Podcast RSI - Las Vegas sotto attacco, bitcoin rubati e rischi con Google Authenticator
24 de Setembro de 2023, 18:23
È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate qui sul sito della RSI (si apre in una finestra/scheda separata) e lo potete scaricare qui.
Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, Google Podcasts, Spotify e feed RSS.
NOTA: questa puntata al momento è disponibile solo sul sito della RSI ma non sulle altre piattaforme podcast.
Buon ascolto, e se vi interessano il testo di accompagnamento e i link alle fonti di questa puntata, sono qui sotto.
---
[CLIP: audio dal trailer di Ocean's Thirteen (2007)]
Il film Ocean’s Thirteen di Steven Soderbergh racconta la vicenda immaginaria di un attacco a un casinò di Las Vegas, basato in gran parte sull’elusione dei suoi controlli di sicurezza computerizzati. Nella fantasia hollywoodiana, questo richiede una gigantesca scavatrice sotterranea e varie altre diavolerie, acrobazie e seduzioni.
Nella realtà, invece, le cose vanno molto diversamente. Sì, perché in questo momento la MGM Resorts, proprietaria di alcuni dei più celebri casinò di Las Vegas, è sotto attacco da parte di un gruppo di informatici che da due settimane ha reso inservibili i sistemi di prenotazione online e di pagamento elettronico, le chiavi elettroniche delle camere e i bancomat, creando il caos, ed è riuscito a forzare la disattivazione di molte slot machine gestite dalla MGM Resorts, non solo a Las Vegas ma anche in gran parte degli alberghi della catena in altre località. Le perdite economiche, i disagi per gli ospiti e il danno d’immagine sono incalcolabili.
[Jason Koebler è andato a Las Vegas e ha documentato anche fotograficamente la situazione dei casinò colpiti]
A differenza della versione cinematografica, questo attacco non ha richiesto trivelle, acrobati o George Clooney: è bastata una telefonata. E non è la prima volta che succede.
Questa è la storia assurda e spettacolare di questo attacco informatico, ricca di lezioni di sicurezza che si applicano a qualunque azienda, grande o piccola, e preziosa per conoscere lo stato dell’arte del crimine online e imparare a difendersene.
Benvenuti alla puntata del 22 settembre 2023 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo.
[SIGLA di apertura]
Pochi giorni fa una cliente dell’MGM Grand, un albergo di lusso a Las Vegas di proprietà della catena MGM Resorts, è entrata nella camera sbagliata perché le chiavi elettroniche dell’hotel non funzionavano correttamente. Il personale è stato costretto a distribuire migliaia di chiavi fisiche sostitutive. La cliente ha postato su TikTok un video che mostra che molte slot machine dell’albergo sono state spente.
Altri clienti dell’MGM Grand hanno scoperto di avere le prenotazioni annullate, non sono riusciti a fare check-in o pagare con le carte di credito, e sono stati costretti ad andare in cerca di bancomat al di fuori dell’albergo per procurarsi contanti per pagarsi da mangiare. I telefoni interni e il servizio TV nelle camere sono diventati inservibili.
Il sito principale della catena, Mgmresorts.com, è stato bloccato e ha iniziato a mostrare solo un invito a contattare telefonicamente il servizio clienti. Lo stesso caos ha colpito altri alberghi e casinò della MGM Resorts nella stessa città e in tutti gli Stati Uniti (BBC), costringendo il personale a lavorare con carta e penna. A distanza di due settimane, le prenotazioni online sono ancora inaccessibili e i disagi per i clienti continuano (Kevin Beaumont su Mastodon).
Il 12 settembre la MGM Resorts ha pubblicato sul sito della SEC, la Securities and Exchange Commission, l’ente federale statunitense che vigila sulle borse, un avviso che parla molto diplomaticamente di una “questione di sicurezza informatica che riguarda alcuni sistemi dell’Azienda”. Ma la realtà è assai meno diplomatica.
La MGM Resorts è stata vittima di un attacco informatico, messo a segno usando una tecnica classica, descritta brutalmente su X (il social network un tempo noto come Twitter) da alcuni alleati degli aggressori con queste parole: “Per compromettere MGM Resorts, il gruppo ransomware ALPHV è semplicemente andato su LinkedIn, ha trovato un dipendente, e poi ha chiamato l’helpdesk. Un’azienda valutata 33 miliardi e 900 milioni di dollari è stata sconfitta da una telefonata di dieci minuti.”
La telefonata in questione è stata preparata con molta cura dagli attaccanti. Secondo le informazioni rese pubbliche fin qui, l’helpdesk aziendale di MGM Resorts sarebbe stato vulnerabile perché “per ottenere un reset della password, i dipendenti dovevano fornire solo informazioni personali di base, come il nome e cognome, il loro numero identificativo in azienda e la data di nascita” (Bloomberg, paywall). Tutte informazioni facili da ottenere andando semplicemente su un sito come LinkedIn, dove le persone pubblicano curriculum, dati anagrafici e situazione di lavoro, senza rendersi conto che in questo modo forniscono ai criminali il primo appiglio necessario per scavalcare il muro della sicurezza informatica.
Armati di queste informazioni, gli aggressori avrebbero appunto contattato l’helpdesk per i dipendenti di MGM Resorts, spacciandosi per uno di quei dipendenti e convincendo l’addetto all’helpdesk a fare un reset della password del dipendente impersonato. Sarebbero poi entrati nella rete informatica dell’azienda usando questa password. Si sa per certo che hanno usato dei normali software di accesso remoto e la consueta VPN aziendale per fingere di essere quel dipendente, e che hanno lanciato un malware remoto, riuscendo a entrare nel sistema nel giro di cinque ore e sfuggendo ai controlli per otto giorni, fino al 10 settembre scorso. La loro incursione ha costretto gli addetti di MGM Resorts a spegnere gran parte della propria rete informatica interna per tentare di contenere l’attacco, scatenando appunto grande confusione (Financial Times).
Attacchi come questi sono l’incubo di ogni addetto alla sicurezza informatica, perché fanno leva su due fattori incontrollabili: le dimensioni dell’azienda, che portano ad avere una rete informatica vasta e molte persone autorizzate ad accedervi che non si conoscono fra loro, e la psicologia umana, le cui fragilità sono ben note in questo campo e sono universali.
Questo caso, però, è diverso dal solito, non solo per la scala dell’attacco e per il bersaglio così vistoso, ma anche perché i criminali hanno sfruttato una risorsa non informatica molto particolare.
Parli come me, mi fido di te
Sulla scena virtuale del crimine sono arrivati l’FBI, il governatore dello stato del Nevada Joe Lombardo, e numerosi consulenti di sicurezza informatica in aggiunta a quelli già impiegati dalla MGM Resorts. Questi esperti hanno indicato i probabili colpevoli dell’attacco: un gruppo noto come “Scattered Spider” (letteralmente “ragno diffuso”), che ha già effettuato intrusioni informatiche di questo tipo a scopo di estorsione, con la tecnica classica del ransomware, che consiste nel rubare o bloccare dati sensibili della vittima e poi chiedere denaro per non pubblicarli o per sbloccarli. Il gruppo ha poi rivendicato pubblicamente l’attacco in un’intervista al Financial Times.
Scattered Spider ha avuto successo perché le procedure di sicurezza del bersaglio erano troppo deboli e verificavano le identità usando soltanto dati personali facilmente reperibili, ma soprattutto perché molti dei membri del gruppo parlano inglese come madrelingua. Secondo gli esperti, infatti, il gruppo è composto da persone molto giovani che risiedono negli Stati Uniti e in Europa, e la loro competenza linguistica e culturale rende molto credibili le loro telefonate in cui simulano di essere dipendenti di aziende statunitensi. Questo li distingue nettamente dagli altri gruppi criminali operanti nello stesso settore, che sono prevalentemente russofoni e quindi farebbero molta fatica a spacciarsi plausibilmente al telefono per un dipendente americano.
MGM Resorts non è l’unico gestore di casinò preso di mira da attacchi di questo tipo. Poche settimane fa la Caesars Entertainment Inc., quella del celebre Caesar’s Palace, è stata oggetto di un’intrusione analoga, per la quale è stato chiesto un riscatto per non pubblicare i dati trafugati. L’azienda dichiara di “aver preso misure per garantire che i dati rubati vengano cancellati dall’attore non autorizzato, anche se non possiamo garantire questo risultato”. Traduzione: è stato pagato un riscatto di alcune decine di milioni di dollari, secondo gli addetti che hanno seguito la vicenda (Wall Street Journal).
Se vi state chiedendo come mai sono stati scelti come bersaglio i casinò, la ragione non è certo legata a scelte etiche dei criminali, che hanno chiarito molto cinicamente che se un’azienda ha soldi, la attaccheranno, in qualunque settore sia. Le uniche eccezioni, dicono, sono ospedali e aeroporti, perché si rischia troppo il carcere e l’accusa di terrorismo. Siamo insomma ben lontani dai ladri gentiluomini di Ocean’s Thirteen e di tanta tradizione cinematografica.
Ci sono almeno tre lezioni fondamentali che si possono trarre dalla spietatezza di questi attacchi: la prima è che pubblicare su LinkedIn, Crunchbase e simili il nome dell’azienda nella quale si lavora, e in quale ruolo ci si lavora, è una pessima abitudine che andrebbe abbandonata, magari sostituendola con un’indicazione generica del tipo di azienda o del suo settore.
La seconda è che gli aggressori attaccheranno qualunque punto debole: per esempio prenderanno di mira le procedure di verifica di identità, che non devono basarsi quindi su dati personali facilmente reperibili, oppure colpiranno i sistemi informatici ausiliari ma indispensabili, come quello degli impianti antincendio o quello delle prenotazioni, oppure quello di un fornitore esterno, che sono meno difesi.
La terza lezione è che i vari sistemi informatici di un’azienda non devono fidarsi l’uno dell’altro, perché se lo fanno è sufficiente violarne uno per avere accesso agli altri e si produce un effetto domino che paralizza l’intera azienda. Nel caso della MGM Resorts, appunto, il caos è stato causato dal fatto che sono stati gli addetti alla sicurezza a spegnere molti sistemi, per evitare che gli aggressori li raggiungessero. Ovviamente creare un sistema aziendale nel quale non ci sono barriere interne è molto più facile e offre anche una grande efficienza, ma in caso di attacco quell’efficienza diventa una costosa debolezza. Ed è così che può bastare una telefonata ben studiata per far crollare un’azienda miliardaria.
Ma c’è anche una quarta lezione, che arriva da un caso diametralmente opposto a questo.
Quando la MFA non è MFA
Retool è una società californiana che sviluppa software, con un paio di centinaia di dipendenti in tutto: l’esatto contrario del colosso MGM Resorts. Ma anche Retool è stata attaccata pochi giorni fa: l’aggressore ha iniziato l’attacco inviando degli SMS ai dipendenti, spacciandosi per un collega in difficoltà e chiedendo ai destinatari di cliccare su un link dall’apparenza innocua per risolvere un presunto problema di stipendi.
Un solo dipendente è caduto nella trappola, ma è bastato. Il link, infatti, portava a una pagina di login fasulla, nella quale il dipendente ha immesso le proprie credenziali, dandole così all’aggressore.
Fin qui nulla di speciale, ma a questo punto, come racconta Retool sul proprio sito, il criminale ha telefonato al dipendente, fingendo di essere quel collega in difficoltà e ne ha simulato la voce con un software apposito, dimostrando anche di conoscere la planimetria della sede, i nomi di molti colleghi e le procedure interne dell’azienda. La voce è stata riconosciuta dalla vittima e l’ha convinta ad abbassare le proprie difese e a dare un singolo codice temporaneo di autenticazione a due fattori a quel falso collega al telefono.
Quel codice ha permesso all’aggressore di aggiungere un proprio dispositivo al sistema di autenticazione aziendale e da lì acquisire il controllo di ben ventisette account di clienti di Retool nel settore delle criptovalute. Uno di questi clienti è stato così derubato di circa 15 milioni di dollari.
Di solito l’autenticazione a due fattori viene presentata come una soluzione di sicurezza estremamente efficace, e normalmente lo è, ma in questo caso ha fallito, e secondo Retool la colpa è di Google, perché la sua app di autenticazione, Google Authenticator, da qualche tempo spinge gli utenti a sincronizzare nel cloud una copia dei codici di autenticazione. Questo è considerato pericolosissimo dagli esperti, perché vuol dire che se qualcuno prende il controllo di un account Google, ottiene accesso anche ai codici di autenticazione di tutti i siti gestiti tramite Authenticator. Il dipendente di Retool che è stato ingannato aveva attivato questa sincronizzazione, e questo è un problema che tocca tutti gli utenti di Authenticator, grandi e piccoli.
Se usate Google Authenticator e avete attivato, come tanti, la sincronizzazione dei codici nel cloud e adesso vorreste disattivarla, aprite l’app, cliccate sull’icona del profilo e scegliete Utilizza senza un account. Ma tenete presente che se il dispositivo sul quale avete Authenticator si guasta o viene perso, non avrete più modo di riottenere i codici di autenticazione. Anche in informatica, comodità e sicurezza sono spesso in contrasto tra loro.
Questi casi di attacchi informatici molto sofisticati, con voci clonate, ricognizione del bersaglio, sfruttamento di una vulnerabilità poco considerata e un bottino ingentissimo, dimostrano che il crimine informatico non va assolutamente sottovalutato. Un recentissimo rapporto di swissVR, Deloitte e dell’Università di Lucerna rileva che il 45% delle grandi aziende svizzere è stata vittima di un attacco informatico e che di queste vittime il 42% ha subìto un danneggiamento delle proprie attività; il 18% delle aziende con meno di 50 dipendenti è stata oggetto di attacchi importanti. Il Centro Nazionale per la Cibersicurezza ha documentato oltre 34.000 attacchi solo nel 2022: il triplo rispetto al 2020. Eppure il 30% delle imprese svizzere non ha nemmeno nominato un gruppo interno per la gestione degli incidenti informatici (Swissinfo; Swissinfo). Viene da chiedersi se per caso quel 30% stia aspettando che la lezione di sicurezza informatica arrivi direttamente da George Clooney in persona.
[CLIP: audio dal trailer di Ocean's Thirteen (2007)]
Fonti aggiuntive: Engadget, Dark Reading, BitDefender, TechCrunch, The Hustle, The Hacker News, Ars Technica.
Thunderbird aggiornato, come si riattiva la colorazione alternata nel pannello dei messaggi?
23 de Setembro de 2023, 15:36Ho appena aggiornato Thunderbird alla versione più recente, la 115.2.3, e vedo che è scomparsa un’impostazione che trovavo utilissima e che vorrei ripristinare: la colorazione alternata delle righe dell’elenco dei messaggi ricevuti.
Ora l’elenco è un mare bianco di righe tutte uguali, come vedete qui sotto, ed è facile (perlomeno per me) perdere l’allineamento e pensare che un titolo si riferisca a un mittente che non è quello giusto. Con la colorazione alternata, come quella della carta dei moduli continui di una volta, è tutto molto più semplice e chiaro, specialmente quando la finestra di Thunderbird è molto larga. Ho sempre adottato questa colorazione e adesso mi manca; anche la Dama del Maniero lamenta la sua scomparsa.
Prima era così:
Avete idee su come risolvere la questione?
Ho già cercato nei Temi (Themes) per Thunderbird e non ho trovato nulla; molti mi sembrano molto obsoleti o comunque incompatibili, e nessuno sembra indicare specificamente di avere quest’impostazione.
Cercando online ho trovato questo suggerimento, riferito però a Thunderbird 91.8, che consiglia quanto segue:
- Andare nel Config Editor di Thunderbird (tre trattini in alto a destra, Settings, scorrere giù, Config Editor) e cambiare toolkit.legacyUserProfileCustomizations.stylesheets a True.
- Identificare la cartella del profilo generale di Thunderbird: la si trova cliccando sui tre trattini in alto a destra - Help - Troubleshooting information, trovando Profile Folder e cliccando su Show in Finder, perlomeno su macOS.
- In questa cartella, creare una sottocartella di nome chrome (se non esiste già).
- Creare un file di testo semplice di home userChrome.css (con la C maiuscola) e metterlo nella cartella chrome suddetta.
- Nel file userChrome.css, immettere le proprie preferenze e salvare il file.
- Chiudere e riavviare Thunderbird: le modifiche immesse in userChrome.css vengono attivate e valgono per tutti gli account di mail.
Ho visto che questo modo di usare userChrome.css non è ufficialmente supportato ma funziona in Thunderbird 115, perlomeno per alcune impostazioni: per esempio, le seguenti righe (trovate qui) evidenziano in rosso qualunque mail non ancora letta.
#threadTree tbody [data-properties~="unread"] {
color: red !important;
}
Queste righe (trovate qui) cambiano la spaziatura fra le righe dell’elenco:
html|tr[is="thread-row"] {
height: 24px !important;
}
Queste (trovate qui) tracciano una sottile riga grigia fra un messaggio e l'altro, facilitando la lettura; non è una soluzione perfetta, ma è meglio di niente:
table[is="tree-view-table"] td {
border-bottom: solid 1px #d3d3d3 !important;
}
Tuttavia le righe suggerite a suo tempo per impostare la colorazione alternata delle righe dell’elenco messaggi non sembrano funzionare:
#threadTree treechildren::-moz-tree-row(odd) {
-moz-appearance: none !important;
background-color: rgb(232,232,232) !important;
}
Non è facile trovare informazioni sulla questione, anche perché non ha un nome preciso. Nell’help di Thunderbird “antico” ho trovato che viene citata a volte come Zebra striping.
Se avete suggerimenti, segnalateli nei commenti. Grazie anticipate!
---
2023/09/23 19:25. La soluzione è nei commenti, fornita da Nikybiasion, ed è qui sotto. Funziona! Grazie!!
#threadTree tr:nth-child(2n) {
background-image: linear-gradient(rgba(0,0,0,.08), rgba(0,0,0,.08)) !important;
}
La moderazione di questo blog diventa più aperta, grazie ai troll. Sì, avete capito bene
23 de Setembro de 2023, 14:19.jpg)
Per filtrare ulteriormente gli ossessivi che vengono bannati e poi si ripresentano con un altro account Disqus, da tempo ho attivato la regola che qualunque nuovo account deve mandarmi una prova informale di identità. Niente di fiscale e infallibile, ma un semplice deterrente in più.
Questo metodo funziona bene, ma non mi piace fare solo repressione e dissuasione, per cui da oggi introduco gradualmente una maggiore apertura dei commenti. I commentatori che hanno dimostrato di essere responsabili e costruttivi in quello che scrivono, di non essersi iscritti a Disqus solo per postare qui e trollare, e che hanno un account Disqus di lunga data vedranno che i loro commenti verranno pubblicati automaticamente e immediatamente. Chi si presenta qui con un account nuovo di pacca (o quasi) e ignora l’invito a identificarsi verrà semplicemente cestinato o bannato. Ci sono anche altri criteri, che non pubblico qui per non facilitare i tentativi dei succitati troll.
Tutti i commenti continueranno a essere letti da un moderatore e qualunque commento inaccettabile verrà moderato. Le critiche e le opinioni differenti restano ovviamente ben accette (meglio se sono ben documentate e argomentate).
Questo cambiamento avverrà progressivamente ed è già attivo da alcuni mesi per alcuni commentatori. Altri si aggiungeranno man mano. Non prendetevela se non siete fra i preapprovati: il criterio principale è la lunga data, e per ora ho scelto una data molto lunga.
Insomma, i troll che volevano far danni hanno invece prodotto benefici, e questa credo che sia la retribuzione migliore per la loro imbecillità.
Le regole sono semplici: non scrivete cazzate, non fate carognate, usate il buon senso e divertitevi!
Mastodon 4.2 aggiunge la funzione di ricerca globale: se volete essere trovabili, ecco come fare
23 de Setembro de 2023, 8:54La nuova versione di Mastodon, la 4.2, introduce moltissime novità e semplificazioni, descritte in italiano su Gomoot.com. Una delle principali è la ricerca, che prima funzionava solo per gli hashtag: ora invece si può cercare testo nei post, nei profili e nelle bio e si può cercare un utente.
Come tante cose in Mastodon, anche per la ricerca è fondamentale il principio della protezione dell’utente, per cui rendersi visibili richiede una scelta volontaria precisa dell’utente e non viene imposto dall’alto.
Quindi se volete essere cercabili e trovabili su Mastodon, andate nel vostro profilo, scegliete la sezione Privacy e copertura e controllate che siano attive le seguenti opzioni:
- Include il profilo e i post negli algoritmi di scoperta
- Includi i post pubblici nei risultati di ricerca
- Includi la pagina del profilo nei motori di ricerca
Fatto questo, cliccate su Salva modifiche.
Se scrivete un post (o toot) che non volete che sia cercabile, potete escludere quel singolo post cliccando sull’icona del mondo, che regola la visibilità del post, e scegliere Non elencato, che significa che il post sarà visibile a tutti ma non sarà incluso nelle funzioni di ricerca o scoperta.
Dato che Mastodon è un social network federato, non centralizzato, la nuova funzione di ricerca sarà disponibile soltanto sulle istanze che si aggiornano alla versione 4.2 e scelgono di implementare la cercabilità. Chi non vuole essere trovato è al sicuro. È anche così che si fanno notare le differenze rispetto ai social network commerciali, nei quali al centro c’è il profitto, non l’utente.
Stasera alle 21 sarò su YouTube per parlare di missioni lunari passate e future
22 de Setembro de 2023, 11:31Questa sera alle 21 sarò qui su YouTube per una chiacchierata sul tema Missioni lunari ieri oggi domani - quale futuro?, in compagnia di Dario Kubler, Giorgio Di Bernardo Nicolai e Fabio Ippoliti. L’embed è qui sotto.
