Link alla notizia: https://www.hwupgrade.it/news/sicurezza-software/l-attacco-hacker-al-lazio-sarebbe-avvenuto-tramite-una-falla-alla-vpn_99679.html

Secondo le recenti informazioni che stanno circolando sugli organi di informazione nazionale, l'attacco hacker alla Regione Lazio sarebbe avvenuto sfruttando una falla nella VPN attraverso un dipendente che lavorava in smart working

Click sul link per visualizzare la notizia.

non sarebbe stata dotata di autenticazione a due fattori

Ma come caxxo si fa ? :doh: :banned:


gli attacchi sarebbero partiti dalla Russia

E chi se lo sarebbe mai immaginato ? :fiufiu:

E chi se lo sarebbe mai immaginato ? :fiufiu:
Ma falla finita: ormai pure se piove è colpa dei russi. Patetici. Tutte cazzate per nascondere la solita e celeberrima propria incompetenza.

Sicuramente oltre a non usare la doppia autenticazione ci sara' come password della Vpn la mitica "pippo" oppure "12345" :D

Ma falla finita: ormai pure se piove è colpa dei russi. Patetici. Tutte cazzate per nascondere la solita e celeberrima propria incompetenza.
Difendi qualche amichetto ?
Stranamente le gang cybercriminali attaccano tutti i paesi tranne la Russia :fiufiu:

до свида́ния товарищ

Il fatto non è direttamente riconducibile ad Engineering. Qui un estratto del loro comunicato:

"In merito ad alcune ipotesi circolate su una possibile correlazione tra questo tentativo di attacco respinto e l’attacco hacker subìto dalla Regione Lazio tra la notte del 31 luglio e l’1 agosto, si chiarisce che le analisi e gli approfondimenti prontamente effettuati escludono una correlazione (la Regione ha confermato che l’attacco è partito dalla violazione di un’utenza di un dipendente in Smart working).

Inoltre si evidenzia che il Gruppo Engineering non gestisce le infrastrutture della Regione oggetto del cyber-attacco, le cui dinamiche devono ancora essere del tutto chiarite delle autorità competenti."

Si trova qui: https://www.eng.it/whats-on/newsroom/nota-ai-clienti-in-merito-ad-alcuni-temi-di-cybersecurity

Quella è la risposta in legalese che serve a distanziare la società ENG dall'accaduto. Giustamente, è tutto in itinere e dunque verranno acclarate le responsabilità.

"Provocando l'interruzione di servizi così tanto servizi" :mc:

"Ah ma c'è il backup" si dirà, giusto? Peccato che l'articolo non chiarisca l'apparente anomalia per cui sarebbe stato lasciato pure online. :muro: :eek:

Ecco !! Lavora tu in smart working.......:mbe: >

L'attacco nato da un'utenza di un dipendente in smartworking (https://www.agi.it/cronaca/news/2021-08-04/attacco-hacker-regione-lazio-procura-terrorismo-bitcoin-riscatto-13476291/)

Dicono che c' entri.......la Germania, poi........>

Attacco hacker alla Regione Lazio: “E’ terrorismo”.

Sequestrati i dati del Ced, salvi i fascicoli sanitari

Bloccate tutte le attività.

Polizia postale al lavoro per individuare i responsabili del malware: attacco partito dall’Est attraverso la Germania (https://www.lastampa.it/cronaca/2021/08/02/news/attacco-hacker-in-corso-alla-regione-lazio-blitz-partito-dall-estero-bloccate-tutte-le-attivita-1.40561127)

Sicuramente oltre a non usare la doppia autenticazione ci sara' come password della Vpn la mitica "pippo" oppure "12345" :D

Sì esatto, due fattori è solo un in più...il vero bug sta sempre fra la sedia e la tastiera: avrà usato il PC del lavoro connesso alla VPN per guardare porno amatoriali russi su qualche sito sicuro :D :D :D

Sì esatto, due fattori è solo un in più...il vero bug sta sempre fra la sedia e la tastiera: avrà usato il PC del lavoro connesso alla VPN per guardare porno amatoriali russi su qualche sito sicuro :D :D :D
Facile, complimenti....... :asd:

Sì esatto, due fattori è solo un in più...il vero bug sta sempre fra la sedia e la tastiera: avrà usato il PC del lavoro connesso alla VPN per guardare porno amatoriali russi su qualche sito sicuro :D :D :D

Boh non mi sembrerebbe comunque un motivo sufficiente per bloccare così tanta roba con il solo accesso in rete di un dipendente qualsiasi.
Tutto ciò che non è strettamente necessario deve non essere accessibile, figuriamoci poi se parliamo dei backups.

Ma come caxxo si fa ? :doh: :banned:
Mah, io dubito che l'autenticazione a due fattori sarebbe servita a molto in questo caso specifico, in cui è stato violato il PC di un impiegato. Se il messaggio SMS viene inviato solo all'inizio, all'atto della connessione VPN, poi il malware ha comunque il canale aperto per raggiungere la rete locale dell'ente per tutta la durata della sessione.

Il punto è: come ha fatto il malware a crittare "tutti i file" dal PC di uno che sta in smart working? Probabilmente questo utente ha un accesso privilegiato via SSH ai server su cui si trovano il database e i dati? Ouch. Non è che per caso, prima di crittare, il malware si è fatto un dump che ora viene venduto sul dark web? Speriamo che i file fossero protetti da crittografia at-rest...

La vera leggerezza è stata lasciare il backup sulla stessa rete. Mi piacerebbe sapere quante persone sono state messe a lavorare alla sicurezza di quelle reti. Non mi stupirebbe se fosse < 1 perché io penso che qualsiasi tecnico, se avesse sufficiente tempo e budget, sposterebbe il backup su un medium fisico disconnesso senza neanche starci a pensare.

Basterebbe rendere illegali le criptovalute e vediamo come fanno a nascondersi.

Il punto è: come ha fatto il malware a crittare "tutti i file" dal PC di uno che sta in smart working? Probabilmente questo utente ha un accesso privilegiato via SSH ai server su cui si trovano il database e i dati? Ouch. Non è che per caso, prima di crittare, il malware si è fatto un dump che ora viene venduto sul dark web? Speriamo che i file fossero protetti da crittografia at-rest...


Secondo me è molt più semplice.....

1.Porbabilmente l'impiegato aveva dei dischi di rete conessi tramite VPN o comunque delle file share aperte.

2.Gli è arrivata la classica mail ingannevole con allegato i virus e il doppio click del mouse sull'allegato ha fatto il resto.

I delinquenti potrebbero aver tranquillamente fatto un po' di social engineering per capire quali bersagli fossero migliori e mandare a loro le mail infette...

Ma come caxxo si fa ? :doh: :banned: Scusa ma secondo te l'uso di autenticazione multifattore sulle VPN è automatico o standard?
Io francamente non ne ho ancora trovata una tra quelle usate in ambito enterprise (Cisco, F5, Fortinet e altre) che l'abbia implementata...

E chi se lo sarebbe mai immaginato ? :fiufiu:Quella della provenienza dell'attacco è una scemenza che è stata divulgata fin dall'inizio e che non sta ne in cielo ne in terra.
Come giustamente ha fatto notare gente ben più preparata di me in questo ambito (ma non ci vuole molto, basta una minima conoscenza in ambito sicurezza per arrivarvi) la vera provenienza di un attacco, se va bene, può essere desunta solo dopo settimane o mesi di lavoro da parte di gente che fa solo quello dalla mattina alla sera (in Italia io penso ci sia giusto Secure Network e pochi altri a quel livello).
A me è capitato diverse volte dai clienti, al minimo portscan o scansione http guardano gli ip di provenienza, fanno whois e partono con le dichiarazioni deliranti sulla provenienza dell'attacco, quando sappiamo benissimo che spoofare un ip o lanciare un attacco da remoto usando host compromessi è la norma.

Mah, io dubito che l'autenticazione a due fattori sarebbe servita a molto in questo caso specifico, in cui è stato violato il PC di un impiegato. Se il messaggio SMS viene inviato solo all'inizio, all'atto della connessione VPN, poi il malware ha comunque il canale aperto per raggiungere la rete locale dell'ente per tutta la durata della sessione.

Il punto è: come ha fatto il malware a crittare "tutti i file" dal PC di uno che sta in smart working? Probabilmente questo utente ha un accesso privilegiato via SSH ai server su cui si trovano il database e i dati? Ouch. Non è che per caso, prima di crittare, il malware ha si è fatto un dump che ora viene venduto sul dark web?E' ipotizzabile che si sia trasmesso a causa di configurazioni vpn "allegrotte" ovvero facendo quello che dice l'articolo: " accedere alla rete interna dell’azienda e accedere a dati, programmi e file come se si trovasse fisicamente sul posto di lavoro", cosa che capisco perfettamente dal pdv comunicativo per semplificare molto per i non addetti ai lavori, ma che non corrisponde esattamente alla realtà.

Purtroppo qui ci si scontra sempre con il solito braccio di ferro, tra chi si occupa di reti/sicurezza che vorrebbe imporre policy vpn stringenti (ovvero mi dici di cosa hai bisogno e ti rendo accessibili via vpn solo quei servizi/host/risorse) e gli utenti finali che invece vorrebbero appunto accesso a tutto, come se fossero connessi in lan (spesso perchè non sanno identificare nemmeno loro i servizi o gli host a cui hanno bisogno di accedere).

Ahimè spesso la spuntano i secondi perchè chi ha potere decisionale è proprio uno di loro totalmente ignorante dal pdv tecnico, a quel punto è un attimo che un malware si diffonda in modo incontrollato usando vulnerabilità dei sistemi (pensiamo a share di rete o servizi vulnerabili inaccessibili dall'esterno ma accessibilissimi in lan) :doh:

Io con Eng ci ho lavorato parecchio e ci lavoro ancora, e sebbene abbia tanti difetti (come un po' tutte le "megaditte") non è esattamente una società di sprovveduti, ahimè come in tutte le società ha una forte componente commerciale, ma ha anche tanto personale tecnico preparato (poi ci sono cmq geni o somari, come in tutte le società) e francamente se quello che è successo è questo credo sia difficile credere che sia stato fatto per negligenza loro, per esperienza sarei più propenso a pensare che sia successo per pressioni del cliente e degli utenti finali.

La vera leggerezza è stata lasciare il backup sulla stessa rete. Mi piacerebbe sapere quante persone sono state messe a lavorare alla sicurezza di quelle reti. Non mi stupirebbe se fosse < 1 perché io penso che qualsiasi tecnico, se avesse sufficiente tempo e budget, sposterebbe il backup su un medium fisico disconnesso senza neanche starci a pensare.Su questo hai perfettamente ragione.
Però anche qui ahimè è difficile identificare la vera causa, tu hai citato tempo e budget e purtroppo spesso sono esattamente questi i fattori che influiscono più di tutti.
Poi spesso nella PA capita raramente che una fornitura includa tutto, c'è sempre qualcosa che resta in carico a gruppi diversi, a fornitori diversi (che rispondono a dirigenti diversi, spesso in lotta fra loro e che fanno di tutto per mettersi i bastoni tra le ruote a vicenda) oppure in carico a dipendenti dell'ente.
Spesso infrastruttura e backup capita che rimangano in carico a personale dell'ente, e vuoi per le cattive condizioni di lavoro, o vuoi per l'incapacità o la scarsa formazioni, però cose del genere sono abbastanza comuni; io ho perso il conto delle volte in cui ho trovato sistemi di produzione dove il repository dei backup era banalmente una export nfs montata su un percorso locale, poi magari dietro quella export c'era deduplica a livello di blocchi, retention gestita nei modi più astrusi, diverse tecnologie (dischi, LTO, cloud), però resta il fatto che se fosse girato qualche malware avrebbe potuto accedere anche a quei percorsi.

Basterebbe rendere illegali le criptovalute e vediamo come fanno a nascondersi.Anche la corruzione è illegale, è forse sparita? :stordita:

Come al solito in itaglia si aspetta che il problema si verifichi per reagire, la solita politica del " mo ce pensamo " ...
Draghi ha detto che adesso partirà il progetto per l'agenzia di sicurezza nazionale, i principali stati Europei ce l'hanno da anni e non hanno spid, pec e minkiate varie per usare i servizi informatici dell'amministrazione pubbblica.

Anche la corruzione è illegale, è forse sparita? :stordita:

Che non sia sparita non vuol dire che averla resa illegale non sia servito.

Basterebbe rendere illegali le criptovalute e vediamo come fanno a nascondersi.

Eccolo il genio con la soluzione a portata di mano...incredibile non ci avesse pensato nessuno

Come al solito in itaglia si aspetta che il problema si verifichi per reagire, la solita politica del " mo ce pensamo " ...
Draghi ha detto che adesso partirà il progetto per l'agenzia di sicurezza nazionale, i principali stati Europei ce l'hanno da anni e non hanno spid, pec e minkiate varie per usare i servizi informatici dell'amministrazione pubbblica.Il punto imho non è un'agenzia, quello che farebbe può benissimo essere fatto da Agid (e in parte credo che già lo faccia, o dovrebbe farlo).

Quello che a me preoccupa è che tutti questi casi vengano usati come leva per favorire qualche mega piano cosmologico che assorbirà montagne di risorse senza partorire nulla, a parte ovviamente riempire i portafogli delle solite società parassite che orbitano attorno al mondo della PA e che da anni la spolpano.
Del resto Colao l'ha già fatto poco tempo fa, ricordate quando pochi mesi fa tuonava sul 95% dei server della PA insicuri? Ecco, non è mai stato chiarito da dove venisse quella statistica, poi è stato scoperto che si trattava di un report che prendeva in esame solo l'adozione di protocolli e cypher suites https sui soli portali di frontend degli enti pubblici... nonostante questo è stato usato come leva per lanciare il progetto dell'agenzia per la sicurezza e preparare il campo a piani cosmologici di riforma dell'innovazione nella PA.

Gli esempi poi non mancano, basta guardare il bando SPC Cloud, dove Tim, Almaviva, DXC, Poste, IBM (e la sua consociata Sistemi Informativi), PWC hanno banchettato allegramento, portando zero contributi tecnici/operativi (forse si salva giusto Sistemi Informativi da questo pdv) e subappaltando con contratti capestro a centinaia di PMI su cui hanno scaricato tutta la responsabilità e i costi delle forniture... insomma quello che potremmo definire il terremoto dell'Irpinia informatico.

Vogliamo cambiare le cose sul serio?
Non servono agenzie o slogan supercazzola, bisogna partire dalla disciplina degli appalti, eliminare le gare al ribasso, riformare i listini Consip su cui si basano le gare (che hanno tariffe inferiori ai minimi tabellari dei CCNL), eliminare i vincoli di partecipazione alle gare (in modo che possano partecipare direttamente quelle aziende che effettivamente fanno il lavoro, tagliando i rami morti delle società puramente commerciali che applicano solo markup senza dare alcun contributo nelle forniture).

Basterebbe rendere illegali le criptovalute e vediamo come fanno a nascondersi.

Rendiamo illegali i coltelli da cucina perché ci puoi uccidere la gente
Rendiamo illegali i cellulari perché puoi fare video e ricattare la gente
Rendiamo illegali le auto perche possono investire e uccidere la gente
... Potrei continuare all'infinito.

Il proibizionismo, o surrogati di tale, non funziona. Scientificamente provato.

I problemi non si risolvono vietando le cose, ma istruendo le persone, fornendogli la possibilità di comprendere il potere degli strumenti che stanno utilizzando, e che nel 2021, non é concepibile essere bucanti in questo modo.

Rendiamo illegali i coltelli da cucina perché ci puoi uccidere la gente
Rendiamo illegali i cellulari perché puoi fare video e ricattare la gente
Rendiamo illegali le auto perche possono investire e uccidere la gente
... Potrei continuare all'infinito.

Il proibizionismo, o surrogati di tale, non funziona. Scientificamente provato.

I problemi non si risolvono vietando le cose, ma istruendo le persone, fornendogli la possibilità di comprendere il potere degli strumenti che stanno utilizzando, e che nel 2021, non é concepibile essere bucanti in questo modo.
I 3 esempi che hai citato, hanno utilità al 99,9999999999%
Il bitcoin nessuno, serve solo a ricattatori e spacciatori.

A chi dice che è stupido vietare le criptovalute, vi ricordo che le criptovalute sono usate perché è facilissimo riciclarvi il denaro sporco.

Ma sarebbe facilissimo riciclare denaro pure con le banche, se non fosse che sono soggette a tantissime disposizioni legislative che rendono molto difficile il riciclaggio.

La differenza è che le criptovalute sono sopra la legge e non regolamentabili e in quanto tali vanno bloccate. Altrimenti se veramente il problema non è mai dello strumento ma di chi lo utilizza vendiamo pure la polvere da sparo al mercato e le armi da fuoco al supermercato, no?

il sistema era con assoluta certezza compromesso all'origine a prescindere dalla vpn in quanto i backup sono sempre isolati dalla rete WAN pertanto la regione lazio ha pagato aziende che hanno fatto male il loro lavoro. la responsabilità oggettiva è di chi ha strutturato il sistema e di chi doveva vigilare sulla corretta esecuzione degli appalti in quanto anche il sistema piu' rudimentale permette di ripristinare il tutto a 24 ore prima del disastro...

:ave: :mano:

Difendi qualche amichetto ?
Stranamente le gang cybercriminali attaccano tutti i paesi tranne la Russia :fiufiu:

до свида́ния товарищ

Nessun criminale informatico con un briciolo di cervello attaccherebbe il proprio paese, perché sà che verrebbe preso in 5 minuti.

I 3 esempi che hai citato, hanno utilità al 99,9999999999%
Il bitcoin nessuno, serve solo a ricattatori e spacciatori.

Certo, certo.
Il 99,999999999% della gente che usa veicoli a motore (tutti, compreso l'elettrico) non rispetta i limiti, i passaggi pedonali e a volte anche i semafori, per di più vanno via senza cintura, spesso senza casco e in settordici in uno scooter.
Quindi i mezzi vengono usati da criminali della strada, piloti amatoriali e funamboli criminali.

A chi dice che è stupido vietare le criptovalute, vi ricordo che le criptovalute sono usate perché è facilissimo riciclarvi il denaro sporco.

Ma sarebbe facilissimo riciclare denaro pure con le banche, se non fosse che sono soggette a tantissime disposizioni legislative che rendono molto difficile il riciclaggio.

La differenza è che le criptovalute sono sopra la legge e non regolamentabili e in quanto tali vanno bloccate. Altrimenti se veramente il problema non è mai dello strumento ma di chi lo utilizza vendiamo pure la polvere da sparo al mercato e le armi da fuoco al supermercato, no?

No. Riciclare denaro sporco è facile quanto prenderlo in euro o dollari.
Non è che prendendo la banconata sporca e infilarla nella blockchain, sparisce misteriosamente, quella continua a girare.
Idem con gli Euro, se tu con quel denaro "sporco" compri patate, l'hai smerciato uguale a comprare bitcoin.

Quindi non avere autenticazione a due fattori adesso è considerata una falla :rolleyes:

Ma per favore!

VPN tipo OpenVPN prevedono l'uso di certificati installati sulla macchina, e tipicamente sono questi ultimi ad essere protetti da password (cioè i certificati vengono cifrati con una password che serve a decifrarli prima della connessione).

Dopodiché posso citare esempi di account WhatsApp fregati perché l'utente ha esso stesso comunicato il codice OTP al malintenzionato :asd:

Tanto per dirne una.

[...]
La differenza è che le criptovalute sono sopra la legge e non regolamentabili e in quanto tali vanno bloccate.
[...]
quel "vanno" rende tutto divertente :D
se non ci fosse mamma stato a decidere e pianificare tutto eh, come si farebbe? :muro:

perché poi è evidente no che è con una legge si risolvono sempre i problemi

> vi abbiamo criptato il server, pagate 750 BTC
> eh no mi spiace, sa qua i BTC sono vietati
> ok, pagate 750 BTC
> ma le ho appena detto che sono vietati
> 750 BTC

se diciamo che ai control freak statali le crypto non piacciono ok.
se diciamo pure che le crypto non possono ad oggi, e forse mai potranno, soppiantare le valute delle grandi economie per n-mila fattori a partire dal controllo del tasso d'interesse, ok ci sta pure quello.
possiamo dirne altre 1000 su vizi e virtù delle crypto, ma morta lì.
non puoi decidere con una legge a cosa gli altri possono o non possono dare importanza, quali che siano le loro ragioni. puoi provarci, ma non funziona.

Quindi non avere autenticazione a due fattori adesso è considerata una falla :rolleyes:

Ma per favore!

VPN tipo OpenVPN prevedono l'uso di certificati installati sulla macchina, e tipicamente sono questi ultimi ad essere protetti da password (cioè i certificati vengono cifrati con una password che serve a decifrarli prima della connessione).

Dopodiché posso citare esempi di account WhatsApp fregati perché l'utente ha esso stesso comunicato il codice OTP al malintenzionato :asd:

Tanto per dirne una.

un certificato lato client protetto da chiave simmetrica È un 2FA.
si può discutere poi se sia o meno una buona e definitiva soluzione. in generale spesso non è una grande trovata usare quello da solo.

un certificato lato client protetto da chiave simmetrica È un 2FA.
si può discutere poi se sia o meno una buona e definitiva soluzione. in generale spesso non è una grande trovata usare quello da solo.

Già, perché se ti fregano il certificato e ti hanno infettato tramite un keylogger sei fritto.
Avere un secondo dispositivo che ti autentichi la seconda volta (es: google authenticator, sms, chiavetta opt, tabella a matrici cartacea ecc) impone all'hacker di turno, di dover violare 2 dispositivi, non uno solo.

No. Riciclare denaro sporco è facile quanto prenderlo in euro o dollari.
Non è che prendendo la banconata sporca e infilarla nella blockchain, sparisce misteriosamente, quella continua a girare.
Idem con gli Euro, se tu con quel denaro "sporco" compri patate, l'hai smerciato uguale a comprare bitcoin.
Lo sanno anche i sassi che i pagamenti in bitcoin non li becchi più.

Se tu sai come si fa, fai una cosa utile: vai in una Procura, quella che ti è più comoda, e spiegaglielo.

oggi è apparsa la notizia che il pc da cui sarebbe partito tutto era stato tenuto acceso di notte dal figlio dell'impiegato

ora che differenza c'è se il pc era acceso di giorno o di notte?

Sì esatto, due fattori è solo un in più...il vero bug sta sempre fra la sedia e la tastiera: avrà usato il PC del lavoro connesso alla VPN per guardare porno amatoriali russi su qualche sito sicuro :D :D :D

iT[o];47504791']Boh non mi sembrerebbe comunque un motivo sufficiente per bloccare così tanta roba con il solo accesso in rete di un dipendente qualsiasi.
Tutto ciò che non è strettamente necessario deve non essere accessibile, figuriamoci poi se parliamo dei backups.

Da quanto ho sentito io, sono riusciti ad accedere al PC di un amministratore di sistema di alto livello, con un malware o simile, da qui hanno preso le password di accesso al sistema e alla VPN, poi tutto è stato semplicissimo, erano diventati loro l'utente ed hanno installato comodamente il cryptolocker.
Se ci fosse stato l'accesso a più fattori, non gli bastavano le password per accedere alla rete.
Come abbiano fatto ad entrare nel PC del pollo, credo quello dipenda dal tipo, o è stato pollo, oppure gli hanno mandato qualche mail ben fatta, di quelle che possono fregare quasi tutti...

è una cosa sconvolgente.

licenziare subito diverse persone..

Già, perché se ti fregano il certificato e ti hanno infettato tramite un keylogger sei fritto.
Avere un secondo dispositivo che ti autentichi la seconda volta (es: google authenticator, sms, chiavetta opt, tabella a matrici cartacea ecc) impone all'hacker di turno, di dover violare 2 dispositivi, non uno solo.

Nì.

Se ti fregano il certificato e ti hanno infettato con un keylogger vuol dire che già hai grossi problemi.

Se assumiamo che l'attaccante da quel punto in poi possa avere il pieno controllo della macchina, e l'utente non se ne accorge, l'OTP non ti salva dal disastro.

Lo sanno anche i sassi che i pagamenti in bitcoin non li becchi più.

Se tu sai come si fa, fai una cosa utile: vai in una Procura, quella che ti è più comoda, e spiegaglielo.
Quando non hai alba di cosa parli, ma comunque parli.

https://www.blockchain.com/explorer

ad esempio:
https://www.blockchain.com/btc/address/bc1qnp59mrqccrzwx47ffk08puyaxfvyqtq3ntm7al
Portafoglio che invia 6.77719168 BTC:
bc1qnp59mrqccrzwx47ffk08puyaxfvyqtq3ntm7al

riceventi:
1.32800000BTC a 1WKihK3W54bNeP7JpzNSV4jy6VSJtXfJ8
5.44918160BTC a bc1qecl0yluqu4lkgm5k28wye4y2dwpsn0zgzc2gea

se gli altri due portafogli riceventi, faranno un'altro movimento, è anch'esso tracciabile.
Quindi, quando vai da es. Bitstamp per venderli, ti dovranno fare un bonifico.
Nel caso dei contanti, invece tu puoi vendere i BTC per contanti e fare una transazione, ma prima o poi, torneranno contanti, basta fare la strada inversa.

ps: se tu ricevi un bonifico, li tiri fuori in euro le banconete con il seriale XYZ, le spendi a tua volta tramite privati, fino ad arrivare in un negozio, che però lui incasserà in banca e la banca vedrà che la banconota XYZ è stata segnata come "Sporca" o "Da seguire", partiranno le indagini.

Nì.

Se ti fregano il certificato e ti hanno infettato con un keylogger vuol dire che già hai grossi problemi.

Se assumiamo che l'attaccante da quel punto in poi possa avere il pieno controllo della macchina, e l'utente non se ne accorge, l'OTP non ti salva dal disastro.


Nì, può aver senso scollegarsi da quella macchina per provare a bucarla direttamente tramite botnet, quindi rubo il certificato e la password, ma senza OTP non posso collegarmi, quindi dovrei bucare anche lo smartphone ad esempio.

Nì, può aver senso scollegarsi da quella macchina per provare a bucarla direttamente tramite botnet, quindi rubo il certificato e la password, ma senza OTP non posso collegarmi, quindi dovrei bucare anche lo smartphone ad esempio.

Quello che voglio dire è che se la stessa macchina compromessa viene usata per connettersi alla VPN, a prescindere dall'OTP, non te la cavi.

Poi ovviamente bisogna valutare caso per caso, ma banalmente se l'OTP viene inserito nella macchina compromessa, un attaccante che ne ha il pieno controllo, potrebbe intercettare il tentativo, impedire all'utente l'accesso e connettersi lui stesso alla VPN, eventualmente con un altra macchina.

Quello che voglio dire è che se la stessa macchina compromessa viene usata per connettersi alla VPN, a prescindere dall'OTP, non te la cavi.

Poi ovviamente bisogna valutare caso per caso, ma banalmente se l'OTP viene inserito nella macchina compromessa, un attaccante che ne ha il pieno controllo, potrebbe intercettare il tentativo, impedire all'utente l'accesso e connettersi lui stesso alla VPN, eventualmente con un altra macchina.

Certo, tutto è fattibile, ma sicuramente è più sicuro che non avere solo la password

il sistema era con assoluta certezza compromesso all'origine a prescindere dalla vpn in quanto i backup sono sempre isolati dalla rete WAN pertanto la regione lazio ha pagato aziende che hanno fatto male il loro lavoro. la responsabilità oggettiva è di chi ha strutturato il sistema e di chi doveva vigilare sulla corretta esecuzione degli appalti in quanto anche il sistema piu' rudimentale permette di ripristinare il tutto a 24 ore prima del disastro...E' la regione Lazio, in quanto committente della fornitura, a definire le policy da adottare per gli accessi e per l'operatività.
Visto che il caso non è affatto chiaro e fino a prova contraria sono trapelati solo indizi su quali possano essere state le cause, trovo abbastanza curioso che qualcuno possa dire di chi è la colpa o se qualcuno abbia fatto male il proprio lavoro.

Ripristinare tutto? :mbe:
In 24h? :asd:
Io lavoro per enti di quel tipo da quasi 20 anni e ti assicuro che quello che dal frontend appare come un servizio in realtà è sempre una ragnatela di mille servizi, gestiti da gruppi diversi, con responsabili diversi, che girano su macchine diverse, su infrastruttura diversa, con politiche di gestione diverse.
Certamente ci sono sla che prevedono ripristino di situazioni bloccanti entro 4h, ma sono pura fantasia e in molti casi questo non è possibile nemmeno avendo a disposizione l'intera forza lavoro di un big alla Google o AWS.

Molti dei sistemi a mio perimetro ospitano servizi simili.
Ci sono i backup? Certamente
E' possibile ripristinare tutto dai backup? Certamente
Quanto tempo ci vuole? Avendo a disposizione gli specialisti del produttore che hanno fatto il setup iniziale, a occhio e croce (perchè la sfera di cristallo non ce l'ha nessuno) direi almeno una settimana di lavoro.

Poi si cerca di mitigare con piani alternativi, però non pensiate si tratti di un sito Wordpress, parliamo di servizi dove solo il setup pulito da zero, senza customizzazioni (quello che in molti casi è il semplice "click avanti... click avanti... click avanti...") richiede qualche giornata di lavoro, riti voodoo e altro (sfido chiunque a fare un setup di WebSphere Portal in cluster facendo "click avanti... click avanti... click avanti..." :doh: ).

Quando non hai alba di cosa parli, ma comunque parli.

https://www.blockchain.com/explorer

ad esempio:
https://www.blockchain.com/btc/address/bc1qnp59mrqccrzwx47ffk08puyaxfvyqtq3ntm7al
Portafoglio che invia 6.77719168 BTC:
bc1qnp59mrqccrzwx47ffk08puyaxfvyqtq3ntm7al

riceventi:
1.32800000BTC a 1WKihK3W54bNeP7JpzNSV4jy6VSJtXfJ8
5.44918160BTC a bc1qecl0yluqu4lkgm5k28wye4y2dwpsn0zgzc2gea

se gli altri due portafogli riceventi, faranno un'altro movimento, è anch'esso tracciabile.
Quindi, quando vai da es. Bitstamp per venderli, ti dovranno fare un bonifico.
Nel caso dei contanti, invece tu puoi vendere i BTC per contanti e fare una transazione, ma prima o poi, torneranno contanti, basta fare la strada inversa.

ps: se tu ricevi un bonifico, li tiri fuori in euro le banconete con il seriale XYZ, le spendi a tua volta tramite privati, fino ad arrivare in un negozio, che però lui incasserà in banca e la banca vedrà che la banconota XYZ è stata segnata come "Sporca" o "Da seguire", partiranno le indagini.
ripeto:
invece di fare il bulletto su un forum e dire che gli altri sono incompetenti,
vai in una Procura e spiegaglielo.
Chiedi di parlare con un PM, e gli dici che sei in grado di tracciare i pagamenti dei riscatti, ti prendono come consulente.
Se sei di Roma meglio ancora. La regione Lazio paga il riscatto, e tu glieli recuperi.

Da quando successe anni fa anche negli uffici di alcuni miei clienti (medici, commercialisti, ecc) per essere operativi in meno di 1 giorno dal problema ho optato per:
2 macchine fisiche gemelle, una in uso una di scorta entrambe senza accesso a rete esterna
all'interno ogni singolo applicativo importante ha la sua singola virtual machine,
ogni giorno viene eseguito il bakcup do ogni singola virtual sempre su rete senza accesso a internet.
Quando entra un crypto non faccio altro che andare la e deletare l'intera virtual infettata e rimontarla dal giorno prima.
alcuni clienti l'hanno voluto il backup doppio in giornata, altri con la fibra il backup in cloud.... ma con le virtual mi sono sempre salvato

ripeto:
invece di fare il bulletto su un forum e dire che gli altri sono incompetenti,
vai in una Procura e spiegaglielo.
Chiedi di parlare con un PM, e gli dici che sei in grado di tracciare i pagamenti dei riscatti, ti prendono come consulente.
Se sei di Roma meglio ancora. La regione Lazio paga il riscatto, e tu glieli recuperi.

No, fallo tu dicendo che puoi tracciare la banconota con seriale XYZ che la gente usa e fà girare tramite contanti e bonifici.

Dire che BTC non è tracciabile, è falso perché sono tracciabili tanto quanto i bonifici e i contanti, basta avere pazienza (moltissima) e seguirli.
Il problema semmai, di entrambe è che prima o poi, ti porta in un vicolo cieco perché magari in mezzo ai passaggi, qualcuno si è perso per strada (ucciso? si è dimenticato o non è stato attento a chi gli ha dato quella banconota?).

Su BTC è la stessa e identica cosa, con la differenza che vedi dov'è andata la banconota, ma non sai a chi può appartenere il wallet fino al prossimo wallet conosciuto (es: quelli di bitstamp, tesla, paypal o quant'altro)

edit: giusto per darti un'idea:
https://bitcoinwhoswho.com/address/bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh
https://explorer.bitquery.io/bitcoin/tx/21750751e7fe06c20f051dbb53be4f9811d44f920c8ad071df0922a7593383f3

tramite il primo sito, scopri che ci sono 2 wallet che hanno mandato per 2 volte ogniuno dei soldi e/o hanno ricevuto da tali wallet, inoltre trovi anche post in internet tipo reddit dove ne parlano.
Dallo stesso sito, scopri anche che ad un certo punto dal wallet punta a degli exchange, Binance e Coinbase.

https://bitquery.io/blog/trace-bitcoin-transaction-and-address#Is_Bitcoin_anonymous

Dire che BTC non è tracciabile, è falso perché sono tracciabili tanto quanto i bonifici e i contanti, basta avere pazienza (moltissima) e seguirli.
I contanti non sono tracciabili :O
I bonifici sono tracciabili e l' identità dei soggetti è sempre conosciuta in quanto al momento della creazione di un CC la banca acquisisce tutte le informazioni.
I BTC sono tracciabili, ma è impossibile risalire ai soggetti coinvolti in quanto non c' è nessun obbligo di identificazione, quindi sai su che portafogli è finito un BTC ma non sai chi è il proprietario.
Bisogna aggiungere che le criptovalute come beni digitali sono facili da "mettere in lavatrice" e ci sono servizi appositi ( tipo CoinMixer ) che si occupano di centrifugare per bene i BTC facendo perdere le tracce dei movimenti

I contanti non sono tracciabili :O
I bonifici sono tracciabili e l' identità dei soggetti è sempre conosciuta in quanto al momento della creazione di un CC la banca acquisisce tutte le informazioni.
I BTC sono tracciabili, ma è impossibile risalire ai soggetti coinvolti in quanto non c' è nessun obbligo di identificazione, quindi sai su che portafogli è finito un BTC ma non sai chi è il proprietario.
Bisogna aggiungere che le criptovalute come beni digitali sono facili da "mettere in lavatrice" e ci sono servizi appositi ( tipo CoinMixer ) che si occupano di centrifugare per bene i BTC facendo perdere le tracce dei movimenti

A ridaje.
I contanti sono tracciabili, ogni banconota ha un seriale, solo che non si vogliono avere i mezzi per tracciarli.
Basterebbe mettere in ogni negozio i dispositivi di controllo se le banconote sono vere o false, ogni volta che si passa la banconota scansiona il seriale e viene comunicato allo stato "05/08/2021 13:30:29 Cassa 1 Bancaonota XYZ -> Mediaworld", finanza: "Mediaworld, fammi vedere le telecamere della cassa 1 del giorno 05/08/2021 alle 13:30" ops. sgamato.

I mixer, esistono anche per i bonifici, si chiamano prestanome oppure si creano CC con documenti rubati, non denunciati in tempo, laborioso, ma fattibilissimo.

I grandi exchange, TUTTI, TUTTI, richiedono i documenti e informazioni sulla persona, esattamente come le banche, prova a registrarti su bitstamp ;)

E' vero che non si conosce di chi è il wallet, ma prima o poi, esce in valuta reale (tramite exchange) o in un wallet conosciuto (exchange oppure aziende grosse), si iniziano da lì le indagini.

teoricamente vero, praticamente quasi infattibile anche perché gli exchange sono quasi tutti offshore e non hanno obblighi di comunicazione al fisco, prova a mandare una richiesta a Binance in Cina e vedi -anche se sei la magistratura- come ti rispondono, se si degnano di farlo.
Inoltre tra mixer, exchange, ecc si può pasticciare per bene per rendere realmente non tracciabili i bonifici di uscita in fiat (che magari va ad un trust anonimo alle Cayman..). Insomma se è gente organizzata è difficile risalire a dei nomi.

teoricamente vero, praticamente quasi infattibile anche perché gli exchange sono quasi tutti offshore e non hanno obblighi di comunicazione al fisco, prova a mandare una richiesta a Binance in Cina e vedi -anche se sei la magistratura- come ti rispondono, se si degnano di farlo.
Inoltre tra mixer, exchange, ecc si può pasticciare per bene per rendere realmente non tracciabili i bonifici di uscita in fiat (che magari va ad un trust anonimo alle Cayman..). Insomma se è gente organizzata è difficile risalire a dei nomi.
Bitstamp è sloveno
Kraken è americano
coinbase è americano
Bitso è messicano
Bithumb è della Corea del sud
bitFlyer è di giapponese
Bitfinex è russo
Coincheck giapponese
Gemini è americano
LocalBitcoins è finlandese
ShapeShift è svizzero
Upbit è della Corea del sud

i più grossi offshore sono: Huobi, OKEx, BitMEX che sono alle Seychelles


Appunto, ma in tutti i metodi, dai bonifici, ai contanti, ai BTC.
Ma, è più semplice seguire i BTC che non i contanti o bonifici, in quanto il registro è pubblico e non alterabile (per ora!).

Se noi avessimo il seed (o master public key) di ogni wallet, risaliremmo ad ogni wallet generato da quel seed, quindi, sapremmo TUTTO di TUTTI.

E' la regione Lazio, in quanto committente della fornitura, a definire le policy da adottare per gli accessi e per l'operatività.
Visto che il caso non è affatto chiaro e fino a prova contraria sono trapelati solo indizi su quali possano essere state le cause, trovo abbastanza curioso che qualcuno possa dire di chi è la colpa o se qualcuno abbia fatto male il proprio lavoro.

Ripristinare tutto? :mbe:
In 24h? :asd:
Io lavoro per enti di quel tipo da quasi 20 anni e ti assicuro che quello che dal frontend appare come un servizio in realtà è sempre una ragnatela di mille servizi, gestiti da gruppi diversi, con responsabili diversi, che girano su macchine diverse, su infrastruttura diversa, con politiche di gestione diverse.
Certamente ci sono sla che prevedono ripristino di situazioni bloccanti entro 4h, ma sono pura fantasia e in molti casi questo non è possibile nemmeno avendo a disposizione l'intera forza lavoro di un big alla Google o AWS.

Molti dei sistemi a mio perimetro ospitano servizi simili.
Ci sono i backup? Certamente
E' possibile ripristinare tutto dai backup? Certamente
Quanto tempo ci vuole? Avendo a disposizione gli specialisti del produttore che hanno fatto il setup iniziale, a occhio e croce (perchè la sfera di cristallo non ce l'ha nessuno) direi almeno una settimana di lavoro.

Poi si cerca di mitigare con piani alternativi, però non pensiate si tratti di un sito Wordpress, parliamo di servizi dove solo il setup pulito da zero, senza customizzazioni (quello che in molti casi è il semplice "click avanti... click avanti... click avanti...") richiede qualche giornata di lavoro, riti voodoo e altro (sfido chiunque a fare un setup di WebSphere Portal in cluster facendo "click avanti... click avanti... click avanti..." :doh: ).

ah beh
l'RTO con realtà così complesse...cmq non ha assolutamente torto Colao, CENTRALIZZARE, su cloud ITALIANO xò
e così magari, una volta centralizzato, puoi seriamente pensare a sistemi di DR magari, per RTO magari umani

A ridaje.
I contanti sono tracciabili, ogni banconota ha un seriale, solo che non si vogliono avere i mezzi per tracciarli.
Basterebbe mettere in ogni negozio i dispositivi di controllo se le banconote sono vere o false, ogni volta che si passa la banconota scansiona il seriale e viene comunicato allo stato "05/08/2021 13:30:29 Cassa 1 Bancaonota XYZ -> Mediaworld", finanza: "Mediaworld, fammi vedere le telecamere della cassa 1 del giorno 05/08/2021 alle 13:30" ops. sgamato.
Quindi i contanti sono tracciabili, basta solo dotare tutte le persone ( anche la mamma che dà i 20 euro al figlio per andare in disco ) di un dispositivo che devono usare obbligatoriamente per segnare tutte le banconote che danno e ricevono ( e le monete ? :wtf: )
Un po' come quello che puoi guardare la TV con una lavatrice basta solo installare un televisore.


I mixer, esistono anche per i bonifici, si chiamano prestanome oppure si creano CC con documenti rubati, non denunciati in tempo, laborioso, ma fattibilissimo.
Solo che sono servizi estremamente costosi, difficili, laboriosi e soprattutto illegali
Invece per i BTC bastano due click e 10 minuti


I grandi exchange, TUTTI, TUTTI, richiedono i documenti e informazioni sulla persona, esattamente come le banche, prova a registrarti su bitstamp ;)
Binance è quello con maggiore volume di affari e per registrarsi basta un indirizzo email e un nome inventato :fagiano:


E' vero che non si conosce di chi è il wallet, ma prima o poi, esce in valuta reale (tramite exchange) o in un wallet conosciuto (exchange oppure aziende grosse), si iniziano da lì le indagini.
Si, certo, come se arrivasse il tizio in macchina a prendere i soldi
Probabilmente invece sono usati per comprare servizi e oggetti che vengono intestati a terzi, stai sicuro che in un modo o nell' altro da quel wallet escono e non si sa chi li abbia presi

Ma stiamo divagando
Piuttosto ditemi che questo è un fotomontaggio :
https://twitter.com/marrovello/status/1423203816829247492/photo/1

Vi prego, ditemi che è un fotomontaggio ...

E' inaccettabile che dalla password dell'Utente di un PC siano riusciti a prendersi il DB Principale di Sistema :muro:
Il loro sistema evidentemente faceva acqua da tutte le parti! :ciapet:

E' inaccettabile che dalla password dell'Utente di un PC siano riusciti a prendersi il DB Principale di Sistema :muro:
Il loro sistema evidentemente faceva acqua da tutte le parti! :ciapet:

guarda che ci sono exploit di Microsoft che NON puoi attualmente fixare.
a meno che non vengano intercettati da antivirus o EDR...sei fregato

Quindi i contanti sono tracciabili, basta solo dotare tutte le persone ( anche la mamma che dà i 20 euro al figlio per andare in disco ) di un dispositivo che devono usare obbligatoriamente per segnare tutte le banconote che danno e ricevono ( e le monete ? :wtf: )
Un po' come quello che puoi guardare la TV con una lavatrice basta solo installare un televisore.

Infatti, non ho detto che è applicabile al nostro modo di vivere (in senso ampio), ma è fattibile.


Solo che sono servizi estremamente costosi, difficili, laboriosi e soprattutto illegali
Invece per i BTC bastano due click e 10 minuti

Affermazioni entrambe vere, ma altrettanto fattibili.



Binance è quello con maggiore volume di affari e per registrarsi basta un indirizzo email e un nome inventato :fagiano:

Dal 23/08/2021 se hai fatto l'account base, non puoi prelevare oltre 0.06BTC (circa 2400€) al giorno, prima era di 2BTC.
https://www.binance.com/en/support/announcement/9df8225c061b455da5c7cc293cd08a70



Si, certo, come se arrivasse il tizio in macchina a prendere i soldi
Probabilmente invece sono usati per comprare servizi e oggetti che vengono intestati a terzi, stai sicuro che in un modo o nell' altro da quel wallet escono e non si sa chi li abbia presi

Sì, conosco gente che ha comprato BTC in contanti, pochi (50-100€) ma li compra.



Ma stiamo divagando
Piuttosto ditemi che questo è un fotomontaggio :
https://twitter.com/marrovello/status/1423203816829247492/photo/1

Vi prego, ditemi che è un fotomontaggio ...

ne dubito :doh:

Scusa ma secondo te l'uso di autenticazione multifattore sulle VPN è automatico o standard?
Io francamente non ne ho ancora trovata una tra quelle usate in ambito enterprise (Cisco, F5, Fortinet e altre) che l'abbia implementata...
....

fortinet ce l'ha

https://play.google.com/store/apps/details?id=com.fortinet.android.ftm&hl=it&gl=US

Scusa ma secondo te l'uso di autenticazione multifattore sulle VPN è automatico o standard?
Io francamente non ne ho ancora trovata una tra quelle usate in ambito enterprise (Cisco, F5, Fortinet e altre) che l'abbia implementata...]

si ma ci può essere anche l'autenticazione a 15 fattori ma se l'infezione avviene mentre il pc è già collegato in VPN non serve a nulla lo stesso
tra l'altro cosa molto probabile perchè il soggetto di turno di sicuro si collega la mattina e si scollega la sera e mentre "lavora" si fa anche una vagonata di c..zi suoi su internet

Piuttosto ditemi che questo è un fotomontaggio :
https://twitter.com/marrovello/status/1423203816829247492/photo/1

Vi prego, ditemi che è un fotomontaggio ...

Eheheh qua si stanno prendendo in esame sistemi di autenticazione avanzatissimi, ma è abbastanza probabile che sia partito tutto da una negligenza banale.
Quella inquadratura l'ho vista in TV, è verissima :D

fortinet ce l'ha

https://play.google.com/store/apps/details?id=com.fortinet.android.ftm&hl=it&gl=USAssolutamente, e non è l'unica (anche con OpenVPN si può implementare), quello che dicevo era che dalla mia esperienza sono ben poche le realtà dove si implementa una MFA sulla vpn, non è una cosa automatica e ben pochi si pensano.

si ma ci può essere anche l'autenticazione a 15 fattori ma se l'infezione avviene mentre il pc è già collegato in VPN non serve a nulla lo stesso
tra l'altro cosa molto probabile perchè il soggetto di turno di sicuro si collega la mattina e si scollega la sera e mentre "lavora" si fa anche una vagonata di c..zi suoi su internetPerfettamente d'accordo, il mio intervento era solo per rimarcare che la MFA non è scontata sulle vpn e come giustamente fai notare non influisce minimamente sul traffico che ci passa dentro.

Menomale...........>

Attacco hacker, gli operatori sono riusciti ad accedere ai dati di backup (https://www.tg24.info/ultimora-lazio-attacco-hacker-gli-operatori-sono-riusciti-ad-accedere-ai-dati-di-backup/)

Assolutamente, e non è l'unica (anche con OpenVPN si può implementare), quello che dicevo era che dalla mia esperienza sono ben poche le realtà dove si implementa una MFA sulla vpn, non è una cosa automatica e ben pochi si pensano.

Perfettamente d'accordo, il mio intervento era solo per rimarcare che la MFA non è scontata sulle vpn e come giustamente fai notare non influisce minimamente sul traffico che ci passa dentro.

Con l' ultimo cliente per cui ho lavorato la vpn aveva dual factor authentication ( password più token sul telefonino ), permetteva l'accesso solo dal portatile che forniva lui, sul PC non avevi diritti amministrativi ed era installato l' Endpoint Security di Trend Micro, peraltro da lì era visibile la sola rete di sviluppo, per accedere ai server di produzione bisognava passare dal PAM
Ma ho come l'impressione che forse non tutte queste accortezze siano state usate nel caso in questione :stordita:

Menomale...........>

Attacco hacker, gli operatori sono riusciti ad accedere ai dati di backup (https://www.tg24.info/ultimora-lazio-attacco-hacker-gli-operatori-sono-riusciti-ad-accedere-ai-dati-di-backup/)

Un sistema di backup talmente sofisticato che ci hanno messo 3 giorni per capire se potevano recuperare i dati o no :doh: