Una caratteristica comune inclusa in molte app di chat presenta rischi per la sicurezza e la privacy, questo quanto affermato da alcuni ricercatori. Il problema è incentrato sul modo in cui alcune piattaforme di messaggistica visualizzano le anteprime dei collegamenti, con rapporti di alcune app che perdono indirizzi IP, espongono collegamenti e scaricano inutilmente grandi quantità di dati.

La natura esatta del problema dipende dalla particolare app in questione e da come genera l’anteprima del collegamento. Le app che non hanno generato alcuna anteprima, inclusi WeChat e TikTok, hanno offerto agli utenti il ​​modo più sicuro per gestire i collegamenti.

“Facciamo un passo indietro e pensiamo a come viene generata un’anteprima”, si legge in un post sul blog di Talal Haj Bakry e Tommy Mysk. “Come fa l’app a sapere cosa mostrare nel riepilogo? Deve in qualche modo aprire automaticamente il collegamento per sapere cosa c’è dentro. Ma è sicuro? Cosa succede se il collegamento contiene malware? O se il collegamento rimanda a un file molto grande che non vorresti che l’app scarichi e utilizzi? “

Download rischioso

Per le app che generano anteprime dei collegamenti, esistono diversi livelli di rischio coinvolti. Alcune app implicano che il mittente generi un’anteprima, inclusi iMessage e WhatsApp, che comporta un livello di rischio relativamente basso, supponendo che il mittente si fidi del collegamento inviato.

Le app che fanno in modo che il destinatario generi l’anteprima sono più preoccupanti in quanto aprono automaticamente il collegamento non appena viene visualizzato il messaggio. Questo approccio potrebbe potenzialmente esporre gli indirizzi IP agli aggressori o semplicemente creare un enorme consumo della batteria di un telefono e del piano dati se un file di grandi dimensioni viene scaricato automaticamente.

Un terzo metodo prevede che un server esterno generi l’anteprima, che suona bene, ma potenzialmente espone collegamenti privati ​​a chiunque stia gestendo il server in questione. Già diversi sviluppatori di app hanno risposto ai risultati, che dimostrano che anche le semplici funzionalità delle app possono comportare seri rischi per la sicurezza.

CDN è l’acronimo di Content Delivery Network. Puoi pensare a una CDN come a una rete di server ottimizzati per la distribuzione di contenuti. Questi server sono posizionati strategicamente in tutto il mondo con l’intenzione di accelerare la consegna dei contenuti web. Secondo alcune stime, la maggior parte del traffico Internet è servito da CDN.

Come funzionano una CDN?

L’obiettivo della CDN è ridurre il tempo che intercorre tra il momento in cui viene inviata la richiesta di una pagina Web e il momento in cui viene visualizzata completamente sul browser Web. Il CDN aiuta a ridurre questo tempo riducendo la distanza fisica tra la richiesta e il contenuto.

Quindi, ad esempio, si consideri che un visitatore dal Regno Unito desidera accedere a una pagina Web da un server Web negli Stati Uniti. La richiesta del contenuto e dei dati dovrà attraversare l’Oceano Atlantico, il che comporterà un notevole ritardo. Tuttavia, i CDN riducono il ritardo memorizzando una versione del sito Web statunitense in un server nel Regno Unito e offrendo questa versione al visitatore del Regno Unito molto più rapidamente.

I molteplici server collocati in posizioni geografiche strategiche in tutto il mondo sono noti come Point of Presence (PoP). Questi PoP in genere contengono diversi server di memorizzazione nella cache che ospitano copie identiche dei siti Web partecipanti, che servono a un utente quando richiesto. Pertanto, quando un utente richiede un sito Web, sono i PoP più vicini al visitatore che rispondono alla richiesta in una frazione del tempo che sarebbe stato necessario se il contenuto fosse stato servito dal server Web originale.

Oltre a reindirizzare la richiesta a un PoP e servire il contenuto memorizzato nella cache, un CDN comunicherà anche con il server originale nel caso in cui debba consegnare qualsiasi contenuto che non è stato precedentemente memorizzato nella cache o è di fatto generato dinamicamente.

Sebbene i CDN siano più comunemente utilizzati per fornire contenuto statico, non è l’unico tipo di contenuto che puoi trasmettere utilizzando CDN. Oggigiorno i CDN forniscono tutti i tipi di contenuti multimediali, inclusi video e audio ad alta definizione, e aiutano anche a facilitare i download di software che si tratti di app, giochi e persino aggiornamenti del sistema operativo. Potenzialmente tutti i dati che possono essere digitalizzati e non generati dinamicamente possono essere forniti tramite una CDN.

Vantaggi dell’utilizzo di CDN

L’ovvio vantaggio che i CDN offrono ai proprietari di siti web che hanno visitatori regolari da più località geografiche, è che il loro contenuto verrà consegnato più velocemente a questi utenti in quanto la distanza da percorrere è inferiore.

Oltre ad accelerare la consegna dei contenuti, i CDN offrono vari altri vantaggi. Per i principianti riduce i costi dell’infrastruttura IT poiché non è più necessario acquisire server in tutto il mondo. I CDN in genere costano una frazione dell’importo e sono anche più facili da implementare e gestire rispetto a una flotta di server in tutto il mondo.

Allo stesso modo, i CDN offrono ai proprietari di siti Web la possibilità di aumentare o diminuire facilmente in base ai loro requisiti di traffico. Fanno anche il bilanciamento del carico sotto questo aspetto, poiché aiutano a togliere il carico dal server originale gestendo il traffico in entrata. Reindirizzare gli utenti a contenuti replicati aiuta a ridurre la congestione della rete, offrendo ai visitatori una migliore esperienza utente.

Molti provider CDN hanno anche la capacità di rilevare e contrastare gli attacchi DDos (Distributed Denial of Service), proteggendo così il tuo server originale e garantendo allo stesso tempo un accesso ininterrotto ai tuoi contenuti.

Poiché i CDN addebitano i loro servizi in base alla quantità di dati forniti (solitamente per GB), raccolgono e forniscono analisi dei dati che potrebbero essere utili ai creatori di contenuti. A seconda del tipo o dei metadati raccolti dai CDN, i proprietari di siti web possono utilizzare l’analisi dei dati per migliorare il loro contenuto e identificare le lacune nella loro strategia di sensibilizzazione.

Uno dei vantaggi indiretti dell’utilizzo dei CDN è il miglioramento del ranking SEO . Ciò avviene poiché uno dei fattori che i motori di ricerca prendono in considerazione durante il posizionamento di un sito Web sono i tempi di caricamento della pagina. I motori di ricerca classificheranno i siti Web più veloci più in alto dei siti Web più lenti con frequenze di rimbalzo elevate.

Come scegliere una CDN?

Come con tutti i servizi infrastrutturali web, non mancano i provider CDN tra cui scegliere. Ti suggeriamo di iniziare creando un elenco delle tue esigenze in base al tipo di contenuto che desideri fornire tramite CDN, alle aree geografiche che desideri coprire, alla quantità di larghezza di banda di cui hai bisogno e al tuo budget.

Successivamente è necessario selezionare i fornitori di CDN in base ad alcune considerazioni generali prima di trovare quello migliore che soddisfi le proprie esigenze. L’idea di utilizzare un CDN è fornire contenuti più velocemente, motivo per cui dovresti assicurarti che il CDN selezionato sia più veloce del tuo server originale.

Cerca CDN ottimizzati per fornire il tipo di contenuto che ospiti. Ad esempio, mentre la maggior parte delle CDN fornirà tutti i tipi di dati, ce ne sono di specializzate che hanno ottimizzato la propria rete per fornire un tipo specifico di contenuto, in particolare video in streaming Full HD e 4K. Alcuni dei provider CDN affidabili impiegheranno anche livelli di cache aggiuntivi per ridurre il carico sul server originale.

Anche la scalabilità di una CDN è un fattore importante, soprattutto per i siti Web che registrano picchi di traffico occasionali. La migliore CDN non dovrebbe solo offrire una scalabilità infinita, ma dovrebbe anche consentire una certa quantità di automazione al processo per tenere il passo con il traffico.

Oltre a queste funzionalità di distribuzione dei contenuti, tieni d’occhio anche il tempo impiegato dalle CDN per propagare i tuoi contenuti attraverso la loro rete. Allo stesso modo, è anche importante prendere nota del tempo impiegato da un CDN per eliminare un file nel caso in cui sia necessario rimuovere un contenuto.

Gli hotel e tutte le attività ricettive possono continuare ad ottenere clienti, anche durante l’emergenza del Coronavirus, adattando la loro comunicazione. In questa guida, vedremo quali sono gli errori più frequenti, dettati da una comprensibile paura di perdere clienti, ma soprattutto le tecniche che consentono di attrarre nuovi ospiti.

Ora i potenziali clienti hanno paura

Purtroppo l’emergenza del Coronavirus ha scatenato paura e frustrazione in tutto il mercato, e il settore degli hotel e delle attività ricettive è indubbiamente uno dei più colpiti.

Le persone hanno timore di muoversi e di spostarsi per le vacanze, e di raggiungere dei centri di assembramento. 

Per questo, e fino a che non ci saremo lasciati definitivamente alle spalle questa emergenza, ogni potenziale cliente che sta cercando un hotel online, vive una situazione di apprensione e di pesante incertezza. Nella mente dei clienti non c’è solamente, come è sempre stato, la paura di sbagliare struttura ricettiva, di spendere troppo, o di deludere le proprie aspettative, ma anche di contagiarsi.

Ci troviamo di fronte ad una sfida senza precedenti, che deve essere gestita con un adeguamento della comunicazione, particolarmente calibrata sul settore degli Hotel.

Le reazioni (sbagliate) alla diffidenza

Una delle prime reazioni che si registrano presso gli hotel che fanno pubblicità on-line è quello di sospendere completamente ogni campagna pubblicitaria.

Purtroppo un ragionamento affrettato può portare a pensare che se ragionevolmente si incasserà di meno, è altrettanto ragionevole spendere il meno possibile, bloccando la pubblicità, o riducendola allo stretto necessario.

VUOI SAPERE COME OTTENERE IL MEGLIO DAL TUO HOTEL?

SCRIVICI

Ma come diceva Henry Ford, “Smettere di fare pubblicità per risparmiare, è come fermare un orologio per non far passare il tempo.“

Il totale blocco e la completa sospensione di ogni forma di promozione, non fa altro che deprimere ulteriormente l’attività, e con sempre meno clienti, la chiusura è inevitabile. Un atteggiamento di completo “terrore comunicativo” è assolutamente sbagliato, una auto-condanna al fallimento.

Un altro errore che le strutture ricettive tendono a fare, è quello di comportarsi come se l’emergenza Covid non esistesse. Minimizzare la situazione, non dotarsi dei sistemi di sicurezza e soprattutto non comunicarlo adeguatamente, puntare solamente sull’esposizione, sui servizi offerti, ignorando completamente il problema.

Anche questa strategia è fallimentare. I clienti non accettano di ignorare totalmente un pericolo sanitario, e continuano ad avere paura… e nessuno prenota in un posto dove ha paura.

VUOI SAPERE COME OTTENERE IL MEGLIO DAL TUO HOTEL?

SCRIVICI

Ispirare sicurezza nella propria comunicazione

Il metodo migliore a livello comunicativo, che sta aiutando diversi Hotel e strutture ricettive non solo a non perdere ma anche a guadagnare nuovi clienti, è quello di comunicare sicurezza.

Esistono delle tecniche, che sono state consolidate in questi mesi, e che sono state testate sui campi internazionali, per comunicare una maggiore “sicurezza sanitaria” durante le campagne pubblicitarie.

Esistono una serie di accorgimenti, simboli, frasi, atteggiamenti, “modi di parlare” che ispirano sicurezza e fiducia e che devono essere integrate già nel sito web dell’attività, dando una immediata sensazione di sicurezza e di alta affidabilità di fronte dell’emergenza. L’identità turistica del portale web deve rimanere valida, ma deve includere alcune garanzie sanitarie per rompere il muro della paura.

Anche la comunicazione che viene portata avanti sui portali specializzati, TripAdvisor, Google, Booking.com, non deve rimanere statica, ma può essere adattata per trasmettere fiducia, per comunicare una sensazione di sicurezza e vincere le resistenze e le preoccupazioni del cliente già al momento della prenotazione on-line.

In generale, tutta la comunicazione pubblicitaria può diventare più “rassicurante”, utilizzando delle parole chiave, delle frasi di immediata comprensione, dei colori e dei simboli che ispirano universalmente fiducia, soprattutto in campo medico.

Attraverso un aggiornamento della propria comunicazione, che utilizza la psicologia collettiva e la psicologia delle masse, è possibile ispirare quella fiducia che consente di ottenere nuovi clienti, nonostante la delicata situazione.

Uno dei cardini di questa comunicazione è l’equilibrio  tra la sicurezza e la necessità di non far sentire il cliente in “gabbia”. Bisogna sicuramente inspirare affidabilità, ma senza dare l’immagine di una struttura che ingabbi il cliente in misure sanitarie talmente pesanti da levargli la voglia e l’impulso di concedersi una vacanza.

Solo tramite un aggiornamento della comunicazione pubblicitaria al tempo del Covid, sarà possibile salvare migliaia di attività e riprendere gradualmente il proprio volume d’affari.

VUOI SAPERE COME OTTENERE IL MEGLIO DAL TUO HOTEL?

SCRIVICI

Secondo il recente rapporto della società di sicurezza informatica Akamai intitolato “State of the Internet / Security”, il settore dei giochi ha subito un grande aumento di interesse negli ultimi due anni. Gli esperti hanno segnalato circa 10 miliardi di attacchi informatici al settore dei giochi tra giugno 2018 e giugno 2020.

Akamai ha registrato 100 miliardi di attacchi di credential stuffing durante questo periodo, di cui 10 miliardi equivalgono ad attacchi al settore dei giochi. Oltre al credential stuffing, Akamai ha registrato anche attacchi alle applicazioni web. Gli attacker hanno provato circa 150 milioni di attacchi alle applicazioni web nel settore dei giochi.

“Questo rapporto è stato pianificato e scritto principalmente durante il blocco del COVID-19, e se c’è una cosa che ha mantenuto il nostro team è l’interazione sociale costante e la consapevolezza che non siamo soli nelle nostre ansie e preoccupazioni”, afferma il rapporto. Gli attacchi alle applicazioni Web hanno principalmente implementato SQL injection e attacchi LFI (Local File Inclusion) secondo l’ultimo rapporto pubblicato. È perché gli intrusi trovano informazioni sensibili degli utenti sul server di gioco utilizzando SQL e LFI.

I dati possono includere nomi utente, informazioni sull’account, password, ecc. Oltre a questo, gli esperti dicono che il settore dei giochi è anche un obiettivo primario per gli attacchi DDoS (Distributed Denial-of-Service). Tra luglio 2019 e luglio 2020, Akamai ha identificato 5.600 attacchi DDoS, di cui 3.000 attacchi al settore dei giochi. L’aumento degli attacchi può essere dovuto al fatto che la maggior parte dei giocatori non presta molta attenzione alla sicurezza informatica.

Secondo i dati, il 55% dei giocatori ha riscontrato attività sospette nei propri account. Tuttavia, solo il 20% di questi giocatori ha espresso preoccupazione per il compromesso. Circa il 50% dei giocatori hackerati ritiene che la sicurezza sia una responsabilità reciproca tra i giocatori e le società di gioco.

Akamai ha sottolineato la propria preoccupazione per il settore dei giochi che diventa un facile bersaglio per gli hacker. Secondo il rapporto di Akamai, “gli attacchi Web sono costanti. Gli attacchi di credential stuffing possono trasformare le violazioni dei dati dei vecchi tempi (ovvero la scorsa settimana) in nuovi incidenti che hanno un impatto su migliaia (a volte milioni) di persone e organizzazioni di tutte le dimensioni. Gli attacchi DDoS interrompono il mondo di comunicazione e connessione istantanee. Questi sono problemi che giocatori, consumatori e leader aziendali affrontano quotidianamente. Quest’anno, questi problemi sono solo peggiorati e lo stress da essi causato è stato aggravato da una minaccia invisibile e mortale nota come COVID-19 . “

L’uso delle tecnologie di cloud computing sta guadagnando sempre più popolarità e sta rapidamente diventando la norma. Allo stesso tempo, i fornitori di servizi cloud (CSP) non sono sempre in grado di tenere il passo con le nuove tecnologie. Ciò influisce anche sull’analisi forense degli incidenti in questi sistemi.

Al giorno d’oggi, gli eventi causati da attività dannose stanno diventando sempre più frequenti e, pertanto, le attività di indagine legale digitale stanno diventando una necessità. Anche se questa necessità è identificata come una sfida, la scienza forense digitale sul cloud rimane un argomento complesso. Le caratteristiche specifiche di un ambiente basato su cloud possono sollevare una serie di sfide tecnologiche, organizzative e legali che gli investigatori forensi digitali di solito non affrontano mentre cercano prove digitali in ambienti IT tradizionali.

Procedure di analisi forense del cloud

Esistono tre tipi potenziali di analisi forense nell’ambiente cloud:

• prima dell’incidente
• in tempo reale
• dopo l’incidente

Prima dell’incidente: nell’ambiente cloud, è importante che il cliente e il CSP abbiano un accordo preliminare sulle azioni da intraprendere per le indagini forensi in caso di incidente. Prima dell’incidente è considerato il tipo più prezioso di indagine legale perché tali attività di approvvigionamento affrontano la maggior parte delle questioni tecniche.

Questo tipo di analisi rientra nella responsabilità del CSP che deve eseguire alcune azioni preliminari: esempi includono il monitoraggio dei registri delle attività, la regolarità e il rilevamento di comportamenti sospetti anormali, la raccolta dei registri delle attività, la raccolta dei registri dei macchinari di supporto.

Una pratica comune, ben documentata e dettagliata in tutte le fasi, è quella di monitorare la rete (prima dell’incidente – provisioning) e provare a trasformare ciascun caso in una procedura forense di rete tradizionale quando si verifica un incidente. I CISO possono gestire molti incidenti in modo più efficiente ed efficace se tali azioni e controlli provvisori sono stati adottati nelle procedure del CSP al fine di sostenere le attività forensi. Questi controlli preventivi possono essere inclusi nel contratto tra clienti e fornitori a supporto dell’analisi forense degli incidenti.

Live: l’acquisizione forense live mira a catturare i dati forensi da un sistema attivo e in esecuzione prima di bloccare tutto. In generale, l’acquisizione forense dal vivo viene di solito effettuata per acquisire dati volatili (memoria, processo, informazioni di rete acquisite in ordine di volatilità) che andranno persi con l’acquisizione forense tradizionale (dead forensics). A causa della natura dei sistemi cloud (il sistema cloud non può essere facilmente “spento”, il networking per l’accesso remoto dell’infrastruttura, ecc.), La capacità di acquisizione forense dal vivo è essenziale ma anche molto costosa.

Post incidente: dopo un incidente, gli investigatori acquisiscono un’immagine logica e fisica di ciascun sistema. In tali casi si consiglia di avere la mappatura dell’intero ambiente utilizzato dalla vittima, sia l’ambiente dedicato che quello condiviso, se presente e se consentito.

Approcci tradizionali per la cloud forense

Le principali caratteristiche delle tecniche forensi utilizzate negli ambienti basati su cloud sono le funzionalità di acquisizione e triage remote, applicate sulla macchina virtuale di destinazione distribuita nel modello IaaS. In entrambi i modelli SaaS e PaaS, la possibilità di accedere all’istanza virtuale per la raccolta di informazioni di prova è estremamente limitata o quasi impossibile: l’investigatore dovrà fare affidamento sulle prove fornite dal CSP e dal dispositivo.

Gli strumenti attualmente disponibili sono in realtà quelli utilizzati nelle indagini tradizionali. In particolare, gli strumenti forensi di rete vengono utilizzati per acquisire dati (informazioni, registri, ecc.) Su IaaS, poiché le istanze IaaS forniscono maggiori informazioni per prove forensi in caso di incidente rispetto ai modelli PaaS e SaaS. Nel modello SaaS, il cliente non ha alcun controllo sull’infrastruttura operativa sottostante né sull’applicazione fornita. Per il supporto dell’analisi forense, il cliente deve acquistare servizi specifici dai provider (ad esempio applicazioni di registrazione e traccia delle attività, toolkit di controllo degli accessi) per creare informazioni utili per l’analisi. Nel modello PaaS, potrebbe essere possibile implementare meccanismi di registrazione a livello di applicazione per aiutare l’indagine forense. Tuttavia, il cliente non ha il controllo diretto dell’ambiente sottostante e l’acquisizione dei dati per la raccolta di prove dipende fortemente dal precedente accordo con i CSP.

Sfide in ambito forense per incidenti nel cloud

La Direttiva UE 95/46 / EC7 sulla protezione dei dati impone disposizioni rigorose in merito al trattamento dei dati personali e alla libera circolazione di tali dati. Allo stesso tempo, non tutti gli Stati membri hanno adottato la direttiva UE sulla protezione dei dati, con conseguente frammentazione della legislazione nazionale sulla protezione dei dati.

Con il regolamento generale sulla protezione dei dati, che include nuovi requisiti di protezione dei dati che dovrebbero essere attuati dagli Stati membri, ciò diventa ancora più complesso. In caso di analisi forensi che richiedono accesso e scambio transfrontalieri di dati, la mancanza di meccanismi di collaborazione tra le forze dell’ordine dell’UE e le frammentazioni in una moltitudine di regolamenti nazionali, rende problematico il coordinamento tra le forze dell’ordine e i ruoli e le responsabilità degli attori coinvolti in questo tipo di indagini non sono chiare.

Mancano linee guida o riferimenti specifici a livello europeo per le indagini forensi su misura per le caratteristiche dell’infrastruttura di cloud computing.

I grandi fornitori di servizi cloud si basano principalmente al di fuori dell’UE, dove le leggi che regolano la privacy e la protezione dei dati sono diverse dall’UE, così come le normative relative alle multinazionali e giurisdizioni e alle indagini transfrontaliere. Non esiste alcuna certificazione per strumenti, pratiche e formazione relativi alle indagini forensi nel cloud. Pertanto, per rappresentare lo stato forense del cloud nel panorama dell’UE sono state definite queste tre dimensioni:

• La dimensione tecnica si riferisce alle caratteristiche specifiche del modello di cloud computing che devono essere considerate nelle indagini forensi nell’ambiente di cloud computing.
• La dimensione organizzativa si riferisce agli aspetti relativi al coordinamento delle parti coinvolte nelle indagini forensi nell’ambiente di cloud computing.
• La dimensione giuridica riguarda gli aspetti e le questioni legali tra le parti coinvolte nelle indagini forensi nell’ambiente di cloud computing, i quadri legislativi e le questioni legali dell’acquisizione di prove digitali nell’ambiente di cloud computing. La tabella seguente illustra le tre dimensioni e le sfide dell’analisi forense per dimensione

Sfide tecniche nel cloud

La raccolta di dati forensi in un ambiente cloud è definita come il processo di identificazione, etichettatura, registrazione e acquisizione di dati forensi dalle possibili fonti di dati nel Cloud ed è in realtà la prima fase critica dell’analisi post-incidente.

In particolare, gli esperti consultati nel contesto di questo studio, hanno sottolineato che la raccolta di dati forensi nel caso di ambienti basati su cloud è generalmente più complessa rispetto alle indagini tradizionali, in particolare

a. la natura remota delle prove,
b. la mancanza di accesso fisico e
c. la natura distribuita e dinamica del modello cloud che rende difficile dimostrare l’integrità e l’autenticità delle prove acquisite. È importante sottolineare che il sequestro e l’acquisizione di artefatti digitali è un passaggio fondamentale nel processo forense, dal quale gli altri passaggi dipendono fortemente. I problemi riscontrati in questa fase iniziale del processo possono influire sulle fasi successive impedendo e / o interrompendo l’esecuzione delle indagini.

La maggior parte degli intervistati, in base alla loro esperienza in specifiche pratiche investigative e attività forensi, ha convenuto che le sfide tecniche sono state quasi sempre meno rilevanti di quelle legali e organizzative, che sono considerate le più difficili da superare. Alcune delle caratteristiche tecniche del cloud computing, come il pooling di risorse che utilizza il modello multi-tenancy e la virtualizzazione delle risorse, sono ben note nelle indagini tradizionali.

Tuttavia, in un ambiente cloud tali funzionalità sono effettivamente migliorate e in alcuni casi potrebbero impedire le pratiche forensi. Date le caratteristiche specifiche del cloud, le attività di indagine post incidente diventano più complesse. In particolare, le seguenti funzionalità possono essere tradotte in alcune sfide specifiche del cloud per l’analisi forense: Multi-tenancy.

La multi-tenancy dei sistemi non è una nuova sfida nelle indagini forensi ma, nel caso del Cloud, è esacerbata dalla rapida elasticità delle risorse cloud che aumenta la complessità dell’acquisizione dei dati. La maggior parte delle procedure e degli strumenti forensi sviluppati nel corso degli anni si concentrano sull’acquisizione e l’estrazione fisica delle immagini. Tuttavia, negli ambienti cloud, se il CSP non fornisce la funzionalità specifica, il processo forense è quasi impossibile. Inoltre, l’acquisizione fisica potrebbe rappresentare una sfida anche per il CSP se l’utente ha rilasciato le risorse che vengono poi riutilizzate da un altro utente in un diverso schema di frammentazione.

Natura dinamica

Nel cloud, le risorse sono allocate in modo dinamico. Questo attributo del cloud ostacola l’accurata separazione delle risorse sotto inchiesta. Questa è una sfida significativa per gli investigatori e le forze dell’ordine (LEA) in quanto deve essere presa in considerazione la riservatezza degli altri inquilini che condividono l’infrastruttura. Dati volatili. È sempre stata una sfida per gli investigatori forensi digitali acquisire i dati volatili in memoria. Lo stesso vale per i dati archiviati nelle istanze cloud che non dispongono di sincronizzazione dell’archiviazione permanente. Inoltre, in istanze cloud, i dati volatili potrebbero andare persi dopo attacchi che sono in grado di forzare l’arresto di istanze cloud.

Gli aggressori che compromettono completamente l’acquisizione di dati volatili dalle istanze IaaS virtuali potrebbero abusare di questa vulnerabilità. Cancellazione dei dati Le procedure di cancellazione dei dati sono predisposte dal CSP per motivi di privacy9 e per l’elasticità delle risorse cloud. Il recupero dei dati cancellati in un ambiente virtuale condiviso e distribuito è più difficile se il CSP non ha implementato meccanismi efficienti per il recupero e la limitazione dei dati in termini di backup e conservazione dei dati. Problemi di fiducia cumulativi tra i livelli Cloud.

Gli ambienti cloud sono strutturati in più livelli (Rete, Hardware fisico, Sistema operativo host, Virtualizzazione, Sistema operativo guest, Applicazione ospite) e ciò introduce più problemi di fiducia rispetto alle indagini tradizionali in cui le macchine target sono controllate fisicamente / di proprietà dei clienti. Le tecniche di acquisizione forense dei dati variano in base al livello di affidabilità richiesto per ogni livello. Ad esempio, la tecnica di acquisizione che segue un software forense remoto ha luogo nel livello dell’applicazione Ospite. Questa tecnica richiede che il sistema operativo guest, la virtualizzazione, il sistema operativo host, l’hardware fisico e la rete (tutti i livelli precedenti) forniscano dati di prova accurati e privi di errori.

Dinamica di sincronizzazione cloud e temporale

La raccolta e l’analisi delle prove comporta la correlazione e la ricostruzione basata su eventi di informazioni da fonti disperse dell’ambiente digitale oggetto di indagine e richiede l’associazione di timestamp a ciascun evento o elemento di dati di interesse al fine di ricostruire una sequenza di eventi. La definizione del time-lining dei tempi di creazione, accesso e modifica dei file sulle risorse cloud è un problema per la rapida dinamica dell’ambiente cloud e per l’accurata sincronizzazione temporale richiesta.

Nell’ambiente cloud, i dati sono distribuiti in tutto il mondo e, quando è necessaria la ricostruzione dei dati e delle azioni, la sincronizzazione temporale è un problema critico, i timestamp devono essere sincronizzati utilizzando protocolli (ad esempio NTP) che sincronizzano le macchine situate in posizioni diverse. Unificazione di diversi formati di dati dei registri. Un problema simile alla sincronizzazione temporale è la distribuzione dei registri tra i diversi livelli dello stack cloud e il diverso formato dei dati dei registri. È un problema ereditato dalla scientifica forense che rende più complessa l’accessibilità e l’acquisizione dei registri. L’unificazione dei formati di registro nel cloud forensics richiede almeno dizionari comuni, orologi sincronizzati e console unificante. Mancanza di strumenti specifici per il cloud. La mancanza di strumenti specifici e certificati per il cloud è stata spesso percepita come un ostacolo allo sviluppo di basi per la tecnologia forense del cloud maturo. Lo sviluppo di tali strumenti dovrebbe evolversi insieme alla tecnologia cloud e fornire soluzioni adeguate e standard per la raccolta di prove digitali per superare le sfide tecniche specifiche delle indagini nell’ambiente cloud.

Crittografia dei dati

La crittografia dei dati può causare alcuni problemi tecnici perché la decrittografia di grandi quantità di dati richiede tempo e risorse. Questa sfida è aggravata dal fatto che nel Cloud in caso di indagini che richiedono la decrittografia di grandi volumi di dati.

FINE PRIMA PARTE

La realtà sul ruolo di Huawei nelle reti mobili del Regno Unito è il risultato di un complicato mix di preoccupazioni sulla tecnologia 5G e grandi battaglie geopolitiche.

La società è stata ora effettivamente bandita dalle reti 5G del Regno Unito. Il Regno Unito ha comunicato che non potranno acquistare altre apparecchiature 5G da Huawei dopo la fine di quest’anno e che dovranno rimuovere la sua tecnologia dalle loro reti 5G entro la fine del 2027. La mossa rallenterà il lancio del 5G nel Nel Regno Unito da due o tre anni e costerà 2 miliardi di sterline di costi aggiuntivi.

Tutto questo solo sei mesi dopo che il governo del Regno Unito aveva dato il via libera a Huawei.

L’amministrazione americana ha sostenuto per diversi anni che l’uso delle apparecchiature Huawei in reti sensibili potrebbe lasciare i paesi a rischio di essere spiati dallo stato cinese. Huawei ha costantemente negato che ciò potesse accadere e gli Stati Uniti non ha fornito prove a sostegno delle sue affermazioni.

Sebbene le apparecchiature Huawei siano state utilizzate nelle reti di telecomunicazioni del Regno Unito per quasi due decenni, gli Stati Uniti e altri hanno sostenuto che avere il colosso tecnologico cinese coinvolto nelle reti 5G è troppo rischioso.

Nel tempo queste reti 5G diventeranno la spina dorsale delle comunicazioni per qualsiasi cosa, dalle auto autonome alle città intelligenti e alle fabbriche automatizzate, il che significa che la sicurezza e l’affidabilità della rete diventano un interesse nazionale vitale.

Il Regno Unito ha dovuto mantenere un attento bilanciamento, cercando di non contrariare il governo degli Stati Uniti ma anche rimanere in buoni rapporti con quello cinese. Un allontanamento troppo evidente potrebbe avere gravi conseguenze economiche per il Paese in quanto cerca di ridefinire il suo posto nel mondo dopo la Brexit.

Dopo un lungo processo di revisione, a gennaio il governo del Regno Unito ha dichiarato che avrebbe consentito a Huawei di fornire alcune attrezzature per le reti 5G del paese, sebbene non nel nucleo della rete. Agli operatori di telefonia mobile è stato anche detto che le apparecchiature di fornitori “ad alto rischio” come Huawei potevano costituire solo il 35% della rete non core.

All’epoca, l’agenzia di sicurezza informatica del Regno Unito, il National Cyber ​​Security Centre (NCSC), affermava che i rischi connessi all’uso di Huawei erano gestibili. Ha anche affermato che esiste un rischio per la sicurezza nel ridurre il numero dei principali fornitori di 5G sul mercato da tre, compreso Huawei a due effettivamente: Nokia ed Ericsson.

Allora perché l’improvviso cambiamento, solo sei mesi dopo?

Mentre gran parte della pressione è venuta dagli Stati Uniti, il governo britannico ha anche dovuto fare i conti con i parlamentari conservatori che spingevano per una linea più dura con la Cina. E gli Stati Uniti hanno nuovamente rafforzato le proprie restrizioni su Huawei a maggio rendendo più difficile per la società l’accesso alla tecnologia e al software statunitensi per realizzare i chip utilizzati nei suoi dispositivi. È stato questo inasprimento delle restrizioni che sembra aver costretto il Regno Unito a cambiare posizione.

L’NCSC ha lanciato una nuova ricerca per vedere quale impatto potrebbero avere queste nuove restrizioni sul ruolo di Huawei come fornitore delle reti del Regno Unito. La preoccupazione fondamentale è che la società cinese dovrebbe trovare nuove tecnologie e fornitori di chip non conosciuti e che potrebbero aumentare il rischio di utilizzo della sua tecnologia. È questa ricerca che spingerà i ministri a prendere la decisione odierna, spostando efficacemente il dibattito dalla sicurezza esistente di Huawei a domande su quanto sarà sicura la sua tecnologia in futuro.

La NCSC ha concluso che, a seguito delle sanzioni, Huawei dovrà effettuare una “grande riconfigurazione” della sua catena di fornitura, che pertanto “renderebbe impossibile” continuare a garantire la sicurezza delle apparecchiature Huawei in futuro.

Ma durante tutto questo tempo le reti mobili del Regno Unito hanno sviluppato le loro nuove reti 5G, in gran parte utilizzando le apparecchiature Huawei o costruite sulla base delle apparecchiature di rete Huawei 4G esistenti.

Ciò significa dieci milioni di sterline di investimenti. Arrestare l’installazione di nuove apparecchiature Huawei e rimuovere i kit esistenti sarà molto costoso e dispendioso in termini di tempo per gli operatori di rete.

BT ha affermato che la rimozione totale delle tecnologie Huawei dalle reti del Regno Unito non potrebbe essere effettuata in meno di dieci anni.

Huawei sottolinea l’influenza dell’amministrazione statunitense, sostenendo: “Purtroppo il nostro futuro nel Regno Unito è diventato politicizzato, si tratta della politica commerciale degli Stati Uniti e non della sicurezza“.

Si discuterà se i costi e i ritardi sono necessari e se qualsiasi tecnologia potrà mai essere veramente sicura; e chi alla fine pagherà il conto per tutto questo. E resta da vedere come il governo cinese risponderà a questa decisione. Anche se il ruolo di Huawei nel 5G è stata modificato, l’impatto si farà sentire per gli anni a venire.

Uno dei gruppi di ransomware più prolifici e di “successo” del mondo sta ora eseguendo la scansione di reti per verificare la presenza di software per carte di credito e punti vendita (PoS) in quello che sembra essere un ulteriore metodo per guadagnare denaro dagli attacchi.

Sodinokibi – noto anche come REvil – è emerso nell’aprile 2019 ed è diventato oggi una delle famiglie di ransomware più dannose al mondo.

Già un certo numero di organizzazioni di alto profilo sono state colpite e crittografate nelle campagne di Sodinokibi, con gli aggressori che chiedevano il riscatto di centinaia di migliaia – e talvolta milioni – di euro in cambio della chiave di decrittazione.

In una percentuale significativa di casi, la vittima si sente come se non avesse altra scelta che cedere alla domanda per ripristinare la funzionalità.

Ma ora i ricercatori di Symantec hanno individuato un nuovo elemento nei recenti attacchi: gli aggressori scansionano reti compromesse in cerca di software PoS.

È possibile che gli aggressori stiano cercando di raccogliere queste informazioni come mezzo per guadagnare denaro aggiuntivo dagli attacchi, sia utilizzando direttamente le informazioni di pagamento stesse per razziare i conti correnti, sia vendendole ad altri sui forum del dark web.

Non sarebbe la prima volta che gli hacker dietro Sodinokibi hanno cercato di sfruttare i dati che hanno collezionato durante i loro attacchi; insieme al gruppo ransomware Maze, hanno minacciato di rilasciare informazioni rubate alle vittime se non pagano il riscatto – e ora stanno vendendo all’asta al miglior offerente.

“La scansione dei sistemi delle vittime per il software PoS è interessante, dal momento che questo non è in genere qualcosa che si vede accadere insieme agli attacchi ransomware mirati”, hanno scritto i ricercatori Symantec.

“Sarà interessante vedere se questa è stata solo un’attività unica in questa campagna, o se è impostata per essere una nuova tattica adottata da bande di ransomware.”

La nuova tecnica di scansione PoS di Sodinokibi è stata individuata in una campagna rivolta ai settori dei servizi, dell’alimentazione e della sanità. I ricercatori descrivono le due vittime nel settore alimentare e dei servizi come grandi organizzazioni multi-sito che gli aggressori potrebbero considerare in grado di pagare un grande riscatto.

L’organizzazione sanitaria è descritta come molto più piccola e i ricercatori suggeriscono che gli aggressori potrebbero aver scansionato le informazioni di pagamento in questo caso come mezzo per cercare di capire se c’era un altro modo per guadagnare soldi dall’attacco in caso la vittima non avesse pagato.

Qualunque sia la ragione per cui Sodinokibi sta attualmente eseguendo la scansione di informazioni su carte di credito e pagamenti, rimane ancora una forma altamente efficace di ransomware e le aziende ne sono ancora vulnerabili.

“Una cosa che è chiara è che coloro che usano Sodinokibi sono sviluppatori qualificati e non mostrano alcun segno che la loro attività possa diminuire presto”, hanno detto i ricercatori.

Sodinokibi si diffonde sfruttando una vulnerabilità zero-day di Windows che è stata effettivamente corretta nell’ottobre 2018.

Pertanto, uno dei modi migliori in cui un’organizzazione può impedire di cadere vittima di Sodinokibi – e di molti altri attacchi ransomware o malware – è garantire che la rete sia patchata con gli aggiornamenti di sicurezza più recenti per proteggere dalle vulnerabilità note.

Se stai usando Zoom, specialmente durante questo periodo difficile per far fronte al tuo impegno scolastico, aziendale o sociale, assicurati di eseguire l’ultima versione del software di videoconferenza molto popolare su computer Windows, macOS o Linux.

Non si tratta dell’arrivo della funzionalità di crittografia end-to-end più attesa, che apparentemente, secondo le ultime notizie, ora sarebbe disponibile solo per gli utenti a pagamento. Invece, questo ultimo avviso riguarda due vulnerabilità critiche recentemente scoperte.
I ricercatori di Cybersecurity di Cisco Talos hanno rivelato oggi di aver scoperto due vulnerabilità critiche nel software Zoom, ciò avrebbe potuto consentire ad aggressori di hackerare i sistemi dei partecipanti alla chat di gruppo o di un singolo destinatario da remoto.
Entrambi i difetti in questione possono essere sfruttati per scrivere o inserire file arbitrari sui sistemi che eseguono versioni vulnerabili del software di videoconferenza per eseguire codice dannoso.

Secondo i ricercatori, lo sfruttamento riuscito di entrambi i bug richiede una scarsa o minima interazione da parte dei partecipanti alla chat vittima e può essere eseguito semplicemente inviando messaggi appositamente predisposti tramite la funzione di chat a un individuo o un gruppo.

La prima vulnerabilità di sicurezza ( CVE-2020-6109 ) risiedeva nel modo in cui Zoom sfrutta il servizio GIPHY, recentemente acquistato da Facebook, per consentire ai suoi utenti di cercare e scambiare GIF animate durante la chat.
I ricercatori hanno scoperto che l’applicazione Zoom non ha verificato se una GIF condivisa si sta caricando o meno dal servizio Giphy, consentendo a un utente malintenzionato di incorporare GIF da un server controllato da un aggressore di terze parti, che eseguono lo zoom in base alla cache di progettazione sul sistema dei destinatari in una cartella specifica associata all’applicazione.
Oltre a ciò, poiché l’applicazione non stava anche controllando i nomi dei file, avrebbe potuto consentire agli aggressori di ottenere l’attraversamento delle directory, inducendo l’applicazione a salvare file dannosi mascherati da GIF in qualsiasi posizione sul sistema della vittima, ad esempio la cartella di avvio.

La seconda vulnerabilità legata all’esecuzione di codice in modalità remota ( CVE-2020-6110 ) risiedeva nel modo in cui le versioni vulnerabili degli snippet di codice del processo di applicazione Zoom vengono condivise tramite la chat.
“La funzionalità di chat di Zoom si basa sullo standard XMPP con estensioni aggiuntive per supportare la ricca esperienza utente. Una di quelle estensioni supporta una funzione che include frammenti di codice sorgente con supporto completo per l’evidenziazione della sintassi. La funzione per inviare frammenti di codice richiede l’installazione di un plug-in aggiuntivo, ma non li riceve. Questa funzionalità è implementata come estensione del supporto per la condivisione di file “, hanno detto i ricercatori .

Questa funzione crea un archivio zip dello snippet di codice condiviso prima dell’invio, quindi decomprime automaticamente il file sul sistema del destinatario.
Secondo i ricercatori, la funzione di estrazione del file zip di Zoom non convalida il contenuto del file zip prima di estrarlo, consentendo all’aggressore di installare binari arbitrari su computer target.
“Inoltre, un problema del percorso consente al file zip appositamente predisposto di scrivere file all’esterno della directory generata in modo casuale “, hanno detto i ricercatori.
I ricercatori di Cisco Talos hanno testato entrambi i difetti sulla versione 4.6.10 dell’applicazione client Zoom e hanno riferito in modo responsabile alla società.
Rilasciato proprio il mese scorso, Zoom ha corretto entrambe le vulnerabilità critiche con la versione 4.6.12 del suo software di videoconferenza per computer Windows, macOS o Linux.