinare.

False (B)

Quale tecnologia crea un 'tunnel' cifrato per il traffico internet, utile specialmente su reti Wi-Fi pubbliche?

VPN (Virtual Private Network) (D)

Qual è lo scopo principale di un software 'rootkit'?

Ottenere privilegi amministrativi (root) e nascondere la presenza di altro malware o le attività dell'attaccante nel sistema.

L'attacco a SolarWinds Orion nel 2020 è un esempio emblematico di attacco alla _____ software.

supply chain

L'estensione del browser uBlock Origin serve principalmente a forzare le connessioni HTTPS.

False (B)

Cosa si intende per 'payload' nel contesto di un attacco malware?

L'azione dannosa effettiva eseguita dal malware dopo la compromissione (C)

Perché è importante cambiare le password di default su dispositivi e account nuovi?

Perché le password di default sono spesso note pubblicamente o facili da indovinare, rendendo i dispositivi vulnerabili ad accessi non autorizzati.

Stuxnet è stato un semplice trojan bancario mirato a rubare credenziali finanziarie.

False (B)

Quale delle seguenti pratiche è fondamentale per difendersi dal ransomware?

Effettuare backup regolari e tenerli offline (B)

Flashcards

Guadagno economico

Motivazione più comune per gli attacchi informatici, spesso tramite ransomware.

Spionaggio o guerra informatica

Stati o gruppi sponsorizzati attaccano per segreti o sabotaggi.

Attivismo e motivi ideologici

Attaccanti che colpiscono per protestare o promuovere cause politiche o sociali.

Vandallismo, sfida o notorietà

Attacco per la sfida tecnica, fama o vandalismo.

Vendetta personale

Dipendente scontento che ruba dati o sabota sistemi aziendali.

Malware

Software malevolo.

Virus

Infetta altri file eseguibili e si diffonde quando il file viene aperto.

Trojan

Software che si presenta come utile per ingannare l'utente.

Worm

Si replica senza intervento umano, sfrutta la rete.

Rootkit

Ottiene privilegi amministrativi e nasconde il malware.

Backdoor

Accesso nascosto in un sistema, bypassa le difese future.

Exploit

Codice che sfrutta una vulnerabilità di sicurezza.

Payload

La parte di codice eseguita dopo aver compromesso il sistema.

Ransomware

Prende in ostaggio i dati e richiede un riscatto per la decrittazione.

Data Breach

Violazione di dati; informazioni sottratte senza autorizzazione.

Denial of Service (DoS)

Attacco per rendere un servizio indisponibile.

Modello di minaccia (Threat Model)

Definire in anticipo chi, come e cosa attaccare.

Vettore di attacco

Modalità specifica di penetrazione in un sistema.

Superficie d'attacco

Totale dei possibili punti d'ingresso o vulnerabilità.

Phishing

Prende di mira l'anello debole umano con email e messaggi ingannevoli.

Study Notes

Motivazioni dei cyber criminali

• I criminali informatici possono avere diverse motivazioni per violare i sistemi o diffondere malware.
• Il guadagno economico è la motivazione più comune negli attacchi informatici, come il furto di dati di carte di credito, credenziali bancarie o la richiesta di ransomware.
• Gli stati-nazione o gruppi sponsorizzati da governi effettuano attacchi per spiare segreti industriali/militari o sabotare infrastrutture nemiche.
• Stuxnet (2010) è un esempio celebre di malware sofisticato sviluppato per sabotare il programma nucleare iraniano.
• Alcuni attaccanti, detti hacktivisti, colpiscono per protestare o promuovere cause politiche/sociali.
• Certi virus/worm venivano creati per il gusto della sfida tecnica, per fama o vandalismo, come il worm Blaster (2003).
• Un dipendente scontento o un ex-collaboratore potrebbe rubare dati o sabotare sistemi della propria azienda per ripicca, rientrando nelle minacce interne.
• Gli attacchi moderni spesso combinano più motivazioni, come WannaCry (2017), un ransomware usato apparentemente da un gruppo nord-coreano che ha causato danni economici enormi.
• La monetizzazione ha trasformato il panorama dei malware a partire dagli anni 2000, con attacchi mirati al profitto come il furto di dati, spam e ransomware.
• Oggi esistono attacchi per spionaggio (rubare informazioni sensibili) o sabotaggio (danneggiare infrastrutture), spesso attribuiti a governi o gruppi organizzati, oltre agli attacchi di hacktivisti per cause ideologiche.

Terminologia di base sulle minacce informatiche

• Malware è un termine generico per indicare software malevolo (dannoso) come virus, worm, trojan e ransomware.
• L'obiettivo di un malware può essere distruggere dati, rubare informazioni, prendere il controllo del sistema o chiedere riscatti.
• Un virus infetta altri file eseguibili o documenti e si diffonde solo quando quel file infetto viene aperto/eseguito, necessitando dell'azione dell'utente per attivarsi.
• Un trojan si presenta come software utile o innocuo per ingannare l'utente ad installarlo volontariamente, svolgendo poi attività malevole una volta eseguito.
• Un worm è un malware autoreplicante indipendente, in grado di copiare se stesso da un computer all'altro senza intervento umano sfruttando la rete per propagarsi rapidamente.
• Un rootkit ottiene privilegi amministrativi su un sistema e nasconde la presenza di malware, potendo infettare livelli profondi del sistema operativo.
• Una backdoor è un accesso nascosto in un sistema, intenzionale o installato da malware, che permette di entrare in futuro bypassando le difese.
• Un exploit è un frammento di codice o una tecnica che sfrutta una vulnerabilità di sicurezza in un software.
• Se la vulnerabilità è sconosciuta al produttore, si parla di zero-day exploit.
• Il payload è la parte di codice eseguita dopo aver compromesso il sistema, indicando l'effetto finale maligno.
• Il ransomware è un tipo di malware che prende in ostaggio i dati della vittima, cifrandoli tipicamente, e richiede un pagamento per la chiave di decrittazione.
• Un data breach indica una violazione di dati, ovvero un incidente in cui informazioni sensibili/confidenziali vengono sottratte da un sistema senza autorizzazione.
• Un attacco DoS (Denial of Service) mira a rendere un servizio indisponibile, sovraccaricandolo o sfruttando bug per mandarlo in crash.
• In un DDoS (Distributed DoS), l'attacco è effettuato da molti computer simultaneamente per mandare KO il bersaglio.

Punti chiave - Terminologia

• Un virus infetta file esistenti e richiede l'esecuzione di quei file da parte dell'utente per propagarsi, mentre un worm si diffonde automaticamente in rete senza bisogno di azione umana.
• Diversamente da virus e worm, un trojan non si replica da solo ma spesso apre una backdoor.
• Un rootkit fornisce privilegi di amministratore e nasconde la presenza del malware, rendendo difficile rilevarlo e rimuoverlo.
• Un exploit è un codice che sfrutta una vulnerabilità, mentre il payload è cosa il malware fa dopo aver bucato il sistema.

Modelli di minaccia e superficie d'attacco

• Il modello di minaccia consiste nel definire in anticipo chi potrebbe attaccare, come potrebbe farlo e cosa nel nostro sistema potrebbe essere bersagliato.
• Il vettore di attacco è una modalità specifica attraverso cui un attaccante può penetrare in un sistema, includendo aspetti tecnici o umani.
• La superficie d'attacco rappresenta il totale dei possibili punti di ingresso o vulnerabilità attraverso cui un attaccante potrebbe colpire un sistema.
• È buona pratica ridurre la superficie d'attacco disabilitando servizi non necessari, chiudendo le porte di rete inutilizzate e limitando i permessi degli utenti e programmi.

Esempi di vettori di attacco comuni

• Il phishing e il social engineering usano email o messaggi ingannevoli per farsi consegnare credenziali o indurre a cliccare allegati/link malevoli.
• Una vulnerabilità software non risolta in un software consente accesso non autorizzato.
• Credenziali deboli/compromesse, password facili da indovinare o già rubate, rappresentano una causa comune di intrusione.
• Configurazioni errate, come un database lasciato esposto online senza password, derivano da errori banali.
• Gli attacchi web comuni, come SQL injection o XSS, sfruttano vulnerabilità note nelle applicazioni web.

Punti chiave - Threat model & Attack surface

• Un modello di minaccia efficace considera chi attacca, cosa vuole e come potrebbe ottenerlo.
• La superficie d'attacco di un sistema deve essere mantenuta il più ridotta possibile.

Incidenti informatici famosi e lezioni apprese

• Sasser (2004) ha introdotto l'importanza dei firewall e delle patch di sicurezza per bloccare accessi non autorizzati e riparare le vulnerabilità del sistema.
• Fizzer (2003) ha segnato il passaggio dal vandalismo al cybercrime organizzato per il profitto, con autori di malware provenienti da paesi in via di sviluppo.
• Sony DRM Rootkit (2005) ha evidenziato l'importanza della trasparenza software e di non sacrificare la sicurezza degli utenti per altre ragioni.
• Zeus (2007) ha evidenziato la necessità di autenticazione a due fattori per l'online banking e di controlli antifrode sofisticati.
• Conficker (2008) ha insegnato l'importanza di avere politiche di sicurezza nella rete, di diffondere rapidamente le patch e di usare firewall interni per la segmentazione delle reti.
• GPCode (2008) ha evidenziato l'efficacia dei backup per neutralizzare la minaccia ransomware.
• Stuxnet (2010) ha mostrato che il malware può essere usato come arma militare contro infrastrutture critiche e ha messo in luce la necessità di proteggere anche i sistemi offline.
• WannaCry (2017) ha ribadito quanto sia cruciale applicare gli aggiornamenti di sicurezza e ha acceso il dibattito sull'accumulo di vulnerabilità da parte delle agenzie governative.
• Emotet (2014-2020) ha mostrato quanto possa essere organizzato il cybercrime odierno, con aggiornamenti costanti e supporto tecnico per criminali.
• Meltdown & Spectre (2018) hanno rivelato che la sicurezza non è solo software, ma anche l'hardware necessita di progettazione attenta.
• SolarWinds Orion (2020) ha messo in luce la vulnerabilità delle catene di fornitura software e l'importanza di robuste password.

Punti chiave - Incidenti & lezioni

• Worm come Sasser e Conficker sfruttano falle note e nessuna interazione utente, quindi è importante mantenere i sistemi aggiornati e usare un firewall per limitare la loro diffusione.
• I trojan bancari (Zeus) mostrano che il furto di credenziali può causare danni enormi, quindi l'autenticazione a due fattori e l'attenzione alle pagine sospette sono cruciali.
• I ransomware (GPCode, WannaCry) cifrano i dati per estorsione, quindi backup frequenti e patch tempestive possono salvarti.
• Gli attacchi di Stato (Stuxnet) possono colpire anche sistemi teoricamente sicuri, quindi la segmentazione delle reti, il controllo dei dispositivi removibili e il monitoraggio di anomalie sono importanti nelle infrastrutture critiche.
• Gli attacchi alla catena di fornitura (SolarWinds) evidenziano che la sicurezza va estesa ai fornitori, quindi la verifica delle firme software, zero trust e password robuste ovunque aiutano a mitigare questi rischi.

Protezione individuale su smartphone e computer

• Password sicure e passphrase: usa password forti e uniche, preferendo le passphrase e cambiando le password di default.
• Usa l'autenticazione a più fattori (MFA) ove possibile per aggiungere un secondo livello di sicurezza ai tuoi account.
• Usa un password manager per tenere al sicuro tutte le tue password e informazioni di accesso.
• Aggiorna software e patch: mantieni aggiornati i tuoi dispositivi e programmi per correggere le vulnerabilità note.
• Firewall personale: assicurati che sia attivato sul computer e verifica le impostazioni del router.
• Navigazione sicura e VPN e le reti: usa sempre HTTPS quando disponibile e valuta l'uso di una VPN su reti Wi-Fi pubbliche.
• Estensioni del browser per la sicurezza: installa estensioni come Privacy Badger e uBlock Origin per migliorare la sicurezza e la privacy.
• Presta attenzione agli allegati e link: non aprire allegati sospetti o inattesi e segnala sempre email di phishing.
• Utilizza software anti-malware e mantienilo aggiornato per proteggerti dai malware comuni.
• Effettua backup regolari dei tuoi file importanti per salvarti da ransomware e altri disastri.
• Presta attenzione alla sfera personale: limita la quantità di dati sensibili che condividi sui social media.
• Usa il buon senso: mantieni sempre un atteggiamento critico e prudente.