lunedì 17 gennaio 2022

QR code falsi

Da Crypto-Gram di gennaio 2022, leggo la notizia "US Police Warn of Parking
Meters with Phishing QR Codes":
-
https://www.bitdefender.com/blog/hotforsecurity/us-police-parking-meters-phi
shing-qr-codes/
.

Mi stavo chiedendo da tempo perché non avevo ancora sentito parlare di
queste frodi. Sono stato, purtroppo, accontentato.

In sintesi: sui parchimetri è possibile trovare QR code che indirizzano a un
sito per pagare il parcheggio. Però il sito è falso e l'incasso (e forse
anche il numero di carta di credito) va a finire ai frodatori.

Antivirus con crypto miner

Da Crypto-Gram di gennaio 2022, leggo che l'antivirus Norton 360 adesso
include un cryptominer:
-
https://krebsonsecurity.com/2022/01/norton-360-now-comes-with-a-cryptominer/
.

Il mio dubbio è che se la sicurezza si raggiunge anche con la semplicità,
questo principio non è seguito da un prodotto antivirus che fa anche altro.

Ci sono anche altre questioni sollevate dall'articolo (il fatto che non si
capisce bene chi ci guadagna a parte la Norton e i rischi per persone non
sufficientemente attente alla sicurezza che sono incentivate a usare servizi
con problemi di sicurezza da conoscere).

sabato 8 gennaio 2022

Vulnerabilità in log4j

E' noto che non mi occupo di questioni eccessivamente tecniche, ma la
vulnerabilità trovata in log4j è decisamente importante. Intanto un articolo
esplicativo (e tecnico):
- https://www.lunasec.io/docs/blog/log4j-zero-day/.

Riassumo dal SANS NewsBites del 10 dicembre: Una vulnerabilità nel log4j può
essere sfruttata per l'esecuzione di codice da remoto (RCE). Mantenuta
dall'Apache project, log4j è una libreria per realizzare funzioni di log.
Essa è usata in molti servizi cloud e prodotti. Un attaccante può scrivere
una stringa in una richiesta http; se l'applicazione tiene il log della
stringa con log4j, questo può essere ingannato e connettersi a un server
dell'attaccante e scaricare codice che sarà eseguito dal servizio. La
vulnerabilità ha codice CVE-2021-44228.

Questa vulnerabilità dimostra un problema di sicurezza non indifferente: è
preferibile usare librerie e strumenti sviluppati da altri (purché
competenti), in modo da sviluppare autonomamente e male le stesse soluzioni,
ma se le librerie più diffuse sono compromesse, tantissimi servizi saranno
vulnerabili.

Ecco quindi che l'uso di soluzioni sviluppate da altri non ci deve esimere
dal tracciarle (ecco a cosa serve l'asset inventory!), monitorarle,
verificare se sono costantemente mantenute. In altre parole: non vengono a
costo zero, anche se sono free. E a questo punto mi è venuto in mente che
anche questa è una lezione che andrebbe spiegata per bene a tutti coloro che
lavorano nel o con l'IT.

Ulteriore articolo tecnico è quello del CERT del Governo svizzero:
-
https://www.govcert.ch/blog/zero-day-exploit-targeting-popular-java-library-
log4j/
.

Aggiornamento Linee guida EDPB sulle notifiche delle violazioni

EDPB ha aggiornato a dicembre 2021 le "Guidelines 01/2021 on Examples regarding Personal Data Breach Notification":
- https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012021-examples-regarding-personal-data-breach_en.

La prima versione era di gennaio 2021 e all'epoca non le avevo segnalate.

E' ovviamente necessario leggerle, anche perché i casi possono essere usati come minacce da considerare nella valutazione del rischio e per ciascuno di essi sono anche elencate le misure di sicurezza. Insomma: queste linee guida possono essere usate per verificare la completezza delle propria valutazione del rischio e valutare l'adeguatezza delle misure di sicurezza.

Grazie a Chiara Ponti per averlo segnalato agli Idraulici della Privacy.

venerdì 7 gennaio 2022

Sito di ACN

Grazie a Silvestro Marascio di DFA, vengo a conoscenza del fatto che l'Agenzia per la cyberscicurezza nazionale ha avviato il suo sito web:
- https://www.acn.gov.it/.

Al momento non c'è quasi niente, ma sono fiducioso che le cose arriveranno.