Extinction Event
Extinction Event. È un pezzo scritto per Ransomfeed.
Qui la pubblicazione ufficiale dell'articolo, bello, impaginato bene, serio...
https://ransomfeed.it/index.php?page=blog&postID=04
Di seguito il mero testo:
Extinction Event
I cambiamenti ci terrorizzano. Ci vuole un certo grado di maturità per capire quanto siano necessari nella vita e quante opportunità porti con sé l'abbandono dello status quo. I più si spaventano alla sola idea che il loro piccolo mondo possa cambiare, preoccupati dal doversi adattare ad un nuovo e inesplorato scenario. Per questo le novità, in tutti i campi, trovano molte resistenze. Non mi riferisco al nuovo modello di Iphone o al nuovo set di emoji, ma a quelle novità che cambiano le cose, che sparigliano le carte e che costringono le persone a fare una scelta.
“Cosa faccio?
Se faccio finta di niente posso ignorare questa cosa nuova e non devo fare fatica; magari anche gli altri la ignoreranno e io andrò avanti come sempre, il mio orticello sarà salvo e godrò della rendita di posizione data dalla stasi attorno a me. Ok
Ma, se abbraccio la novità, devo riconsiderare tutto, dovremmo ripartire tutti da zero e dovrei competere con chi è meglio di me senza contare su alcun vantaggio! Addio tran tran, addio routine, addio tutto.
Ma chi me lo fa fare?
Ho deciso, la novità mi fa schifo.”
Purtroppo, le persone non considerano mai il fatto che l’universo non collabora, il mondo attorno a noi non si comporta come vorremmo e le novità ci travolgono, incuranti dei nostri struggimenti. Nel migliore dei casi, il nuovo avanza lasciando i recalcitranti attaccati ad un mondo che non esiste più, anacronistici residuati bellici.
Che ci piaccia, oppure no, l’unica strategia vincente è adattarsi, anzi, potendo, bisognerebbe essere in grado addirittura di anticipare i cambiamenti e di farsi trovare pronti.
In natura, chi intuisce i cambiamenti in arrivo e sa adattarsi velocemente ha un vantaggio enorme, sopravvive e si riproduce. In natura non ci sono molte altre cose che contino.
I cambiamenti epocali avvengono anche nell’ingessato e polveroso mondo della protezione dei dati personali, popolato da mummie, parrucconi, baroni e persone che non escono mai dal proprio studio, affezionate a formulari e ai copia-incolla o che non amano sporcarsi le mani.
Beh, il mondo sta cambiando e forse bisogna farsene una ragione.
I migliori ne fanno un punto di forza.
Il più recente di questi cambiamenti è sicuramente l’arrivo silenzioso e discreto diRansomFeed News - https://ransomfeed.it/
Cosa fa ce lo racconta l'homepage: “Monitoriamo i gruppi ransomware, con l'attività di scraping, per memorizzare le rivendicazioni in un feed RSS permanente, dal 12-01-2020”
Ho avuto la fortuna di udire i vagiti di un cucciolo, mi sono avvicinato e mi sono spaventato vedendo il potere dirompente di questa idea, diventata ora una realtà affermata. Nel mio piccolo ho cercato di dare una mano e ho sperimentato come RansomFeed ha progressivamente resto il mondo della data protection un posto migliore.
Altri hanno iniziato a tremare, a temere di perdere qualcosa e hanno fatto di tutto per boicottare questo gioiello, arrivando ad attaccare gli account social di RansomFeed, come si usa fare nelle migliori matrici totalitarie. (si veda https://ransomfeed.it/index.php?page=comunicati)
Qual è il cambiamento portato da RansomFeed?
Lo stesso di un raggio di sole che dissolve la nebbia e rende tutto, di nuovo, visibile agli occhi. RansomFeed ha tolto il velo di opacità dal fenomeno dei ransom, cioè quell’odioso crimine informatico basato sulla compromissione di un sistema, il furto dei suoi contenuti, l’estorsione sotto minaccia di vendere o pubblicare i dati e, successivamente, l’uso dei dati rubati contro tutte le persone coinvolte.
I ransom sono sempre stati visibili a ben poche persone e, in mancanza di denuncia, invisibili anche alle autorità. I numeri ufficiali sono sempre stati fortemente sottostimati rispetto alla reale portata del fenomeno. Persino i bollettini tecnici più blasonati hanno sempre potuto esporre dati di un campione molto limitato.
RansomFeed ci regala la piena visibilità e contezza di un fenomeno, permettendoci di capirne la portata, di ponderare il rischio e di programmare investimenti adeguati in misure di prevenzione. Oltre ai dati grezzi, RansomFeed elabora dei report periodici che dovrebbero essere sul desktop di ogni imprenditore, CISO, DPO e autorità del settore.
Certo, se tutto questo diventa possibile, non prenderne atto e non fare ciò che ora è diventato possibile è una colpa. Forse, agli occhi dei parrucconi imbalsamati e degli imprenditori che amano operare nel torbido, RansomFeed trasforma le vittime in complici, ma questo è solo un alibi per cercare di mistificare la propria inadeguatezza, la paura di fronte al cambiamento. Un’azienda che, oggi, sottovaluta il rischio ransomware, è tanto colpevole quanto il suo aguzzino, colpevole tanto quanto la banda criminale che lo attacca e che compromette i suoi sistemi informatici.
L’imprenditore
RansomFeed per l’imprenditore, come accennato, è un elemento utile per prendere decisioni migliori. Dirigere un'azienda operante in un particolare settore, per esempio la sanità pubblica, necessita di priorità e di valutazione dei rischi. La cybersicurezza e il rischio ransom possono essere correttamente ponderati solo se si percepisce di essere nel mirino di numerose bande criminali. Saperlo significa dare priorità alla sicurezza, programmare interventi migliorativi, rafforzare le difese, rendere i sistemi resistenti agli attacchi o capaci di garantire i servizi essenziali anche in condizioni difficili. Purtroppo, di recente abbiamo visto esempio di enti della sanità pubblica e privata completamente ignari del rischio, coinvolti da eventi tanto banali quanto catastrofici nelle conseguenze. Un disastro originato da una palese sottovalutazione del tema.
L’imprenditore consulta RansomFeed anche per un’altra ragione: i data breach della supply chain. Ogni azienda si appoggia a partner per la gestione di attività ancillari. Ogni azienda, a sua volta, opera per conto di clienti che si avvalgono dei suoi servizi. I data breach, in questi contesti, coinvolgono l’intera filiera e possono estendersi e ramificarsi coinvolgendo un numero molto elevato di soggetti.
Si pensi al caso SYNLAB, recente attacco ransomware che ha paralizzato un importante azienda nota a tutti. Il data breach Synlab comporta necessariamente un data breach anche per ogni CLIENTE di synlab, ogni ente che, per esempio, ha affidato all’azienda compromessa la sorveglianza sanitatia o la gestione degli esami ad essa relativi. Nel data breach stesso sono presenti numerose cartelle e tabelle con lunghi elenchi di aziende clienti, per le quali è stata gestito questo servizio. Oggi, ciascuna di queste aziende deve fare una notifica al Garante denunciando il proprio data breach. Come possono le centinaia di imprenditori coinvolti attivarsi se non sanno che il loro fornitore è stato coinvolto? Synlab tace, non è andata oltre a qualche blando comunicato sui propri social e sul sito, ma nulla è stato notificato ai clienti. Questo non è certamente un favore, anche perchè le aziende devono notificare il data breach entro 72 ore dal momento in cui ne è venuto a conoscenza… e oggi il velo di omertà non c’è più.
Servizi come RansomFeed permettono la conoscibilità rapida e documentata dei data breach, di tutti i Data Breach, quindi per un imprenditore diventa molto rischioso sostenere di non essere stato avvisato.
Un atteggiamento sciallatissimo che ricorda un po’ la battuta di Ficarra e Picone che si domandano sconsolati “ma chi ce lo doveva dire?”. In teatro fa ridere, con un data breach no, non funziona più e porta all’estinzione naturale perchè il cambiamento non aspetta.
Oggi l’imprenditore deve farsi parte diligente e consultare RansomFeed per monitorare eventuali databreach che abbiano coinvolto soggetti della sua filiera. Questo non deve stupire. Le imprese si abbonano a servizi informativi per poter dimostrare di essere aggiornati rispetto ai propri obblighi di legge. Molte certificazioni prevedono l’aggiornamento continuo come elemento necessario per il loro conseguimento. Beh, Ransomfeed fa esattamente questo, lo fa bene, tempestivamente e con un livello qualitativo altissimo, perchè ogni rivendicazione viene verificata prima di essere pubblicata, evitando falsi positivi che, nell’ambiente, sono piuttosto frequenti.
Il consulente
Beh, il consulente con RansomFeed diventa un Boss.
A meno che non sia uno di quelli che prediligono l’opacità, lo status quo e che amano mettere la polvere sotto il tappeto. Per fortuna sono in via di estinzione anche loro.
L’autorità di vigilanza - il Garante
Questo forse è l’aspetto più interessante da prendere in considerazione. Gli enti della PA sono generalmente immobili, lente come Ent e adorano lo Status Quo. Innovare, come anche digitalizzare, nella PA è un ossimoro e conduce a paradossi che tutti sperimentiamo ogni giorno.
Tuttavia, ci sono dei barlumi di cambiamento che lasciano ben sperare.
Il Garante sa che esiste RansomFeed, non solo, se ne avvale.
In un recente provvedimento relativo ad un DataBreach (Provv. n. 173 del 21 marzo 2024 - DocWeb 10010621) , Autorità Garante per la protezione dei dati personali si pone in disaccordo con una valutazione effettuata da un titolare del trattamento.
Per l’azienda, il data breach non era poi così grave… pochi dati, poco visibili, solo nel dark web… chi vuoi che li veda?
Il Garante ha un parere differente per varie ragioni, una delle quali riguarda proprio l’esistenza di RansomFeed: "Da un esame effettuato dall’Ufficio risulta altresì che siti internet dedicati alla raccolta e diffusione di rivendicazioni di attacchi ransomware – cfr. a titolo di esempio quanto all’indirizzo web https://lnkd.in/dpHHcG5v – abbiano dato pubblicità dell’avvenuta esfiltrazione dei dati oggetto di attacco e della loro potenziale pubblicazione online."
EXTINCTION EVENT!
Da oggi, la tecnica dello struzzo non funziona più. Ricordiamolo, lo struzzo è quell’animale che, se attaccato, infila la testa in un buco nel terreno, convinto di scomparire alla vita del predatore. Peccato che la parte che resta esposta sia decisamente vulnerabile.
Da oggi, chi fa lo struzzo, si estinguerà.
La mia personalissima opinione è che il Garante, all’interno del quale operano alcune menti colte e raffinate, si renda perfettamente conto che nello scontro con la realtà, solitamente, questa tende a prevalere e, quindi, è incline ad accettare le evidenze che non è possibile ignorare.
Nei criteri di valutazione del rischio, il Regolamento chiede di prendere in considerazione sia la probabilità quanto la gravità dei rischi per i diritti e le libertà degli interessati, e che tali rischi siano determinati in base a una valutazione oggettiva (cfr. cons. nn. 75 e 76). RansomFeed News esiste, c’è. Pertanto, volendo essere oggettivi, nessuno può più sperare che un ransomware rimanga visibile ai quattro gatti che tradizionalmente si sarebbero occupati di insabbiare e abbassare i toni, in modo da diminuire l’impatto e scomparire, piccini piccini, in silenzio, in un angolino.
Un’altro di questi cambiamenti si chiama Wayback Machine - Internet Archive - web.archive.org , il noto portale di archiviazione di pagine e contenuti web. Si tratta di un archivio molto vasto di ciò che è stato pubblicato in passato e di ciò che viene pubblicato ogni giorno dai maggiori siti, dai blog più frequentati fino alla più scalcagnata paginetta accessibile in rete. Molti dei contenuti sono storicizzati in automatico, altri a richiesta e questo ne fa una risorsa di fondamentale importanza per tutti… anche se per alcuni è una spina nel fianco.
Premetto, non mi piace affatto. Archive.org viola il GDPR in così tanti modi che non saprei nemmeno da che parte cominciare per fare una lista, ma c’è. Esiste. Fare finta che non ci sia è stupido e controproducente.
Il Garante lo sa bene e ha tenuto in considerazione il fatto che determinati contenuti siano archiviati su archive.org in diversi momenti, lo utilizza nelle istruttorie e compare in alcuni provvedimenti. Anche alcuni reclami lo hanno citato come fonte. Web Archive è ben lungi dal costituire una prova forense ma esiste, c’è e non si può fare finta di niente.
- Si veda qui (https://x.com/prevenzione/status/1597280494189965312)
- Si veda qui (https://x.com/prevenzione/status/1598379285240315904)
- Si veda qui (https://x.com/prevenzione/status/1597280500594638848)
- Si veda qui (https://gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9827153)
- Si veda qui (https://gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/3473991)
- Si veda qui (https://gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/2642366)
Infine, voglio citare un cambiamento meno recente, avvenuto con l’arrivo diShodan, il motore di ricerca di tutto ciò che è collegato all’Internet: non i siti web ma tutto il resto, dispositivi fisici, videocamere, sistemi di videosorveglianza, server, NAS, sistemi domotici, macchine a controllo numerico, sistemi di monitoraggio, sistemi di gestione centrali elettriche… è agghiacciante ciò che si può trovare su Shodan. “Shodan è il primo motore di ricerca al mondo per dispositivi connessi a Internet. Scoprite come la raccolta e l'analisi delle informazioni pubbliche può aiutarvi a prendere decisioni migliori aumentando la consapevolezza, il numero delle opzioni e più potere strategico.
Ciò che è online, e non è adeguatamente protetto, viene documentato da Shodan e diventa, di fatto, esposto, conoscibile, rintracciabile, accessibile a chiunque e facile da trovare. Fare finta di niente non serve a molto. Dire che tanto nessuno conosce il tuo IP o che non è indicizzato, sperare di essere al sicuro semplicemente rimanendo in un angolino non è più una buona idea.
Si trovano sistemi connessi senza alcuna protezione, direttamente accessibili a chiunque. Mettono molta tristezza perché dietro c’è una persona talmente inadeguata da non rendersi conto di ciò che sta facendo oppure una persona talmente pigra da meritarsi il male che lo attende.
Si trovano anche sistemi con una parvenza di protezione che chiedono username e password ma spesso sono quelle di default oppure quelle che compaiono nella lista delle 10 password più usate. A titolo di esempio, basta cercare “pippo” per trovare https://www.shodan.io/host/109.71.236.244 , un fantastico NAS collegato alla rete da Grosseto con una miriade di servizi aperti. Un QNAP, uno dei maggiori vendor in circolazione, facilmente bucabile… La pagina di Shodan evidenzia diligentemente le vulnerabilità dovute a patch non installate, sistemi non aggiornati. Come farà, mi chiedo, il proprietario di questo NAS a sostenere di essere la vittima di un aggressore organizzato e invincibile quando basta un ragazzino per bucare il suo sistema e trafugare ogni genere di contenuto?
Shodan è, in pratica, un nsecam.org sotto steroidi.
Queste tre novità, questi tre cambiamenti disegnano un nuovo mondo, in cui non c’è spazio per la commiserazione della vittima dell’attacco informatico.
La vittima farà molta fatica a dimostrare di aver fatto abbastanza, di aver protetto i dati in modo adeguato, di aver attuato lo stato dell’arte rispetto ad un rischio pervasivo e ubiquitario, dai contorni sempre più definiti e ben noto agli esperti.
Le tre novità che ho descritto determinano l'estinzione immediata del vecchio pensiero assolutorio, secondo il quale chi subisce il data breach debba essere aiutato perché i criminali informatici sono potentissimi e invincibili.
La vittima è solo ed esclusivamente la persona i cui dati sono stati rubati e che sono ora online.
Le aziende che subiscono un data breach sono i complici dei criminali che ne hanno sfruttato le colpevoli vulnerabilità.
Prosit