|
|
|
|
Strumenti |
04-08-2021, 15:51 | #1 |
www.hwupgrade.it
Iscritto dal: Jul 2001
Messaggi: 75175
|
Link alla notizia: https://www.hwupgrade.it/news/sicure...vpn_99679.html
Secondo le recenti informazioni che stanno circolando sugli organi di informazione nazionale, l'attacco hacker alla Regione Lazio sarebbe avvenuto sfruttando una falla nella VPN attraverso un dipendente che lavorava in smart working Click sul link per visualizzare la notizia. |
04-08-2021, 16:17 | #2 | ||
Senior Member
Iscritto dal: Apr 2002
Città: VR-PD
Messaggi: 11023
|
Quote:
Quote:
__________________
Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn |
||
04-08-2021, 16:19 | #3 |
Senior Member
Iscritto dal: Jan 2007
Messaggi: 6185
|
Ma falla finita: ormai pure se piove è colpa dei russi. Patetici. Tutte cazzate per nascondere la solita e celeberrima propria incompetenza.
__________________
E come disse Peppone appena svegliatosi in Parlamento, "Fasciiisti!!!" |
04-08-2021, 16:24 | #4 |
Member
Iscritto dal: Feb 2003
Città: Roma
Messaggi: 269
|
Sicuramente oltre a non usare la doppia autenticazione ci sara' come password della Vpn la mitica "pippo" oppure "12345"
|
04-08-2021, 16:31 | #5 | |
Senior Member
Iscritto dal: Apr 2002
Città: VR-PD
Messaggi: 11023
|
Quote:
Stranamente le gang cybercriminali attaccano tutti i paesi tranne la Russia до свида́ния товарищ
__________________
Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn |
|
04-08-2021, 16:36 | #6 |
Member
Iscritto dal: Oct 2002
Messaggi: 78
|
Il fatto non è direttamente riconducibile ad Engineering. Qui un estratto del loro comunicato:
"In merito ad alcune ipotesi circolate su una possibile correlazione tra questo tentativo di attacco respinto e l’attacco hacker subìto dalla Regione Lazio tra la notte del 31 luglio e l’1 agosto, si chiarisce che le analisi e gli approfondimenti prontamente effettuati escludono una correlazione (la Regione ha confermato che l’attacco è partito dalla violazione di un’utenza di un dipendente in Smart working). Inoltre si evidenzia che il Gruppo Engineering non gestisce le infrastrutture della Regione oggetto del cyber-attacco, le cui dinamiche devono ancora essere del tutto chiarite delle autorità competenti." Si trova qui: https://www.eng.it/whats-on/newsroom/nota-ai-clienti-in-merito-ad-alcuni-temi-di-cybersecurity |
04-08-2021, 16:42 | #7 |
Senior Member
Iscritto dal: Jun 2005
Messaggi: 21943
|
Quella è la risposta in legalese che serve a distanziare la società ENG dall'accaduto. Giustamente, è tutto in itinere e dunque verranno acclarate le responsabilità.
"Provocando l'interruzione di servizi così tanto servizi" "Ah ma c'è il backup" si dirà, giusto? Peccato che l'articolo non chiarisca l'apparente anomalia per cui sarebbe stato lasciato pure online. |
04-08-2021, 16:54 | #8 |
Senior Member
Iscritto dal: Feb 2009
Messaggi: 50674
|
Ecco !! Lavora tu in smart working....... >
L'attacco nato da un'utenza di un dipendente in smartworking Dicono che c' entri.......la Germania, poi........> Attacco hacker alla Regione Lazio: “E’ terrorismo”. Sequestrati i dati del Ced, salvi i fascicoli sanitari Bloccate tutte le attività. Polizia postale al lavoro per individuare i responsabili del malware: attacco partito dall’Est attraverso la Germania
__________________
Aomei in Prog. & Utility - Lic OEM - Q di Merc Ott '22 - W10 Spot Images Seasons from '20 to Summer 2022 - DailyPic dalle Eccezioni alle Unique Images + Rec > DailyPic Unique Images Novembre 2022 Ultima modifica di tallines : 04-08-2021 alle 16:59. |
04-08-2021, 17:00 | #9 |
Senior Member
Iscritto dal: Nov 2005
Messaggi: 3317
|
Sì esatto, due fattori è solo un in più...il vero bug sta sempre fra la sedia e la tastiera: avrà usato il PC del lavoro connesso alla VPN per guardare porno amatoriali russi su qualche sito sicuro
__________________
Debian/Sid - Ducati |
04-08-2021, 17:04 | #10 |
Senior Member
Iscritto dal: Feb 2009
Messaggi: 50674
|
Facile, complimenti.......
__________________
Aomei in Prog. & Utility - Lic OEM - Q di Merc Ott '22 - W10 Spot Images Seasons from '20 to Summer 2022 - DailyPic dalle Eccezioni alle Unique Images + Rec > DailyPic Unique Images Novembre 2022 |
04-08-2021, 17:11 | #11 | |
Senior Member
Iscritto dal: Jul 2002
Messaggi: 5605
|
Quote:
Tutto ciò che non è strettamente necessario deve non essere accessibile, figuriamoci poi se parliamo dei backups.
__________________
-=- 5900x . X570 Aorus Elite . 32GB 3600MHz C16 . RTX 3060 Ti . nvme 2+1TB -=- |
|
04-08-2021, 17:23 | #12 |
Senior Member
Iscritto dal: Aug 2005
Messaggi: 515
|
Mah, io dubito che l'autenticazione a due fattori sarebbe servita a molto in questo caso specifico, in cui è stato violato il PC di un impiegato. Se il messaggio SMS viene inviato solo all'inizio, all'atto della connessione VPN, poi il malware ha comunque il canale aperto per raggiungere la rete locale dell'ente per tutta la durata della sessione.
Il punto è: come ha fatto il malware a crittare "tutti i file" dal PC di uno che sta in smart working? Probabilmente questo utente ha un accesso privilegiato via SSH ai server su cui si trovano il database e i dati? Ouch. Non è che per caso, prima di crittare, il malware si è fatto un dump che ora viene venduto sul dark web? Speriamo che i file fossero protetti da crittografia at-rest... La vera leggerezza è stata lasciare il backup sulla stessa rete. Mi piacerebbe sapere quante persone sono state messe a lavorare alla sicurezza di quelle reti. Non mi stupirebbe se fosse < 1 perché io penso che qualsiasi tecnico, se avesse sufficiente tempo e budget, sposterebbe il backup su un medium fisico disconnesso senza neanche starci a pensare. Ultima modifica di BrightSoul : 04-08-2021 alle 17:38. |
04-08-2021, 17:38 | #13 |
Member
Iscritto dal: Sep 2019
Messaggi: 124
|
Via la criptovaluta
Basterebbe rendere illegali le criptovalute e vediamo come fanno a nascondersi.
|
04-08-2021, 17:48 | #14 | |
Senior Member
Iscritto dal: Jun 2007
Città: Casnate con Bernate
Messaggi: 1916
|
Quote:
1.Porbabilmente l'impiegato aveva dei dischi di rete conessi tramite VPN o comunque delle file share aperte. 2.Gli è arrivata la classica mail ingannevole con allegato i virus e il doppio click del mouse sull'allegato ha fatto il resto. I delinquenti potrebbero aver tranquillamente fatto un po' di social engineering per capire quali bersagli fossero migliori e mandare a loro le mail infette...
__________________
PSU: Seasonic M12II-620 Evo MB: MSI X370 Sli Plus CPU: AMD Ryzen 7 5700X SSD: Kingston SA400S37/240GB RAM: 2x 16GB DDR4 3200MHz SCHEDA VIDEO: SAPPHIRE RX 6700 Pulse OC 10GB S.O.: openSUSE Tumbleweed |
|
04-08-2021, 17:59 | #15 | |||
Senior Member
Iscritto dal: Nov 2001
Città: Kendermore
Messaggi: 6497
|
Scusa ma secondo te l'uso di autenticazione multifattore sulle VPN è automatico o standard?
Io francamente non ne ho ancora trovata una tra quelle usate in ambito enterprise (Cisco, F5, Fortinet e altre) che l'abbia implementata... Quote:
Come giustamente ha fatto notare gente ben più preparata di me in questo ambito (ma non ci vuole molto, basta una minima conoscenza in ambito sicurezza per arrivarvi) la vera provenienza di un attacco, se va bene, può essere desunta solo dopo settimane o mesi di lavoro da parte di gente che fa solo quello dalla mattina alla sera (in Italia io penso ci sia giusto Secure Network e pochi altri a quel livello). A me è capitato diverse volte dai clienti, al minimo portscan o scansione http guardano gli ip di provenienza, fanno whois e partono con le dichiarazioni deliranti sulla provenienza dell'attacco, quando sappiamo benissimo che spoofare un ip o lanciare un attacco da remoto usando host compromessi è la norma. Quote:
Purtroppo qui ci si scontra sempre con il solito braccio di ferro, tra chi si occupa di reti/sicurezza che vorrebbe imporre policy vpn stringenti (ovvero mi dici di cosa hai bisogno e ti rendo accessibili via vpn solo quei servizi/host/risorse) e gli utenti finali che invece vorrebbero appunto accesso a tutto, come se fossero connessi in lan (spesso perchè non sanno identificare nemmeno loro i servizi o gli host a cui hanno bisogno di accedere). Ahimè spesso la spuntano i secondi perchè chi ha potere decisionale è proprio uno di loro totalmente ignorante dal pdv tecnico, a quel punto è un attimo che un malware si diffonda in modo incontrollato usando vulnerabilità dei sistemi (pensiamo a share di rete o servizi vulnerabili inaccessibili dall'esterno ma accessibilissimi in lan) Io con Eng ci ho lavorato parecchio e ci lavoro ancora, e sebbene abbia tanti difetti (come un po' tutte le "megaditte") non è esattamente una società di sprovveduti, ahimè come in tutte le società ha una forte componente commerciale, ma ha anche tanto personale tecnico preparato (poi ci sono cmq geni o somari, come in tutte le società) e francamente se quello che è successo è questo credo sia difficile credere che sia stato fatto per negligenza loro, per esperienza sarei più propenso a pensare che sia successo per pressioni del cliente e degli utenti finali. Quote:
Però anche qui ahimè è difficile identificare la vera causa, tu hai citato tempo e budget e purtroppo spesso sono esattamente questi i fattori che influiscono più di tutti. Poi spesso nella PA capita raramente che una fornitura includa tutto, c'è sempre qualcosa che resta in carico a gruppi diversi, a fornitori diversi (che rispondono a dirigenti diversi, spesso in lotta fra loro e che fanno di tutto per mettersi i bastoni tra le ruote a vicenda) oppure in carico a dipendenti dell'ente. Spesso infrastruttura e backup capita che rimangano in carico a personale dell'ente, e vuoi per le cattive condizioni di lavoro, o vuoi per l'incapacità o la scarsa formazioni, però cose del genere sono abbastanza comuni; io ho perso il conto delle volte in cui ho trovato sistemi di produzione dove il repository dei backup era banalmente una export nfs montata su un percorso locale, poi magari dietro quella export c'era deduplica a livello di blocchi, retention gestita nei modi più astrusi, diverse tecnologie (dischi, LTO, cloud), però resta il fatto che se fosse girato qualche malware avrebbe potuto accedere anche a quei percorsi.
__________________
https://tasslehoff.burrfoot.it | Cloud? Enough is enough! | SPID… grazie ma no grazie "Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say." Ultima modifica di Tasslehoff : 04-08-2021 alle 18:03. |
|||
04-08-2021, 18:00 | #16 |
Senior Member
Iscritto dal: Nov 2001
Città: Kendermore
Messaggi: 6497
|
Anche la corruzione è illegale, è forse sparita?
__________________
https://tasslehoff.burrfoot.it | Cloud? Enough is enough! | SPID… grazie ma no grazie "Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say." |
04-08-2021, 18:02 | #17 |
Senior Member
Iscritto dal: Mar 2012
Messaggi: 8445
|
Come al solito in itaglia si aspetta che il problema si verifichi per reagire, la solita politica del " mo ce pensamo " ...
Draghi ha detto che adesso partirà il progetto per l'agenzia di sicurezza nazionale, i principali stati Europei ce l'hanno da anni e non hanno spid, pec e minkiate varie per usare i servizi informatici dell'amministrazione pubbblica. Ultima modifica di acerbo : 04-08-2021 alle 18:20. |
04-08-2021, 18:57 | #18 |
Senior Member
Iscritto dal: Apr 2005
Messaggi: 6848
|
Che non sia sparita non vuol dire che averla resa illegale non sia servito.
__________________
'int' 'a vocca chiusa nun traseno mosche. Ἀξύνετοι ἀκούσαντες κωφοῖσιν ἐοίκασι ̇φάτις αὐτοῖσιν μαθτυρεῖ παρεόντας ἀπεῖναι. Ὕες γοῦν βορβόρῳ ἥδονται μᾶλλον ἢ καθαρῷ ὕδατι. rimuovi le mosche tze-tze dal forum! |
04-08-2021, 18:59 | #19 |
Senior Member
Iscritto dal: Aug 2006
Messaggi: 11100
|
Eccolo il genio con la soluzione a portata di mano...incredibile non ci avesse pensato nessuno
__________________
PC1: LG 34UC79G - Ryzen 5600@4,65ghz CO-30 - MasterLiquid 240 - 32GB 2400 Corsair@3000 - Gigabyte GA-AB350M Gaming 3 - RX 6700XT - NZXT S340 Elite PC2: FX6300 - AC Freezer 64 pro - Gigabyte 990XA-UD3 - Sapphire HD7850 2gb - 8gb DDR3 Corsair 1333 - - Antec Two Hundred PC3: AMD A10 7700k - 8gb DDR3 2400mhz - SanDisk Plus SSD 240gb - CoolerMaster NSE-200-KKN1 |
04-08-2021, 20:48 | #20 | |
Senior Member
Iscritto dal: Nov 2001
Città: Kendermore
Messaggi: 6497
|
Quote:
Quello che a me preoccupa è che tutti questi casi vengano usati come leva per favorire qualche mega piano cosmologico che assorbirà montagne di risorse senza partorire nulla, a parte ovviamente riempire i portafogli delle solite società parassite che orbitano attorno al mondo della PA e che da anni la spolpano. Del resto Colao l'ha già fatto poco tempo fa, ricordate quando pochi mesi fa tuonava sul 95% dei server della PA insicuri? Ecco, non è mai stato chiarito da dove venisse quella statistica, poi è stato scoperto che si trattava di un report che prendeva in esame solo l'adozione di protocolli e cypher suites https sui soli portali di frontend degli enti pubblici... nonostante questo è stato usato come leva per lanciare il progetto dell'agenzia per la sicurezza e preparare il campo a piani cosmologici di riforma dell'innovazione nella PA. Gli esempi poi non mancano, basta guardare il bando SPC Cloud, dove Tim, Almaviva, DXC, Poste, IBM (e la sua consociata Sistemi Informativi), PWC hanno banchettato allegramento, portando zero contributi tecnici/operativi (forse si salva giusto Sistemi Informativi da questo pdv) e subappaltando con contratti capestro a centinaia di PMI su cui hanno scaricato tutta la responsabilità e i costi delle forniture... insomma quello che potremmo definire il terremoto dell'Irpinia informatico. Vogliamo cambiare le cose sul serio? Non servono agenzie o slogan supercazzola, bisogna partire dalla disciplina degli appalti, eliminare le gare al ribasso, riformare i listini Consip su cui si basano le gare (che hanno tariffe inferiori ai minimi tabellari dei CCNL), eliminare i vincoli di partecipazione alle gare (in modo che possano partecipare direttamente quelle aziende che effettivamente fanno il lavoro, tagliando i rami morti delle società puramente commerciali che applicano solo markup senza dare alcun contributo nelle forniture).
__________________
https://tasslehoff.burrfoot.it | Cloud? Enough is enough! | SPID… grazie ma no grazie "Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say." Ultima modifica di Tasslehoff : 04-08-2021 alle 20:52. |
|
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 23:44.