[Guerre di Rete - newsletter] Marriott e la violazione degli hotel; ransomware iraniani; ancora spyware e altro
Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
Numero 13 - 2 dicembre 2018
Di cosa si parla:
- Marriott, gli hotel e i data breach
- ransomware dall’Iran
- spyware israelo-sauditi
- exploit, mercato e Stato
- e altro
INTRUSIONE A 5 STELLE
Due giorni fa è stata rivelata un’enorme, pesantissima, globale violazione di dati personali. E se siete stati in un hotel della catena Starwood negli ultimi 4 anni vi riguarda. Più sotto ci sono tutte le informazioni utili. In pratica la catena di alberghi ha subito una violazione informatica dei suoi sistemi e la copia non autorizzata del suo database clienti (relativi solo alle proprietà Starwood, non della casa madre Marriott, perché avrebbero sistemi separati), violazione che risale al 2014 e che è stata scoperta solo lo scorso settembre. Vuol dire che sono stati potenzialmente esposti i dati personali di 500 milioni di ospiti. In particolare, per 327 milioni di clienti, i dati sottratti sarebbero una combinazione di: nome, indirizzo, telefono, mail, numero di passaporto, data di nascita, genere, arrivo e partenze, date di prenotazione. Per alcuni, anche i dati di pagamento, i numeri delle carte e date di scadenza, anche se erano cifrati. Tuttavia, dice il comunicato della catena, “servono due componenti per decifrare quei dati, e a questo punto, Marriott non esclude la possibilità che siano stati presi”. Insomma, forse pure i dati delle carte di credito se gli attaccanti hanno in mano, come sospetta qualcuno, le chiavi per decifrarle (che di solito dovrebbero essere ben protette). Ora, non bisogna essere laureati in “Scienze oscure del cybercrimine e Servizi segreti al tempo degli hacker di Stato” per capire che questo non è un semplice “incidente di sicurezza”, come giustamente rileva anche il professore di Harvard Jonathan Zittrein, bensì una agghiacciante violazione di dati personali di prima qualità, un tesoro che fa gola a intelligence e criminali, considerata poi anche la tipologia delle vittime che frequentano tali hotel.
Ripeto: qualcuno dal 2014 ha avuto accesso ai dati personali, forse ai dati di pagamento, e alle informazioni di viaggio di circa mezzo miliardo di persone. Alcune di queste informazioni, come quelle relative a passaporto e identità personale, possono essere usate per articolate truffe e l’apertura di account finti. Insomma, qualcuno ha vinto la tombola del cybercrimine. Marriott ora è invece alle prese con la gestione di una crisi enorme, mentre c’è chi invoca una legge più protettiva per i consumatori negli Usa. Non manca chi ci ricorda che sarebbe meglio lasciare meno dati possibili, in giro e in hotel. In attesa di capire cosa succederà nei prossimi giorni anche in termini di sanzioni sia da parte americana che da parte europea (essendoci europei di mezzo scatterà il regolamento per la privacy, il GDPR), ecco le info utili:
- gli hotel coinvolti: sono i brand Starwood (controllata di Marriott) cioè W Hotels, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts
- chi è a rischio: chi c’è stato tra il 2014 e il 10 settembre 2018
- comunicato Marriott
- centro di crisi gestito da Kroll per Marriott
- numero da chiamare per l’Italia: 800-728-023
- mail da cui potrebbero arrivare comunicazioni agli interessati, senza allegati o richieste di informazioni da parte vostra: starwoodhotels@email-marriott.com (Occhio alle truffe e al phishing, potete scommetterci che seguiranno a pioggia)
Infine, che gli hotel fossero un target di vari gruppi si sapeva già (nel 2017 era emerso ad esempio che uno di questi, APT28, prendeva di mira il Wi-Fi di alcuni alberghi). Dunque con le altre grandi catene alberghiere come siamo messi?
IL RANSOMWARE CHE ARRIVAVA DALL’IRAN
Ancora cybercrimine di portata globale. Mercoledì il dipartimento di Giustizia Usa ha incriminato (qui comunicato) due iraniani con l’accusa di essere dietro al ransomware SamSam che ha messo in ginocchio la città di Atlanta (capitale dello stato della Georgia, USA) nel marzo 2018, bloccandone i sistemi e i servizi per giorni, tanto che la stima dei danni è di 17 milioni di dollari; ma anche l’ospedale Hollywood Presbiterian nel febbraio 2016, ospedale che, diversamente dalla città, pagò il riscatto (ben 17mila dollari, che però paragonati ai 17 milioni di danni di Atlanta… insomma, fatte le dovute proporzioni tra ospedale e città, è evidente che se la capacità di fare danni di un attaccante è di questa portata si capisce perché spesso il “ricatto” funziona).
La lista delle vittime dei due iraniani merita di essere scritta interamente perché mostra come anche un solo attore, o un gruppo risicato, sia in grado di portare avanti cyberattacchi seriali, un aspetto da approfondire per chi studia questi fenomeni. La serialità permette di alzare il tiro e l’impatto degli attacchi. Nello stesso tempo è da sempre un’arma a doppio taglio per l’attaccante, perché diventa più facilmente identificabile, tanto più se di mezzo ci sono pure transazioni economiche.
Dicevo delle vittime: il porto di San Diego; l’università di Calgary, Canada; aziende sanitarie come la LabCorp, la MedStar Health e la Allscripts Healthcare Solutions; municipi come Atlanta e Newark; il dipartimento dei Trasporti del Colorado; l’ospedale di Los Angeles, Hollywood Presbiterian, e il Kansas Heart Hospital. Tutti attaccati, secondo gli Usa, fra il dicembre 2015 e il settembre 2018 dagli iraniani Faramarz Shahi Savandi e Mohammad Mehdi Mansouri, i quali si sono sviluppati un loro ransomware, un virus del riscatto, chiamato dagli analisti SamSam, che hanno perfezionato col tempo. Le vittime complessive delle loro campagne per estorcere soldi cifrando file e sistemi sono circa 200. Sei sono i milioni di dollari ricavati dai due criminali. Trenta i milioni di danni causati. Dalle carte (qui incriminazione) si capisce che i due sceglievano le vittime, e che in un certo senso si sono “specializzati” sul settore sanitario, dei trasporti e delle amministrazioni pubbliche. Esattamente quei settori che sono ancora poco protetti e dove però si possono bloccare servizi essenziali, per cui pagare un riscatto (che non si dovrebbe mai pagare, come avvisano gli esperti del settore) diventa una opzione sul tavolo.
Ma la storia è notevole anche perché per la prima volta il dipartimento del Tesoro Usa, attraverso l’OFAC, l’agenzia con cui amministra sanzioni economiche e commerciali, ha preso provvedimenti (qui comunicato) contro altri due iraniani, che hanno aiutato i due cybercriminali a scambiare i bitcoin pagati dalle vittime in rial. E contro due indirizzi bitcoin utilizzati dagli stessi. È la prima volta “che l’OFAC attribuisce due indirizzi di valuta digitale a due individui”. Chiunque sarà coinvolto in transazioni con i due iraniani, e con i due indirizzi evidenziati, rischierà sanzioni.
-Analisi tecnica di SamSam
SPYWARE
NSO e i sauditi
Il venditore israeliano di software spia NSO avrebbe negoziato una vendita da 55 milioni di dollari dei suoi prodotti all’Arabia Saudita poco prima che il principe ereditario Mohammed bin Salman iniziasse il giro di vite repressivo su dissidenti e rivali. Lo scrive una inchiesta della testata israeliana Haaretz.
Amnesty International ora chiede al ministero della Difesa israeliano di revocare le licenze per l’esportazione degli spyware di NSO, perché i suoi software sarebbero stati usati “per una serie di eclatanti violazioni dei diritti umani”, e l'azienda sarebbe "fuori controllo”, ha scritto Amnesty, che ricorda come anche un suo membro sia stato preso di mira con quel software spia.
Intanto aumentano i dettagli su dissidenti sauditi che vivono all’estero che avrebbero ricevuto il software spia sul loro telefono, tra cui il comico Ghanem Almasarir. Che si aggiunge ad attivisti come Yahya Assiri e Omar Abdulaziz, in stretto contatto con il giornalista Khashoggi, ucciso dai sauditi nel consolato di Istanbul. (Forbes).
Che tali strumenti siano usati da regimi illberali (ma anche democrazie, c’è almeno il caso del Messico) anche per spiare attivisti, dissidenti e giornalisti lo sappiamo da anni. Ora c’è il sospetto che alcuni di questi malware, come quelli di NSO, riescano a infettare anche un iPhone di qualcuno senza nemmeno un clic (C’è un thread che esamina la questione, con relativo scetticismo, del ben informato Bill Marczak, uno dei ricercatori che da anni insegue le tracce di questi malware).
CYBERWARFARE
Nigeria e cybercommandi
Anche la Nigeria ha il suo cyber-commando, il Nigerian Army Cyber Warfare Command: una unità di 150 militari che dovrebbero rispondere sul fronte digitale a criminali, minacce straniere e terroristi. Ma c’è un grosso problema di competenze che mancano. C’è anche chi si chiede se non si tratti di cyber-washing (avviso: non so se esiste questa parola, ma di sicuro esiste il fenomeno). Insomma, cercare di far vedere che si fa qualcosa nel campo, con parole altisonanti e via dicendo - specie se sei accusato di non fare abbastanza contro la tua cottage industry di piccoli cybercriminali, truffatori e scammer. (Forbes)
HACKER RUSSI E BREXIT
Gli hacker russi APT28 (i più famosi e rumorosi) starebbero inviando mail di phishing con documenti infetti a tema Brexit, sostiene un rapporto di Accenture. Però la società di consulenza li chiama SNAKEMACKEREL. Nome che si aggiunge a quelli coniati da altri ricercatori per lo stesso gruppo: Sofacy, Pawn Storm, Sednit, Fancy Bear, APT28, Group 74, Tsar Team, and Strontium. Urge conferenza internazionale solo per capire come chiamarli.
HACKER DI STATO E RITORSIONI
Riflessione e domande che mi faccio da un po’. Ma se gli americani continuano a individuare hacker di Stato avversari, a identificarli pubblicamente e a incriminarli, associandoli a agenzie di intelligence straniere, cosa impedisce ad altri Stati prima o poi di fare lo stesso? Certo, gli americani ribattono che le loro attività sarebbero di qualità diversa, non equiparabili agli avversari, che spesso sconfinano nel cybercrimine. Ad ogni modo il tema esiste e lo analizza questo pezzo di Buzzfeed. Non a caso, da tempo, ex-hacker della NSA sono preoccupati ed evitano di viaggiare in certi Paesi. Del resto, gli Shadow Brokers (il gruppo che aveva leakato documenti e codici della Nsa) avevano già lanciato un avvertimento.
EXPLOIT
Il mercato degli attacchi
Una competizione di hacker e ricercatori di sicurezza svoltasi in Cina per individuare vulnerabilità dei software e relativi exploit (gli attacchi che le sfruttano) ha prodotto ricchi premi: 120mila dollari per due exploit in Microsoft Edge, 100mila per Safari, 200mila per iPhone X e via dicendo. (Cyberbyte)
Come si comportano le agenzie di intelligence con le vulnerabilità?
Se questo è il mercato, lato intelligence gli inglesi hanno deciso di spiegare quale sarebbe il processo con cui decidono di rivelare una vulnerabilità alle aziende o invece di tenersela per usarla di nascosto. Tra le domande che si fa il GCHQ, l’equivalente britannico della NSA: quanto è probabile che la vulnerabilità sia scoperta e/o sfruttata da altri? Che settori espone se non viene chiusa/corretta? Che danno potenziale potrebbe fare se sfruttata? Si può mitigare anche senza chiuderla? (GCHQ)
Suggerisco anche, visto il precedente della NSA, dei suoi exploit leakati online, e di Wannacry: quante probabilità ci sono che ci venga rubata?
A tal proposito: Quegli exploit presi alla Nsa sono ancora sfruttati oggi (TechCrunch)
CYBERCRIMINE
Per incastrare un cybercriminale, l’FBI ha creato un finto sito FedEx (Motherboard)
Metà dei siti di phishing sfoggiano un rassicurante lucchetto e l’https. Ma la presenza della cifratura non li rende sicuri, cioè non li rende autentici (Brian Krebs)
BIG TECH, SOCIETA E POLITICA
GOOGLE
Continuano i fermenti interni e le proteste a Google per il suo controverso progetto Dragonfly, un possibile motore di ricerca in Cina soggetto a censura. C’è anche una raccolta fondi (CNBC) Il Ceo Sundar Pichai testimonierà al Congresso il 5 dicembre (The Verge)
AMAZON
Amazon lancia un servizio di machine learning per estrarre dati da cartelle cliniche e altre informazioni sanitarie (TechCrunch)
APPROFONDIMENTI
Lo scontro Guardian – Wikileaks pone questioni giornalistiche fondamentali (Valigia Blu)
PODCAST - Facebook, disinformazione, attacchi politici, bot: cosa insegna l’esperienza nelle Filippine (Recode - inglese)
The New Radicalization of the Internet
Jihadists and right-wing extremists use remarkably similar social media strategies (New York Times)
Oh Sheryl
Abbandonare l’idea di piazzare una Sheryl Sandberg in aziende come Facebook, pensando di risolverne in tal modo i problemi e l’immaturità di fondo, salvo poi usarla come capro espiatorio (Jessy Hempel – Linkedin)
The Digital Maginot Line
Lunga riflessione sulle operazioni di influenza e disinformazione via social, e il fatto che servirebbe un framework per difendersi. Non chiarissime le conclusioni, contestabili alcuni assunti, ma interessante (Ribbon Farm)
LIBRO
Che impatto avrà l’AI sull’economia, il lavoro, il futuro? Lo racconta un libro appena uscito, Architects of Intelligence - di Martin Ford (chi è Ford)
Ti è piaciuta? Inoltrala a chi potrebbe essere interessato.
Per iscriversi a questa newsletter: https://tinyletter.com/carolafrediani
Se vuoi mandarmi suggerimenti basta rispondere.
Buona domenica!