Se c’è una cosa su cui si può essere d’accordo, nella sicurezza informatica, è che nulla – né i computer, né gli smartphone, né tantomeno entità digitali come i siti internet – possono ritenersi al sicuro dagli attacchi hacker o da condotte disinibite da parte di chi tratta le informazioni degli utenti, come dimostrato in queste ore da alcuni attacchi che hanno colpito banche e portali internet, o da un’inchiesta del New York Times.
L’importante security house Kaspersky Lab, realizzatrice dell’omonimo antivirus russo, ha comunicato il resoconto di un’indagine compiuta sul mondo bancario, dal quale si evince che, di recente, almeno 8 grosse banche dell’Est Europa, sulle quali si è mantenuto il riserbo anche in merito all’entità delle perdite, hanno subito un attacco battezzato come “DarkVishnya“. Nella fattispecie si tratta di un attacco assai difficile a realizzarsi, perché richiede l’ingresso fisico di una persona in una banca, magari travestita da fattorino o impiegato delle pulizie, ed il collegamento, via porta Ethernet o USB, di un supporto hardware, es. una schedina Raspberry Pi modificata o una pennetta Bash Bunny (94 dollari), ad un computer della rete locale: superata questa difficoltà, l’hacker si collega in remoto, via GSM, 3 o 4G, al computer preso di mira, vi entra con un attacco brute-force, e procede alla scansione delle cartelle condivise a caccia di informazioni. Scoperto il modo in cui si effettuano i pagamenti, scarica il payload necessario e, zombizzato il terminale, procede al trasferimento fondi.
Anche per i siti internet, la situazione non si rivelata migliore. Wordfence, che si occupa di mettere in sicurezza tramite una sorta di firewall i siti realizzati secondo il content manager system WordPress, hanno scoperto un attacco dall’entità davvero cospicua, condotto a partire da 4 server di comando e controllo remoto. Da questi ultimi sarebbero partite, codificate secondo il protocollo Xml-Rpc, delle reiterate (attacco brute force) richieste di accesso via username e password (usando dati ottenuti con una dei passati data breach) a oltre 20 mila siti internet realizzati in WordPress i quali, una volta zombizzati e inseriti all’interno di una botnet, hanno replicato a loro volta l’attacco verso altri portali. A quanto pare, sarebbe ben difficile risalire all’origine dell’attacco, stante che tutte le richieste di accesso sarebbero state instradate tramite alcuni proxy-server anonimizzanti forniti dal service provider russo “best-proxies.ru”.
Infine, un nuovo attentato alla privacy personale, portato alla luce da una nuova inchiesta del New York Times. Quest’ultimo avrebbe analizzato un archivio del 2017 riguardante le 20 applicazioni più segnalate dalle aziende di sicurezza, scoprendo come tali software vendano i dati degli utenti ad almeno 75 imprese di analisi (o 40, come nel caso della più “morigerata” WeatherBug).
Le aziende coinvolte, a stretto giro, hanno replicato spiegando che i dati acquistati sono anonimi e generali, non riguardando utenti in particolare: tuttavia, il quotidiano ha dimostrato che un eventuale malintenzionato (stalker, terrorista, rapinatore), grazie a tali dati dettagliati, potrebbe scoprire la posizione di qualcuno con l’approssimazione di pochi metri, visto che alcune di tali app localizzavano gli utenti circa 14.000 volte al giorno, limitandosi – per omissione (come nel caso di theScore e The Weather Channel) – a spiegare che quanto raccolto serviva solo per offrire servizi personalizzati.