VPN used for VR game cheat sells access to your home network

For proxy networks, Hinderer says, one end of the spectrum is where networks could be used as a way for companies to scrape pricing details from their competitors’ websites. Other uses can include ad verification or people scalping sneakers during sales. They may be considered ethically murky but not necessarily illegal.

At the other end of the scale, according to Orange’s research, residential proxy networks have broadly been used for cyber espionage by Russian hackers, in social engineering efforts, as part of DDoS attacks, phishing, botnets, and more. “We have cybercriminals using them knowingly,” Hinderer says of residential proxy networks generally, with Orange Cyberdefense having frequently seen proxy traffic in logs linked to cyberattacks it has investigated. Orange’s research did not specifically look at uses of Big Mama’s services.

Some people can consent to having their devices used in proxy networks and be paid for their connections, Hinderer says, while others may be included because they agreed to it in a service’s terms and conditions—something research has long shown people don’t often read or understand.

Big Mama doesn’t make it a secret that people who use its VPN will have other traffic routed through their networks. Within the app it says it “may transport other customer’s traffic through” the device that’s connected to the VPN, while it is also mentioned in the terms of use and on a FAQ page about how the app is free.

The Big Mama Network page advertises its proxies as being available to be used for ad verification, buying online tickets, price comparison, web scraping, SEO, and a host of other use cases. When a user signs up, they’re shown a list of locations proxy devices are located in, their internet service provider, and how much each connection costs.

This marketplace, at the time of writing, lists 21,000 IP addresses for sale in the United Arab Emirates, 4,000 in the US, and tens to hundreds of other IP addresses in a host of other countries. Payments can only be made in cryptocurrency. Its terms of service say the network is only provided for “legal purposes,” and people using it for fraud or other illicit activities will be banned.

https://arstechnica.com/security/2024/12/vpn-used-for-vr-game-cheat-sells-access-to-your-home-network/




Rapporto CSIRT di novembre: aumentano le vittime e tornano gli attacchi DDoS


Ieri il CSIRT ha pubblicato il nuovo rapporto mensile sullo stato della minaccia cyber in Italia, fornendo un quadro delle minacce e del livello di esposizione dei soggetti della nazione.

L’Operational Summary di novembre ha evidenziato un aumento del numero di vittime rispetto al mese di ottobre, dovuto principalmente al rilevamento di un data beach contenenti dati di centinaia di soggetti, oltre che al rilevamento di potenziali compromissione di diversi account Microsoft 365. In aumento anche il numero di eventi e incidenti, con i primi che si attestano nella media rispetto al semestre precedente, mentre i secondi l’hanno superata.

CSIRT

Gli eventi cyber hanno avuto un impatto su 452 soggetti nazionali; di questi, 267 appartengono alla constituency, ovvero operanti nei settori NIS, Perimetro, Telco o nella Pubblica amministrazione.

I settori più colpiti sono la Pubblica Amministrazione Locale, la Pubblica Amministrazione Centrale e Università e ricerca. Nella Pubblica Amministrazione Locale l’aumento è dipeso soprattutto dagli attacchi di tipo defacement condotti ai danni dei siti web di diversi piccoli comuni, rivendicati dal collettivo hacker Nofawkx-al.

Le minacce più diffuse sono state il brand abuse, con 41 attacchi registrati, e il phishing, con 36 attacchi rilevati; rispetto alla media dell’analisi precedente, la prima ha registrato un incremento del 167%, mentre la seconda del 73%.

Rapporto CSIRT: tornano gli attacchi DDoS

Il report di CSIRT ha evidenziato anche una ripresa degli attacchi DDoS nei confronti dei soggetti italiani condotti da gruppi hacktivisti filorussi, dopo un’interruzione di circa cinque mesi. Gli attacchi hanno colpito diverse società del settore dei trasporti, anche se gli impatti sono stati limitati. Il CSIRT ha registrato 7 rivendicazioni di attacchi di questo tipo.

Gli stessi gruppi hanno colpito anche la Svezia nello stesso periodo, mentre la Corea del Sud è stata oggetto di una serie di attacchi da parte di NoName057(16). Gli attaccanti hanno colpito siti governativi, enti finanziari e istituzioni pubbliche. A livello globale, gruppi più attivi a livello globale per numero di rivendicazioni sono stati NoName057(16) e CyberArmyofRussia_Reborn.

DDoS

CSIRT sottolinea anche che a novembre il numero delle nuove CVE pubblicate è aumentato sensibilmente rispetto a ottobre. Secondo il report, solo a novembre sono state pubblicate 3.986 nuove CVE (+443 rispetto a ottobre). Di queste, 409 presentano almeno un proof of concept, e per 9 CVE è stato rilevato lo sfruttamento attivo.

Il 49% di esse è stato di tipo “Cross-site Scripting”, seguite dalle “Missing authorization” (17%), dalle “SQL Injection” (12%), dalle “Out-of-bounds Read” (12%) e dalle “Out-of-bounds Write” (10%).

Infine, sono state diramate  321 comunicazioni verso i soggetti della constituency che esponevano pubblicamente su Internet complessivamente 646 servizi a rischio.

Condividi l’articolo



Articoli correlati

Altro in questa categoria


https://www.securityinfo.it/2024/12/20/rapporto-csirt-di-novembre-aumentano-le-vittime-e-tornano-gli-attacchi-ddos/?utm_source=rss&utm_medium=rss&utm_campaign=rapporto-csirt-di-novembre-aumentano-le-vittime-e-tornano-gli-attacchi-ddos




Survey: Parking lot safety influences holiday shopping habits

A recent survey, collecting responses from 2,000 United States consumers, highlights the need for retailers to focus on security. The survey found that parking lot security is a major factor influencing shopping habits this year, with 54% of respondents saying they feel the least safe in parking spaces when compared to other retail spaces. This includes 59% of women and 47% of men. Additionally, 32% of women say concerns over parking lot safety impact their decision to shop in person. 

According to the survey, poor lighting is a top safety concern among shoppers, with 69% of women and 56% of men in agreement. The survey also shared role of security technology in perceptions of safety by assessing consumer attitudes toward visible security measures. Visible security cameras in public locations made 66% of respondents feel safer, with 77% of women stating the presence of security cameras boosted their sense of safety. 

Matt Kelley, SVP of Business and Market Development at LVT, comments, “As the holiday shopping season peaks, this survey reveals an urgent need for retailers to prioritize safety. Safety isn’t just an added benefit — it’s a critical factor in attracting and retaining shoppers. Innovative security solutions empower retail centers to address these concerns, creating an environment where customers can shop with confidence.”

https://www.securitymagazine.com/articles/101267-survey-parking-lot-safety-influences-holiday-shopping-habits




eIDAS 2: Innovazione dell’Identità Digitale e dei Servizi Fiduciari

L’Unione Europea si trova nel mezzo di una trasformazione normativa senza precedenti con eIDAS 2, che ridefinisce l’identità digitale e i servizi fiduciari.
Come emerso durante l’intervento “eIDAS_2 e la nuova conservazione digitale: l’evoluzione dei servizi trust nell’ambito dell’UE” tenuto da Anna Conte (Responsabile Sviluppo Servizi Digitali & Cybersecurity – CSQA) e Andrea Castello (Responsabile Schema Servizi Digitali – CSQA) in occasione del Forum ICT Security 2024, questo processo mira a definire un quadro giuridico che faciliti la creazione di un sistema di identità digitale unico e sicuro per ogni cittadino comunitario.

Tale evoluzione normativa – avviata inizialmente in Italia e progressivamente estesa all’intera Unione – si concretizza attraverso oltre venti regolamenti, parte di un ambizioso programma di digitalizzazione dell’ecosistema europeo: l’obiettivo è fornire una risposta strategica alle sfide poste da un contesto tecnologico sempre più interconnesso e vulnerabile a rischi di natura sistemica.

Guarda la registrazione video dell’intervento:

[embedded content]

Castello ha evidenziato come negli ultimi anni la priorità dell’Unione Europea sia stata la creazione di un quadro regolatorio uniforme, partendo nel 2014 con eIDAS per la definizione di un framework di identità digitale passando poi nel 2016 con il GDPR per la protezione dei dati personali fino ad arrivare ad atti recenti come Dora il Cyber Resilience Act.

eIDAS 2 e Identità Digitale: la Nuova Conservazione Digitale - Legislazione dell’UE: panorama della cybersicurezza

Questi regolamenti non sono esclusivamente volti alla definizione di standard tecnici: mirano infatti alla costruzione di un ecosistema digitale interoperabile a livello europeo, caratterizzato da una convergenza normativa che rafforza la fiducia nella sicurezza degli strumenti digitali. L’interazione tra i vari strumenti normativi tende perciò allo sviluppo di una struttura integrata che tuteli non solo la privacy degli utenti ma anche la sicurezza complessiva, nonché la resilienza e la continuità operativa del sistema.

L’attuale quadro normativo si estende ben oltre la mera sicurezza informatica, includendo ulteriori aspetti essenziali come la trasparenza contrattuale, la continuità operativa e l’accessibilità dei servizi digitali.

Particolare attenzione è rivolta alla continuità del servizio anche in condizioni di indisponibilità temporanea dei fornitori, per garantire che i cittadini possano continuare a fare affidamento su piattaforme digitali resilienti: ciò richiede l’adozione di standard rigorosi oltre all’integrazione di misure di backup e disaster recovery, tutti elementi imprescindibili per mantenere la fiducia nei servizi digitali.

L’evoluzione di eIDAS (electronic IDentification Authentication and Signature) rappresenta una pietra miliare nella creazione di un’infrastruttura unificata di identità digitale.

Dal suo lancio nel 2014 eIDAS ha infatti subito importanti trasformazioni, passando da un’iniziale focus su identità digitali e firme elettroniche ad una nuova versione – eIDAS 2.0 (Regolamento UE 1183/24), pubblicata nel maggio 2024 – che introduce il concetto del wallet digitale europeo. Destinato a diventare il principale strumento di gestione dell’identità digitale dei cittadini, questo wallet consentirà di amministrare in sicurezza un insieme di attributi verificabili, quali dati sanitari, titoli di studio e altre informazioni personali, così riducendo al minimo il rischio di furti di identità e altre forme di frode.

Il wallet digitale europeo consisterà, quindi, in una piattaforma unificata che consentirà ai cittadini di accedere a una vasta gamma di servizi pubblici e privati, autenticarsi in sicurezza e firmare digitalmente vari tipi di documenti, nonché di conservare attestati e certificati in modo protetto.

La riduzione della frammentazione delle credenziali e il consolidamento dell’identità digitale rappresentano elementi cardine per migliorare l’efficienza e la sicurezza complessiva del sistema; il relatore ha ribadito come l’adozione di questo strumento sia motivata dalla necessità di creare un ambiente di fiducia che faciliti l’interazione tra individui, istituzioni e aziende, promuovendo l’adozione su vasta scala dei servizi digitali nel contesto europeo.

Il processo di implementazione del framework eIDAS 2 seguirà una timeline articolata, che si estenderà fino al 2026.

eIDAS 2 e Identità Digitale: Tempi di Attuazione Ripercorrendo le tappe fondamentali, Castello ha ricordato come il 18 ottobre 2024 sia entrato in vigore il regolamento NIS2, che integra i contenuti eIDAS relativamente alle misure di sicurezza; nei prossimi 6 mesi verranno definiti gli atti implementativi dedicati al wallet digitale, mentre entro un anno saranno specificate le regole per i servizi fiduciari e per il processo di accreditamento sulle certificazioni.

L’intero processo culminerà, a maggio 2026, nell’implementazione degli esperimenti di wallet e nella qualifica dei nuovi servizi. La gradualità di questa attuazione è essenziale per permettere la sperimentazione e la validazione del sistema prima della sua piena operatività, garantendo che tutte le parti coinvolte possano adattarsi alle nuove dinamiche previste.

Uno degli aspetti più complessi dell’implementazione di eIDAS 2 riguarda infatti la gestione del periodo di transizione, che comporta l’abbandono degli standard precedenti in favore delle nuove normative.

La Commissione Europea sta elaborando una serie di atti implementativi e linee guida per assicurare una transizione efficace e priva di discontinuità: la gestione di questo periodo transitorio richiede la collaborazione attiva dei fornitori di servizi, supportati da percorsi di adeguamento specifici e da risorse per la formazione, affinché possano garantire la loro conformità ai nuovi requisiti senza interruzioni significative dei servizi.

Nel settore dei servizi fiduciari eIDAS 2 introduce nuovi elementi accanto a quelli già consolidati, come la firma digitale, la marca temporale e i servizi di consegna certificata.

Tra i nuovi servizi si distingue l’archiving, finalizzato alla conservazione a lungo termine dei documenti digitali, garantendone riservatezza e integrità. Questo servizio di archiviazione non è semplicemente un deposito statico, ma rappresenta una soluzione dinamica che assicura la leggibilità e la disponibilità dei documenti nel corso del tempo, grazie all’adozione di tecnologie avanzate per la cifratura e la verifica dell’integrità. L’obiettivo è quello di creare un sistema uniforme di archiviazione digitale per tutti gli Stati membri, riducendo le differenze esistenti e migliorando la coerenza nella conservazione delle informazioni.

eIDAS 2 introduce anche il concetto di “attributi verificabili”, che possono essere utilizzati dai cittadini per dimostrare determinate caratteristiche personali nei contesti digitali.

Questi attributi – come il passaporto, i titoli di studio o altre certificazioni – saranno custoditi in sicurezza all’interno del wallet digitale e potranno essere condivisi solo previa autorizzazione dell’utente: un approccio che pone il titolare dei dati al centro del processo decisionale, assicurando un alto livello di sicurezza e un’adeguata protezione delle informazioni personali.

La capacità di gestire in modo sicuro e interoperabile questi attributi rappresenta un progresso significativo verso la costruzione di un mercato digitale unico, resiliente e sicuro.

Il processo di qualifica dei servizi fiduciari è piuttosto articolato e coinvolge molteplici attori. I Qualified Trust Service Provider (QTSP) devono infatti collaborare con le autorità nazionali e con gli enti di accreditamento, sottoponendosi ad audit che testimoniano l’aderenza agli standard normativi: questo approccio permette di mantenere il livello di sicurezza richiesto, rafforzando al contempo la fiducia dei cittadini nei servizi digitali.

eIDAS 2 e Identità Digitale: la Nuova Conservazione Digitale: ELECTRONIC ARCHIVINGInoltre, la gestione della supply chain diventa fondamentale: è necessario assicurarsi che tutti i fornitori coinvolti nei processi rispettino gli standard di sicurezza definiti a livello europeo, minimizzando i rischi associati alla catena di approvvigionamento.

Integrazione tra eIDAS 2 e NIS 2

Una delle innovazioni più rilevanti di eIDAS 2 è l’integrazione con NIS 2, volta ad armonizzare i sistemi di supervisione e le procedure di notifica degli incidenti di sicurezza.

Tale integrazione prevede una mappatura precisa degli standard coinvolti, come B70001, B70002 e IT401, garantendo una maggiore coerenza nella gestione delle vulnerabilità e della supply chain.

La sinergia tra eIDAS e NIS 2 è essenziale per sviluppare un ecosistema che non si limiti a proteggere i dati, adottando anche un approccio proattivo nella gestione dei rischi informatici; questa strategia contribuirà a rendere il sistema digitale europeo più resiliente e capace di rispondere efficacemente agli incidenti di sicurezza.

L’intervento di Anna Conte si è focalizzato sul ruolo degli enti di certificazione, ricordando che essi giocano un ruolo fondamentale in questo panorama in evoluzione.

eIDAS 2 e Identità Digitale: la Nuova Conservazione Digitale: SERVIZI CSQAL’importanza di questi enti risiede anzitutto nella loro capacità di aiutare le organizzazioni a prepararsi alle nuove sfide normative, promuovendo un’implementazione adeguata e facilitando la piena conformità ai requisiti.

Il supporto degli enti di certificazione include poi l’analisi delle procedure aziendali (con l’individuazione di eventuali gap) e la definizione di piani di remediation, seguita dall’esecuzione di audit per verificare la postura di sicurezza. Possono anche essere previsti audit di seconda parte presso i fornitori, così da garantire l’affidabilità e la resilienza dell’intera supply chain.

eIDAS 2 e Identità Digitale: Nuova Conservazione Digitale: FASE 2 - Il contributo di CSQAInoltre gli enti di certificazione offrono consulenza specialistica per l’adozione di tecnologie emergenti, come la crittografia avanzata o l’autenticazione multifattoriale, sempre più rilevanti per la protezione delle identità digitali.

Una particolare enfasi va posta sulla formazione e la qualificazione del personale – a partire dal top management – nonché sulla gestione della comunicazione interna, tutti elementi critici per garantire la sicurezza dell’ecosistema digitale.

Sostenibilità e Trasparenza nei Servizi Digitali

Accanto alla sicurezza dei servizi digitali, eIDAS 2 ne enfatizza anche la sostenibilità e la trasparenza.

La continuità operativa e la gestione delle crisi sono affrontate tramite standard rigorosi che mirano a garantire la disponibilità dei servizi anche in caso di eventi critici, rafforzando così la fiducia degli utenti.

La sostenibilità non riguarda solo l’infrastruttura tecnologica, estendendosi alla capacità delle istituzioni di adattarsi e innovare costantemente per garantire servizi che rispondano alle esigenze attuali e future dell’Unione Europea: tutti questi aspetti sono integrati nel quadro normativo per garantire che i servizi digitali siano non soltanto affidabili e sicuri, ma anche resilienti e sostenibili nel lungo periodo.

Come ricordato dalla relatrice, l’implementazione dei nuovi standard – oltre a garantire una piena conformità alla NIS 2 – consente alle organizzazioni di ottenere importanti certificazioni di settore, quali la ISO 27001 e la ISO 22301.

Tali certificazioni sono fondamentali per dimostrare la sicurezza delle operazioni digitali a livello internazionale: in particolare la ISO 27001 è cruciale per la protezione delle informazioni aziendali, mentre la ISO 22301 garantisce la continuità operativa anche in caso di crisi, offrendo così un significativo vantaggio competitivo sul mercato.

L’ottenimento di queste certificazioni non è pertanto una mera misura di compliance, rappresentando un’opportunità per rafforzare la fiducia dei clienti e dei partner nei confronti delle organizzazioni che operano nel settore digitale.

Conclusioni

In conclusione, la trasformazione normativa che vede in eIDAS 2 uno dei più recenti sviluppi costituisce un passo decisivo verso un’Europa digitalmente integrata nonché caratterizzata da servizi interoperabili, sicuri e resilienti.

Il successo di questa trasformazione dipenderà dalla capacità delle organizzazioni di adattarsi e implementare i nuovi standard; senza dimenticare il ruolo essenziale degli enti di certificazione, che da un lato supporteranno la formazione del personale e dall’altro garantiranno la conformità dell’intera supply chain alle regole normative.

Solo attraverso una collaborazione sinergica tra istituzioni europee, provider di servizi fiduciari e organizzazioni pubbliche e private sarà possibile costruire un sistema di identità digitale inclusivo e sicuro: la partecipazione attiva di tutti gli attori coinvolti – cittadini, imprese, enti pubblici e privati – sarà determinante per creare un ambiente digitale che sicuro e accessibile, contribuendo così alla crescita di un’economia digitale sostenibile e resiliente in tutta l’Unione Europea.

Profilo Autore

Esperta in Cybersecurity, ricopre il ruolo di Responsabile dello sviluppo servizi Digitali e Cybersecurity di CSQA, Organismo di Certificazione Accreditato sia a livello nazionale sia europeo. È Key Account Manager orientata ai Top Client. Si occupa dello sviluppo per tutti i mercati dell’Organismo di certificazione (Pubblica Amministrazione, Servizi Digitali, Finance, Sanità, Food) proponendo soluzioni orientate alla Sicurezza IT e OT con una visione olistica. Grazie al portafoglio dei servizi offerti dell’Ente, propone iniziative commerciali rivolte ai Top Client, coordinando il team di prevendita e nella selezione dei Partner Tecnologici da coinvolgere nei progetti. Ha maturato altresì esperienza nelle tematiche di Sicurezza delle informazioni e di consulenza organizzativa in ambito bancario, ICT e telecomunicazioni.

Profilo Autore

Responsabile di Schema Servizi Digitali, CSQA.

Laureato in Ingegneria Gestionale, è un professionista che opera nel settore dei Sistemi Informativi. Dal 2006 è impegnato come formatore e Auditor con focus sui Sistemi di Gestione (ISO 9001, ISO/IEC 20000, ISO/IEC 27001), Servizi fiduciari ai sensi del Regolamento eIDAS, Risk Analysis & Management e Privacy.

Condividi sui Social Network:

https://www.ictsecuritymagazine.com/articoli/eidas-2-identita-digitale/




Executives targeted in mobile spearphishing attacks

Researchers at Zimperium zLabs present their analysis of a phishing campaign in a new report. This attack chain, which attempts to steal executive credentials, involves sophisticated evasion tactics, mobile phishing links within PDF files, and advanced infrastructure that bypasses conventional security measures while mimicking a convincing corporate appearance.

The sophistication of this campaign highlights the evolution of targeted mobile-specific targeting (mishing) in corporate settings. Below, security experts discuss the risks of this campaign as well as how organizations can defend against this threat. 

Security leaders weigh in 

Stephen Kowski, Field CTO at SlashNext Email Security+:

The growth in mobile-targeted phishing attacks highlights the need for advanced, AI-driven security solutions that can detect and block sophisticated threats in real-time. With threat actors increasingly leveraging secure protocols, traditional security measures are no longer sufficient to protect users and organizations. It’s crucial for enterprises to implement comprehensive, multi-layered mobile defense strategies that combine leading-edge threat intelligence, continuous employee education, and robust mobile device management policies. By adopting a proactive approach to mobile security, organizations can pointedly reduce their vulnerability to these evolving phishing tactics and better safeguard their sensitive data. Regular security audits and penetration testing can help identify and address vulnerabilities beyond those covered by platform updates.

Patrick Tiquet, Vice President, Security & Architecture at Keeper Security:

As mobile devices have become essential to business operations, securing them is crucial, especially to protect against the large variety of different types of phishing attacks, including these sophisticated mobile-targeted phishing attempts. Organizations should implement robust Mobile Device Management (MDM) policies, ensuring that both corporate-issued and BYOD devices comply with security standards. Regular updates to both devices and security software will ensure that vulnerabilities are promptly patched — safeguarding against known threats that target mobile users. 

Enforcing Multi-Factor Authentication (MFA) adds another layer of protection for sensitive data. Password managers play a crucial role by generating and storing strong, unique passwords and supporting advanced MFA methods. Regular employee training on cybersecurity best practices and simulated phishing exercises will help reinforce secure behaviors.

Enterprises should enhance security by deploying mobile threat detection tools that provide real-time monitoring for malicious activity. Strong encryption and automated patch management can further protect devices. MDM solutions that enforce compliance and restrict data access based on device health ensure a well-rounded mobile security strategy that goes beyond relying on OS updates alone.

Mr. Mika Aalto, Co-Founder and CEO at Hoxhunt:

The most important thing that companies can do is to shift left and equip senior management and employees with the skills and tools to recognize and safely report a mobile phishing (mishing) attack. We can hope that technical filters and endpoint detection and response technologies quickly develop to be able to pick up these highly obfuscated, native code-based Malware attacks and pinpoint irregular signals and traffic. 

Ultimately, it comes down to people. Attackers will launch a complex attack with what might just be a simple phishing message. It’s up to people to be able to listen to that little voice in their head that is telling them that something is wrong, and report suspicious messages as a matter of habit. From there, you want to have a platform that will automatically categorize and escalate their reports to the SOC for accelerated response.

https://www.securitymagazine.com/articles/101266-executives-targeted-in-mobile-spearphishing-attacks




Self-Sovereign Identity e Distributed Ledger Technology: una Rivoluzione nell’Identità Digitale

Al 22° Forum ICT Security, Igor Serraino – Independent ICT Advisor – ha trattato argomenti avanzati come l’innovazione tecnologica della blockchain, la gestione dell’identità digitale attraverso Self-Sovereign Identity (SSI) e l’applicazione della Zero Knowledge Proof (ZKP) nel suo intervento “Self-Sovereign Identity and Distributed Ledger Technology: Innovations in Digital Identity Management for Users and Machines”.

Il relatore ha esaminato i benefici della SSI, tra cui spiccano il controllo decentralizzato e autonomo sui dati personali dell’utente, nonché la maggiore sicurezza derivante dall’uso di registri distribuiti, citando, come spunti di approfondimento, varie tecnologie correlate.

È stata, in particolare, approfondita l’importante metodologia Zero Knowledge Proof, che grazie all’uso di protocolli crittografici consente di verificare la correttezza di un’informazione senza divulgare dati sensibili, esemplificandone alcuni casi d’uso in ambiti ove sia essenziale tutelare la privacy degli utenti pur potendo verificare la veridicità di una affermazione.

Self-Sovereign Identity: la gestione delle identità nel mondo digitale

Nel contesto tecnologico contemporaneo, la Self-Sovereign Identity (SSI) rappresenta una delle innovazioni più rilevanti nel panorama dell’identità digitale.

Il modello di identità digitale SSI – che sfugge a una precisa traduzione in italiano – è emblematico di una trasformazione radicale nella gestione delle identità nel mondo informatizzato, con profonde implicazioni per la privacy, la sicurezza e la capacità dell’utente di disporre e gestire ogni tipo di informazione che lo caratterizza.

Serraino ha infatti sottolineato come l’adozione della SSI non modifichi soltanto l’interazione tra individui e organizzazioni ma ridefinisca la struttura stessa delle relazioni digitali, fondandosi sui princìpi di decentralizzazione e sovranità dei dati.

Fondamenti della Self-Sovereign Identity

Per analizzare pienamente la portata della SSI, il relatore è partito dalle basi concettuali che la definiscono.

La SSI spesso è erroneamente ricondotta a modelli a database relazionali o di archiviazione strutturata secondo tipica logica CRUD: si tratta invece di un framework complesso, distribuito e rigorosamente decentralizzato, implementato tramite paradigma BlockChain, pensato per garantire l’autenticazione e la validazione dell’identità attraverso meccanismi che, ad oggi, presentano ancora un alto grado di innovazione rispetto allo stato dell’arte.

SSI impone di conferire al titolare dei dati il totale controllo sugli stessi, cruciale in un’epoca in cui la protezione delle informazioni personali è diventata una priorità a livello globale.

L’idea della centralità del controllo – con l’individuo come unico depositario dei propri dati – distingue profondamente la SSI dai tradizionali modelli di gestione delle identità.

Self-Sovereign Identity (SSI) basics

La struttura della SSI poggia su tre pilastri essenziali:

  1. Controllo e Accesso

Il primo pilastro riguarda la capacità dell’individuo di decidere autonomamente a quali informazioni condividere e con chi, nonché in quale contesto. Questo modello di gestione granulare dei dati può essere assimilato a una “cassaforte digitale” in cui l’utente ha compartimenti separati per ogni aspetto della propria identità.

  1. Sicurezza e Integrità

Il secondo pilastro si riferisce all’adozione dei principi fondamentali della sicurezza informatica: confidenzialità, integrità e disponibilità (nota anche come CIA triad). L’utilizzo del paradigma BlockChain garantisce che le informazioni restino inalterate, riducendo al minimo il rischio di compromissioni.

  1. Portabilità e Sovranità dei Dati

Il terzo pilastro riguarda la portabilità dei dati: nel modello SSI l’utente non è vincolato a un singolo fornitore di servizi ma può muovere le proprie credenziali tra diverse piattaforme, mantenendo comunque la sovranità e il pieno controllo sulle proprie informazioni.

Evoluzione dell’Identità Digitale

Ripercorrendo l’evoluzione che ha portato alla SSI, Serraino ha ricordato che ad oggi un’alta percentuale dei sistemi di identità digitale, soprattutto nella Pubblica Amministrazione, sono centralizzati e basati su modelli in cui un’unica autorità detiene il controllo sui dati personali degli utenti; un’architettura che presenta evidenti limiti, tra cui la vulnerabilità a violazioni di sicurezza (unico entry point) e la limitata autonomia degli utenti, nonché frammentazione informativa e complessità nell’applicazione di policies di IR e DR.

Self-Sovereign Identity (SSI)

In risposta a queste criticità si è quindi sviluppato il modello federato, che consente di utilizzare le stesse credenziali per accedere a più servizi: rappresenta senza dubbio un miglioramento rispetto al modello centralizzato, ma la dipendenza da entità terze rimane un problema irrisolto. Si pensi ad esempio alla revoca da parte del fornitore di servizi, per cui l’utente vada a perdere il privilegio di accesso anche ad altre piattaforme che si basano sull’identità federata non più disponibile.

Il modello user-centric, prevedendo un maggiore controllo degli utenti sui propri dati, ha rappresentato un ulteriore passo avanti; ma non è riuscito a eliminare completamente la necessità di provider centralizzati, le identità digitali sono comunque mantenute e controllate dalle entità che forniscono i servizi di identità digitale.

La Self-Sovereign Identity idealmente risolve le varie problematiche insite negli altri modelli, introducendo decisamente il pattern della decentralizzazione, in cui il titolare dell’identità risulta l’unico responsabile e controllore delle proprie informazioni. Si realizza insomma un “contenitore di identità” i cui dati sono sotto il pieno controllo del proprietario, che può aggiornarli, eliminarli, gestirli, in base alla propria volontà.

Il Triangolo della Fiducia

Un elemento fondamentale della SSI è il cosiddetto Triangle of Trust” (ToT), o “Triangolo della Fiducia” – controllo, sicurezza e integrità, portabilità e sovranità – che coinvolge tre attori principali: il titolare dell’identità, l’entità emittente e l’entità verificante via VC (Verifiable Credentials).

Self-Sovereign Identity (SSI) - SSI triangle of trust (ToT)

Serraino ha evidenziato come in questo schema il titolare dell’identità possa essere un individuo, un’organizzazione o persino un dispositivo IoT, caratteristica funzionale – negli ultimi anni – anche ad esempio al contesto di Impresa 4.0 e le relative realtà operazionali delle Organizzazioni coinvolte.

In qualunque caso, l’entità emittente sarà responsabile della creazione e registrazione delle credenziali, mentre all’entità verificante spetterà validare l’informazione attraverso logiche a paradigma BlockChain.

Questo approccio garantisce un ecosistema di fiducia distribuita, eliminando la necessità di una singola autorità che autentichi e certifichi le identità a livello centralizzato, ove a supporto si trovano tecnologie algoritmiche come ZKP (Zero Knowledge Proofs) o DID (Decentralized Identifier)

Il Ruolo della Blockchain nella Self-Sovereign Identity

Nel paradigma SSI un ruolo cardine è rivestito dalla BlockChain: come ha ricordato Serraino, questa non va idealizzata come una sorta di database distribuito, ma piuttosto fondata su un registro immutabile (DLT) che garantisce la sicurezza e la tracciabilità delle transazioni, riducendo drasticamente la necessità di intermediari e promuovendo la fiducia tra le parti.

Self-Sovereign Identity (SSI) - SSI models

In tale contesto i digital wallets fungono da interfaccia utente, consentendo la gestione degli identificatori decentralizzati (DID) e delle VC credenziali verificabili; mentre le SSI cards, equivalenti digitali di documenti fisici come passaporti o patenti, sono uno strumento chiave per l’identificazione in contesti sia digitali che fisici. Si è ricordato il contesto della Pubblica Amministrazione, ove la sperimentazione della documentazione digitale, patenti e passaporti, sia già partita tramite piattaforme applicative ad hoc.

Zero Knowledge Proof: un’Innovazione Chiave

Un ulteriore avanzamento tecnologico nel contesto della SSI è rappresentato dalla Zero Knowledge Proof (ZKP). Si tratta di una famiglia di tecnologie crittografiche che permettono di dimostrare la veridicità di un’affermazione senza dover rivelare le informazioni che la riguardano. Per esempio, con le ZKP è possibile dimostrare a qualcuno di conoscere la soluzione di un complesso schema di sudoku, senza svelare nulla della soluzione stessa.

Ulteriori esempi applicativi di questa tecnologia crittografica alla base della SSI, sono nell’ambito dell’attestazione la veridicità delle informazioni senza rivelare i dettagli sottostanti: nell’esempio illustrato dal relatore, si ricava come sia possibile dimostrare di essere maggiorenni senza dover fornire la propria data di nascita. Da una prospettiva più tecnica, Serraino ha anticipato che la ZKP si sta affermando anche come strumento per ottimizzare l’efficienza computazionale rispetto ai tradizionali metodi di mining della BlockChain, rappresentando una soluzione più sostenibile e scalabile.

Applicazioni e Implicazioni della Self-Sovereign Identity

L’implementazione pratica della SSI trova nella BlockChain uno strumento fondamentale, applicando un modello informativo distribuito a supporto della validazione dell’identità in contesti complessi costituiti da più attori; in merito, il relatore ha ribadito come l’ambito di applicazione non sia solo per singoli individui ma anche per organizzazioni e dispositivi IoT ove gli aspetti di sicurezza informatica spesso passano in secondo piano, rispetto ad esigenze operative correlate al dover realizzare in tempo breve sistemi tecnologicamente innovativi e per cui le competenze sul campo sono difficili da reperire.

La BlockChain offre infatti la possibilità di fornire una prova univoca e incontrovertibile delle identità, lasciando al titolare la scelta – revocabile in qualsiasi momento – di concedere l’accesso a terze parti.

Oltre ad aumentare il controllo sui dati, questo sistema decentralizzato riduce il rischio di attacchi informatici, poiché non esiste un singolo punto di fallimento che possa essere compromesso.

Con la SSI ogni individuo diventa il vero titolare dei propri dati, eliminando la necessità di intermediari e garantendo piena sovranità sulle proprie informazioni personali.

Contesto Europeo: il Framework EBSI

Passando ad alcuni esempi concreti di applicazioni della SSI, il relatore ha citato il framework EBSI (European Blockchain Services Infrastructure), che testimonia l’impegno dell’Unione Europea nel promuovere l’adozione della SSI.

Self-Sovereign Identity (SSI) - Verifiable Credentials Framework

EBSI intende fornisce servizi come la notarizzazione digitale, gli audit trail e la conformità agli standard internazionali, contribuendo a rendere l’interazione tra cittadini e istituzioni più trasparente e sicura.

La SSI è infatti progettata per supportare una vasta gamma di casi d’uso, dalla gestione delle identità alla tracciabilità delle transazioni: nel contesto europeo i settori interessati includono la certificazione delle credenziali accademiche, l’implementazione dell’identità digitale europea e la condivisione attendibile dei dati nelle Pubbliche Amministrazioni.

Protocolli di Comunicazione e Sicurezza

I protocolli di comunicazione implementati nella SSI rappresentano un notevole progresso rispetto ai sistemi tradizionali, in particolare per quanto riguarda la sicurezza e la protezione dei dati.

L’autenticazione reciproca basata di identificatori decentralizzati (DID) – in cui si verifica l’identità sia del mittente che del destinatario – offre un livello di sicurezza che supera di gran lunga i protocolli standard, citando ad esempio il caso PEC di ampia diffusione, o ancora le casistiche di truffe di phishing estremamente diffuse.

La protezione dei metadati è un altro aspetto fondamentale, poiché permette di evitare che informazioni sensibili, come timestamp o indirizzi IP, possano essere utilizzate per scopi malevoli.

Il paradigma BlockChain realizza concettualmente e tecnologicamente le caratteristiche dei protocolli di sicurezza, assicurando l’integrità dei messaggi e la reale identità di entrambe le parti, garantendo che le comunicazioni non possano essere alterate durante la loro trasmissione.

Prospettive future

Le prospettive per la futura diffusione del paradigma SSI appaiono estremamente promettenti, grazie alla standardizzazione dei protocolli e all’interoperabilità tra sistemi diversi.

I più rilevanti casi d’uso citati nella presentazione hanno incluso:

  • ambito pubblico – la SSI potrebbe risolvere il problema della frammentazione dei dati, consentendo una gestione più sicura delle identità e una migliore condivisione delle informazioni tra le varie entità della Pubblica Amministrazione;
  • ambito sanitario – la SSI permetterebbe ai pazienti di mantenere il controllo completo dei propri dati medici, decidendo chi può accedervi e in quali circostanze, così migliorando la privacy e la qualità delle cure;
  • ambito educativo – la SSI consente l’uso di credenziali verificabili per attestare titoli di studio e qualifiche accademiche, riducendo il rischio di frodi nonché semplificando il processo di verifica da parte di datori di lavoro e istituzioni.

Conclusioni

In conclusione dell’intervento il relatore ha ribadito che la Self-Sovereign Identity rappresenta un vero e proprio cambio di paradigma nella gestione delle identità digitali.

Non si tratta, infatti, soltanto di un’innovazione tecnologica ma di una trasformazione che mette l’utente al centro del proprio ecosistema digitale, garantendo sicurezza, privacy e controllo.

L’implementazione su larga scala della SSI potrebbe rivoluzionare il modo in cui interagiamo con istituzioni, aziende e altre persone, creando un futuro digitale più equo e rispettoso dei diritti individuali: la collaborazione tra governi, industria e sviluppatori sarà fondamentale per costruire un ecosistema interoperabile e sicuro entro cui realizzare appieno le potenzialità della SSI, ponendo le basi per una nuova era di sovranità digitale.

Profilo Autore

Igor Serraino è professionista IT.
Opera come analista infrastrutturale e di Open Innovation nel contesto di Impresa 4.0 fin dal 2017, in qualità di Technology Expert per una importante società di settore attiva in ambiti aziendali eterogenei e sfidanti.
Il suo portfolio professionale senior-level si consolida attraverso una decennale esperienza da analista e sviluppatore hard-skills in ambienti Java-based, con particolare riferimento alla coprogettazione e sviluppo di applicativi per la gestione finanziaria commercializzati nel mondo della Pubblica Amministrazione.
Ha all’attivo numerose attività di formazione aziendale, workshops e pubblicazioni nei contesti di Cyber Security (GDPR e ISO27001), Legal-Tech, BlockChain Architect.

Condividi sui Social Network:

https://www.ictsecuritymagazine.com/articoli/self-sovereign-identity/




Credential phishing attacks rose by 703% in H2 of 2024

A new report from SlashNext analyzes scam trends to help organizations prepare for threats in 2025. The report analyzes a range of email and mobile threats, such as: 

According to the report, credential theft attacks increased by 703% in the second half of 2024, suggesting a rise in the use of phishing kits and social engineering techniques. Overall, email-based attacks increased by 202% in H2 of 2024, with individuals receiving at minimum one phishing link each week that was able to bypass conventional network security. 

Other key findings from the report include: 

  • Among the observed embedded, malicious links, 80% were zero-day threats that were previously unknown. 
  • Users faced an average of three to six threats each week during peak periods. 
  • Users experienced an average of 600 mobile threats per year. 
  • Social engineering threats saw a 141% increase in H2 of 2024. 

https://www.securitymagazine.com/articles/101261-credential-phishing-attacks-rose-by-703-in-h2-of-2024




Federated Learning e Sicurezza Distribuita

Il Federated Learning (FL) si configura come un paradigma emergente e altamente promettente nell’ambito dell’apprendimento distribuito orientato alla privacy, consentendo a più entità di collaborare all’addestramento di modelli senza necessità di condividere i dati grezzi. Nonostante il FL integri meccanismi intrinseci di protezione della privacy, rimane suscettibile a una vasta gamma di minacce sia in termini di sicurezza sia di riservatezza.

Questo contributo esplora in dettaglio le sfide di sicurezza associate al FL, analizzando i vettori di attacco e i meccanismi di difesa lungo l’intero ciclo di vita del sistema. L’analisi si focalizza su tre fasi critiche: auditing dei dati e dei comportamenti, addestramento del modello e predizione. L’obiettivo è delineare come un sistema FL affidabile necessiti dell’integrazione di misure di sicurezza appropriate in ogni fase, garantendo un equilibrio tra la protezione della privacy, l’utilità del modello e le prestazioni complessive.

Introduzione

In un contesto in cui la protezione della privacy rappresenta un elemento cruciale nello sviluppo dell’intelligenza artificiale, il Federated Learning si è imposto come una soluzione innovativa nel panorama dell’apprendimento distribuito. Questo framework consente a organizzazioni e individui di collaborare nell’addestramento di modelli mantenendo i dati localmente, riducendo il rischio di esposizione di informazioni sensibili. Tuttavia, la natura distribuita e collaborativa di questa architettura introduce nuove superfici di attacco sfruttabili da avversari interni ed esterni.

Le sfide di sicurezza nel contesto del Federated Learning sono intrinsecamente complesse e richiedono approcci sistematici e multidisciplinari. I recenti sviluppi nella ricerca hanno evidenziato una serie di vulnerabilità specifiche, accompagnate dalla proposta di soluzioni avanzate per mitigare tali rischi. Le tendenze attuali si concentrano sull’implementazione di meccanismi robusti volti a proteggere non solo la privacy dei partecipanti, ma anche l’integrità e l’affidabilità del processo di apprendimento.

I concetti fondamentali della sicurezza nel Federated Learning comprendono la definizione di modelli di minaccia specifici e l’applicazione di principi di protezione mirati. I modelli di minaccia, in questo contesto, includono scenari che vanno da attacchi mirati da parte di partecipanti compromessi a intrusioni esterne su scala sistemica.

Le vulnerabilità di sicurezza e privacy nelle architetture FL rappresentano una delle principali aree di indagine. La natura distribuita di questi sistemi introduce complessità uniche che richiedono soluzioni personalizzate e specificamente adattate. Le soluzioni di difesa avanzate attualmente in sviluppo combinano tecniche di crittografia omomorfica, metodi di preservazione della privacy come il differential privacy e strumenti per il rilevamento di anomalie nel comportamento dei partecipanti.

Le future direzioni di ricerca in questo ambito mirano a un’evoluzione delle contromisure, considerando la crescita e la diversificazione delle minacce. L’obiettivo principale rimane quello di potenziare la resilienza dei sistemi FL, preservandone al contempo l’efficienza computazionale e l’usabilità pratica.

Il presente studio adotta un approccio multi-fase per esaminare le sfide di sicurezza lungo l’intero ciclo di vita di un sistema Federated Learning, partendo dalla fase di inizializzazione fino alla sua operatività continua. Questo approccio consente una valutazione completa e integrata, tenendo conto delle interazioni tra le diverse componenti del sistema e dell’impatto complessivo delle misure di sicurezza implementate.

Architettura di Sicurezza e Threat Models nel Federated Learning

Architettura di Base

Il Federated Learning (FL) si configura come un framework avanzato per l’apprendimento distribuito, caratterizzato da una struttura architetturale complessa che mira a bilanciare efficienza computazionale e sicurezza dei dati. Alla base di questa architettura emergono componenti chiave, ciascuno dei quali ricopre un ruolo cruciale per il funzionamento e la resilienza del sistema.

I local participants, noti anche come client, costituiscono il fulcro dell’architettura distribuita. Questi nodi mantengono i propri dataset privati localmente, riducendo drasticamente i rischi associati alla condivisione dei dati sensibili. Questo approccio decentralizzato non solo garantisce la privacy dei dati originali, ma promuove anche un paradigma di collaborazione efficiente nell’addestramento del modello globale, riducendo al minimo le esposizioni potenziali.

Il coordination mechanism per l’aggregazione dei modelli è il secondo elemento essenziale. Questo modulo gestisce la fusione degli aggiornamenti dei parametri forniti dai partecipanti, garantendo che il modello globale benefici del contributo distribuito mantenendo al contempo integrità e coerenza. Tecniche avanzate come il Federated Averaging (FedAvg) e le sue varianti sono frequentemente utilizzate per ottimizzare questa fase.

I communication protocols giocano un ruolo determinante nel garantire la sicurezza e l’efficienza delle interazioni tra i nodi. Questi protocolli devono essere progettati per supportare un flusso bidirezionale sicuro, riducendo la latenza e proteggendo la riservatezza degli aggiornamenti mediante tecniche di crittografia end-to-end e meccanismi di autenticazione robusti.

Infine, i privacy-preserving computation methods, come la crittografia omomorfica, il secure multi-party computation (SMPC) e il differential privacy, completano l’architettura di base. Questi strumenti sono indispensabili per proteggere la confidenzialità dei dati durante le fasi di elaborazione e trasmissione, fornendo un ulteriore strato di sicurezza.

Threat Models nel contesto del Federated Learning

I threat models nel contesto del FL comprendono una varietà di attori malevoli e vulnerabilità che possono compromettere la sicurezza e la robustezza del sistema. Tali minacce possono essere classificate in base al comportamento e alla posizione degli attaccanti.

Gli honest-but-curious participants rappresentano una minaccia sottile ma significativa: questi nodi seguono correttamente il protocollo, ma tentano di dedurre informazioni sensibili analizzando i gradienti o gli aggiornamenti ricevuti. Questa categoria richiede contromisure specifiche, come l’applicazione di tecniche di differenziale privacy per offuscare i dati sensibili.

I malicious participants, invece, perseguono attivamente l’obiettivo di compromettere il sistema. Essi possono manipolare i propri aggiornamenti al fine di alterare il modello globale (ad esempio, tramite attacchi di poisoning) o compromettere l’integrità del processo di apprendimento.

Gli external adversaries operano al di fuori del sistema, cercando di sfruttare vulnerabilità nei protocolli di comunicazione per intercettare o manipolare i dati trasmessi. Gli attacchi più comuni in questa categoria includono attacchi di tipo man-in-the-middle e violazioni della confidenzialità tramite analisi del traffico.

I compromised aggregators costituiscono un’ulteriore minaccia critica. Un aggregatore compromesso può alterare il processo di aggregazione o esporre i dati sensibili dei partecipanti. Poiché l’aggregatore agisce come punto centrale di controllo, garantire la sua sicurezza è fondamentale per preservare l’integrità del sistema.

Gli obiettivi degli adversaries possono essere diversificati e sofisticati, il furto di informazioni private è spesso la motivazione primaria, con gli attacchi mirati a estrarre informazioni dai parametri condivisi. Il poisoning del training process rappresenta un altro rischio significativo, in cui gli attaccanti iniettano dati o aggiornamenti malevoli per corrompere il modello.

La compromise model integrity è un obiettivo più ampio e strategico, finalizzato a degradare le prestazioni complessive o introdurre comportamenti indesiderati nel modello. Infine, gli inference attacks, in cui gli attaccanti cercano di dedurre informazioni sui dati di training analizzando il comportamento del modello, costituiscono una sfida particolarmente complessa, richiedendo contromisure avanzate per garantire una resilienza effettiva.

Security Challenges nel Federated Learning per Sistemi IoT

IoT-Specific Considerations: Sfide Fondamentali nell’Integrazione

La complessità intrinseca dei sistemi IoT introduce sfide particolari, derivanti principalmente dalla loro eterogeneità strutturale. Le heterogeneous device capabilities rappresentano uno dei principali ostacoli: i dispositivi, dotati di risorse computazionali, memoria e caratteristiche hardware variabili, devono collaborare in maniera efficace all’interno del medesimo ecosistema di Federated Learning (FL). Questa varietà introduce difficoltà non solo tecniche ma anche potenziali vulnerabilità sfruttabili dagli attaccanti.

I resource constraints, come limitazioni in termini di computational power, memoria disponibile e capacità energetica, costituiscono un ulteriore elemento critico. La progettazione di soluzioni di sicurezza per sistemi IoT deve essere ottimizzata per garantire un’adeguata protezione, mantenendo un basso impatto in termini di utilizzo delle risorse computazionali ed energetiche.

Sfide di Connettività e Distribuzione

Le bandwidth limitations rappresentano una problematica significativa per la natura distribuita del Federated Learning, che richiede frequenti scambi di dati tra dispositivi partecipanti e server centrale. Nei sistemi IoT, spesso caratterizzati da connessioni instabili e velocità di trasmissione ridotte, l’efficienza e la sicurezza del sistema possono risultare compromesse. Protocolli di sicurezza tradizionali, sebbene robusti, potrebbero rivelarsi troppo onerosi in termini di consumo di banda.

La distribuzione geografica dei dispositivi IoT introduce ulteriori complessità. Dispositivi collocati in aree geografiche remote o in ambienti eterogenei sono soggetti a condizioni di rete e ambientali differenti, complicando l’implementazione di misure di sicurezza uniformi. Inoltre, le dynamic network conditions, caratterizzate da connettività intermittente e latenza variabile, richiedono soluzioni di sicurezza adattive per garantire efficacia operativa anche in situazioni di rete sfavorevoli.

Scalabilità e Domini Applicativi

La scalabilità rappresenta una sfida cruciale: gestire la sicurezza di miliardi di dispositivi connessi richiede approcci innovativi e altamente efficienti. Questa problematica assume particolare rilevanza considerando i molteplici domini applicativi in cui operano i sistemi IoT, tra cui il settore sanitario, l’industria manifatturiera e le smart grids. Ciascun dominio presenta requisiti di sicurezza specifici, che richiedono soluzioni personalizzate e interoperabili.

IoT-Specific Threat Models: Vulnerabilità e Minacce

All’interno dei modelli di minaccia specifici per l’IoT, emergono vulnerabilità che richiedono un’attenzione mirata. Le vulnerabilità a livello di dispositivo rappresentano un punto di ingresso critico: la compromissione di un singolo dispositivo potrebbe avere ripercussioni su larga scala, compromettendo l’intero sistema. I problemi di connettività di rete, oltre a degradare le prestazioni, possono essere sfruttati come vettori di attacco da parte di attori malevoli.

Attacchi e Minacce alla Sicurezza

Gli attacchi di esaurimento delle risorse (resource exhaustion attacks) costituiscono una minaccia particolarmente insidiosa per i dispositivi IoT, spesso caratterizzati da risorse computazionali e energetiche limitate. Inoltre, le minacce alla sicurezza fisica, data l’esposizione di molti dispositivi IoT in ambienti non controllati, aumentano il rischio di manomissioni hardware.

Propagazione degli Attacchi e Privacy

La propagazione degli attacchi tra domini (cross-domain attack propagation) rappresenta un rischio significativo in ecosistemi IoT connessi tramite FL. Un attacco inizialmente confinato a un dominio applicativo potrebbe propagarsi, compromettendo l’integrità di altri domini correlati. Inoltre, il leakage di dati sensibili, in particolare in applicazioni critiche come quelle sanitarie, costituisce una preoccupazione fondamentale. Proteggere la privacy degli utenti in tali contesti richiede l’adozione di tecniche avanzate, come la homomorphic encryption e i metodi di anonimizzazione dei dati.

Vulnerabilità di Security e Privacy nei Sistemi Federated Learning (FL) Distribuiti

Criticità Specifiche dell’Architettura Distribuita

Vulnerabilità della Distribuzione delle Risorse

Nei sistemi Federated Learning (FL) distribuiti, la gestione delle risorse computazionali presenta vulnerabilità peculiari intrinseche alla natura collaborativa del processo di apprendimento. La distribuzione asimmetrica delle capacità computazionali tra i nodi partecipanti rappresenta potenziali punti di debolezza durante il processo di training federato. I nodi con risorse limitate possono trasformarsi in bottleneck per l’intera architettura distribuita, compromettendo non solo le performance ma anche la sicurezza del sistema nel suo complesso.

L’eterogeneità delle risorse disponibili tra i nodi introduce ulteriori vulnerabilità nei meccanismi di sincronizzazione del training distribuito. Nodi con capacità computazionali significativamente divergenti possono generare disallineamenti temporali nel processo di apprendimento, creando aperture sfruttabili per attacchi mirati a compromettere la convergenza del modello.

Vulnerabilità nella Coordinazione Distribuita

La natura intrinsecamente distribuita del Federated Learning introduce fragilità critiche nei meccanismi di coordinazione. Il processo di orchestrazione del training federato risulta particolarmente suscettibile a interruzioni selettive delle comunicazioni tra i nodi. Un attore malevolo potrebbe sfruttare queste lacune per alterare la sincronizzazione del processo di training, influenzando la qualità e l’affidabilità del modello finale.

La gestione distribuita del consenso durante l’aggregazione dei modelli locali presenta specifici punti di debolezza. Attacchi mirati ai meccanismi di consenso possono indurre divergenze significative nell’apprendimento, portando alla generazione di modelli inconsistenti o compromessi. La complessità intrinseca nel coordinare molteplici nodi distribuiti espande ulteriormente la superficie di attacco, facilitando manipolazioni intenzionali del processo di aggregazione.

Vulnerabilità nell’Aggregazione Federata

L’architettura distribuita presenta vulnerabilità rilevanti nella fase di aggregazione dei modelli locali. I nodi intermedi incaricati dell’aggregazione parziale costituiscono potenziali punti critici di compromissione, dove un attore malevolo potrebbe manipolare gli aggiornamenti del modello prima che raggiungano l’aggregatore finale.

La struttura gerarchica tipica dell’aggregazione distribuita introduce fragilità nella propagazione degli aggiornamenti. Un compromesso nei livelli intermedi della gerarchia potrebbe propagarsi attraverso molteplici rami dell’architettura distribuita, amplificando gli effetti dell’attacco e compromettendo l’integrità del modello globale.

Vulnerabilità nella Sincronizzazione Temporale

La sincronizzazione temporale in un sistema Federated Learning distribuito rappresenta un ulteriore vettore di vulnerabilità. Attacchi basati sul timing possono sfruttare le differenze nei tempi di training e aggregazione tra i nodi per inferire informazioni sensibili sui dati di training o manipolare deliberatamente il processo di apprendimento.

I ritardi nella propagazione degli aggiornamenti attraverso l’architettura distribuita generano vulnerabilità specifiche relative alla consistenza del modello. Tali asincronicità possono essere sfruttate per orchestrare attacchi mirati a compromettere la convergenza del training federato, minando la robustezza e l’affidabilità del sistema nel suo complesso.

Soluzioni di Difesa Avanzate nel Federated Learning

IoT-Optimized Defense Mechanisms: Strategie per la Protezione dei Sistemi FL Distribuiti

Nel contesto del Federated Learning su sistemi IoT, le resource-aware solutions rappresentano un elemento cardine per garantire un addestramento distribuito sicuro ed efficiente. La lightweight cryptography emerge come un paradigma essenziale durante le fasi di aggregazione e scambio dei parametri del modello, fornendo meccanismi di cifratura ottimizzati in grado di salvaguardare la riservatezza degli aggiornamenti del modello, pur rispettando i severi vincoli computazionali dei dispositivi IoT partecipanti.

L’efficient privacy preservation nel contesto del Federated Learning richiede l’adozione di metodologie avanzate, quali il differential privacy e il secure aggregation, implementate in maniera ottimizzata per dispositivi caratterizzati da risorse computazionali e di memoria limitate. Le adaptive security measures, opportunamente calibrate, proteggono sia il processo di training locale che la fase di aggregazione globale, modulando dinamicamente i livelli di protezione in funzione delle risorse disponibili e della sensibilità dei dati di training.

Gli energy-efficient protocols, progettati ad hoc per il paradigma del Federated Learning, ottimizzano il consumo energetico durante le fasi di comunicazione degli aggiornamenti del modello, garantendo che i dispositivi IoT possano partecipare al processo di addestramento senza comprometterne la longevità operativa.

Protezione a Livello Rete (Network-Level Protection) nel Federated Learning

La sicurezza della comunicazione è un aspetto critico nel Federated Learning, dove la trasmissione sicura degli aggiornamenti del modello è imprescindibile. I secure communication protocols vengono adattati per affrontare in modo efficace le esigenze specifiche del traffico generato dal Federated Learning, proteggendo gli aggiornamenti del modello durante il transito tra i dispositivi edge e il server di aggregazione.

La bandwidth-efficient encryption viene ottimizzata per ridurre al minimo l’overhead di comunicazione derivante dallo scambio degli aggiornamenti del modello, mantenendo al contempo un elevato livello di protezione. Le dynamic security policies sono implementate per adattarsi dinamicamente alle diverse fasi del processo di Federated Learning, includendo regole granulari per la protezione durante l’addestramento locale, l’aggregazione e la distribuzione del modello globale.

I distributed trust mechanisms giocano un ruolo chiave nel contesto del Federated Learning, in cui la fiducia reciproca tra i partecipanti è critica. Questi meccanismi decentralizzati consentono di verificare l’integrità degli aggiornamenti del modello, prevenendo attacchi sofisticati come il model poisoning.

Sicurezza dei Dispositivi (Device Security) nei Sistemi FL

La protezione dei dispositivi coinvolti nel Federated Learning richiede misure altamente specializzate per salvaguardare sia i dati di training locali che il processo stesso di addestramento. I secure boot mechanisms garantiscono l’integrità dell’ambiente di training locale, verificando l’autenticità del software FL e prevenendo manipolazioni del processo attraverso tecniche avanzate di autenticazione.

Gli hardware security modules forniscono uno strato di protezione dedicato alle operazioni critiche, inclusa la gestione sicura delle chiavi crittografiche necessarie per proteggere gli aggiornamenti del modello e il secure storage dei parametri del modello locale. Questi moduli rappresentano una componente essenziale per assicurare la confidenzialità del processo di training distribuito.

La firmware protection si concentra sulla salvaguardia dei componenti software responsabili dell’addestramento locale e delle comunicazioni con il server di aggregazione. Parallelamente, il resource monitoring svolge una funzione cruciale nel rilevamento tempestivo di anomalie nel processo di training, identificando possibili compromissioni del modello o attacchi come il type inference.

Questa architettura di sicurezza multilivello, progettata specificamente per il paradigma del Federated Learning in ambienti IoT, garantisce la protezione delle diverse fasi operative, dal training locale fino all’aggregazione globale. L’obiettivo è preservare la privacy dei dati, garantire l’integrità del modello risultante e mitigare i rischi legati a minacce emergenti nel panorama della sicurezza cibernetica.

Linee Guida di Implementazione e Sviluppi Futuri nei Sistemi FL Distribuiti

Ottimizzazione dell’Architettura Distribuita

Nel contesto dei sistemi FL distribuiti, l’ottimizzazione dell’architettura richiede un approccio metodico e avanzato, capace di sfruttare la natura gerarchica e dinamica del sistema. Il distributed computation offloading riveste un ruolo cruciale, poiché consente di implementare strategie di redistribuzione computazionale basate su algoritmi adattivi in grado di valutare, in tempo reale, le capacità e lo stato operativo di ciascun nodo. Questo processo ottimizza l’allocazione del carico, migliorando la scalabilità e la resilienza del sistema.

La hierarchical model compression rappresenta un progresso chiave nell’ambito delle comunicazioni distribuite. Questa tecnica integra metodi di compressione differenziati per ciascun livello della gerarchia del sistema, bilanciando con precisione la riduzione del traffico di rete con il mantenimento delle prestazioni del modello globale. La compressione granulare permette inoltre una maggiore adattabilità alle caratteristiche specifiche dei nodi, massimizzando l’efficienza computazionale e di comunicazione.

Strategie di Comunicazione Multi-livello

L’efficientamento delle comunicazioni in sistemi FL distribuiti richiede un’implementazione stratificata delle strategie di scambio dei dati. Il tiered communication protocol introduce un modello gerarchico nel quale ciascun livello della rete applica protocolli ottimizzati e specifici per le proprie esigenze operative, consentendo l’esecuzione di selective parameter updates. Questa metodologia riduce drasticamente il volume complessivo di dati trasferiti, limitando la latenza e ottimizzando la larghezza di banda disponibile.

L’asynchronous aggregation strategy si configura come una soluzione altamente innovativa per gestire la natura asincrona delle comunicazioni in sistemi distribuiti su larga scala. Questo approccio consente ai sottogruppi di nodi di effettuare l’aggregazione locale indipendentemente dalla sincronizzazione globale, migliorando la throughput complessiva e mitigando i colli di bottiglia legati alla sincronizzazione centralizzata.

Raccomandazioni per l’Implementazione Distribuita

Un’implementazione efficace dei sistemi FL distribuiti richiede un approccio strategico e rigoroso alla gestione delle risorse. La distributed resource orchestration dovrebbe essere supportata da framework dinamici, progettati per allocare e monitorare in tempo reale le risorse computazionali e di rete attraverso i diversi livelli della gerarchia.

Parallelamente, un adaptive security framework rappresenta un elemento imprescindibile per l’architettura distribuita. Questo framework deve includere meccanismi di rilevamento delle anomalie distribuiti (distributed anomaly detection) e strumenti di risposta coordinata agli incidenti di sicurezza. La capacità di adattarsi automaticamente alle condizioni operative variabili garantisce una protezione coerente e proattiva contro le minacce emergenti.

Direzioni di Ricerca Emergenti

I futuri orientamenti della ricerca nel dominio dei sistemi FL distribuiti si concentrano su paradigmi altamente innovativi che promettono di rivoluzionare le attuali pratiche. La distributed privacy enhancement è un’area prioritaria, focalizzata sullo sviluppo di metodologie avanzate di protezione della privacy che operino in modo sinergico con le architetture multi-livello.

Il dynamic topology management emerge come un campo di ricerca cruciale, mirato a progettare meccanismi auto-adattivi per la gestione della topologia di rete in sistemi FL distribuiti. Questo filone si basa su modelli predittivi e architetture auto-organizzanti, capaci di rispondere in modo proattivo alle variazioni nei requisiti di training e alle condizioni dinamiche della rete.

Prospettive Future

L’evoluzione dei sistemi FL distribuiti richiederà un approccio multidimensionale per bilanciare efficienza operativa, sicurezza e scalabilità. Le future implementazioni dovranno integrare soluzioni sempre più sinergiche, capaci di gestire la complessità delle architetture distribuite, mantenendo elevati standard di privacy e security. L’attenzione sarà rivolta allo sviluppo di meccanismi adattivi e auto-evolutivi che rispondano in modo dinamico alle mutevoli esigenze del sistema, consentendo una mitigazione proattiva delle sfide emergenti nel panorama cibernetico globale.

Fonti:
Condividi sui Social Network:

https://www.ictsecuritymagazine.com/articoli/federated-learning-fl/




Auriga: protezione multi-livello per i terminali di pagamento


La sicurezza dei terminali di pagamento e degli ATM è fondamentale: questi dispositivi e software vengono presi di mira da attacchi altamente mirati pensati per danneggiare gli utenti e interrompere l’erogazione di servizi critici.

Con Gaetano Ziri, innovation manager di Auriga, abbiamo approfondito il panorama delle minacce del settore bancario, le sfide e le soluzioni dedicate alla protezione di ATM, POS e altri terminali di pagamento.

Oltre agli attacchi fisici diretti ai cash point e alle casseforti, eseguiti sfruttando dispositivi specifici che forzano l’accesso al contante, i terminali sono esposti anche ad attacchi software più o meno impattanti. Alcune di queste minacce sfruttano le vulnerabilità del terminale ATM stesso per installare malware ed eseguire operazioni fraudolente; altre introducono il malware direttamente nella rete di comunicazione, sia a livello server che dei singoli dispositivi.

In entrambi i casi, Auriga mette a disposizione LDM (Lookwise Device Manager), una piattaforma di protezione progettata per proteggere i dispositivi specializzati e garantire transazioni sicure.Il nostro software agisce a livello di kernel, quindi va a bloccare tutte le operazioni illecite” ha spiegato Ziri. È un livello addizionale di sicurezza che viene aggiunto a quello del sistema operativo“.

La piattaforma è in grado di bloccare l’uso di dispositivi USB non riconosciuti e l’esecuzione di codice malevolo o non autorizzato. Il layer di sicurezza non si ferma però solo a questo: LDM si occupa anche di cifrare i dati sensibili e di segmentare la rete per evitare che l’infezione malware si propaghi tra i diversi terminali. La tecnologia di Auriga implementa inoltre l’approccio Zero Trust introducendo la mutua autenticazione tra endpoint per ogni transazione.

La soluzione può essere implementata anche sui POS, sia su quelli più moderni che su quelli embedded, più datati. Il sistema prevede in ogni caso la cifratura delle comunicazioni tra server e terminale; l’uso della cifratura con certificati di mutua autenticazione protegge anche da attacchi di tipo man-in-the-middle.

LDM protegge i terminali anche nel caso in cui siano installate versioni obsolete o non aggiornate dei sistemi operativi. Nonostante in generale le banche stiano aggiornando i propri sistemi, esistono molte realtà che non si occupano correttamente dei propri software, aumentando il rischio di attacchi che sfruttano vulnerabilità note.

Aggiungendo un livello di sicurezza ulteriore, la soluzione di Auriga protegge anche i sistemi più esposti; nonostante ciò, Ziri ha ricordato che è fondamentale aggiornare i software alle ultime versioni per limitare il più possibile i rischi.

LDM aumenta la sicurezza anche in contesti di comunicazione più complessi, come le connessioni interbancarie. Facendo l’esempio di FASTCash, malware in grado di compromettere istituti bancari in tutto il mondo in una sola transazione, Ziri ha evidenziato l’importanza di un approccio completo e multi-livello alla sicurezza.

Proteggere i terminali di pagamento è una sfida di sicurezza notevole: non solo bisogna occuparsi di minacce fisiche, ma anche di quelle dirette all’infrastruttura software dell’intera rete bancaria. La soluzione di Auriga propone un modello di protezione e monitoraggio completo capace di proteggere i dispositivi critici dagli incidenti di sicurezza mirati.

Condividi l’articolo



Articoli correlati

Altro in questa categoria


https://www.securityinfo.it/2024/12/18/auriga-protezione-multi-livello-per-i-terminali-di-pagamento/?utm_source=rss&utm_medium=rss&utm_campaign=auriga-protezione-multi-livello-per-i-terminali-di-pagamento




Glutton, la backdoor che colpisce anche i cybercriminali


I ricercatori della compagnia di sicurezza XLab hanno scoperto Glutton, una backdoor in PHP che colpisce non solo aziende e organizzazioni, ma anche altri cybercriminali.

Il team di XLab ha individuato le prime attività della backdoor lo scorso aprile, scoprendo una serie di payload PHP malevoli altamente modulari, in grado di eseguire in maniera indipendente o integrandosi tra di loro. Questa analisi ha portato alla scoperta di un’avanzata backdoor in PHP mai documentata prima che abbiamo chiamato Glutton per via della sua capacità di infettare numerosi file PHP e innestare l0ader_shell” spiegano i ricercatori.

La backdoor è in grado di esfiltrare informazioni quali la versione dell’OS e di PHP e i dati sensibili di Baota Panel. Glutton è inoltre in grado di installare una backdoor di Winnti ELF-based e altre backdoor in PHP, oltre che iniettare codice in framework PHP popolari come Baota, ThinkPHP, Yii e Laravel.

Glutton

Analisi di Glutton

La backdoor è composta da numerosi componenti che, come anticipato, possono eseguire funzioni in autonomia o essere composte per creare un framework più complesso. “Questo design modulare non solo migliora l’adattabilità degli attacchi, ma lo rende anche più difficile da individuare e tacciare durante le attività di difesa” spiega il team di XLab.

Secondo i ricercatori di sicurezza, per distribuire il framework gli attaccanti sfruttano vulnerabilità dei sistemi, password ottenute da tecniche di brute-force e sfruttando sistemi già compromessi dell’ambiente cybercriminale.

Uno dei moduli più importanti è client_task: esso è in grado di eseguire una backdoor PHP ed eseguire periodicamente la funzione fetch_task per ottenere ed eseguire altri payload. Il modulo supporta 22 comandi diversi che comprendono funzioni per l’upload e il download di file, per creare, leggere o modificare file e per scansionare le cartelle dei metadati.

Un altro modulo centrale è il task_loader, la cui funzione primaria è di scaricare ed eseguire il payload specifico in base alle caratteristiche del sistema. A questo si aggiunge init_task, il modulo che scarica ed esegue la backdoor Winnti e infetta i pannelli Baota e i file PHP, e il client_loader, un modulo refattorizzato di init_task, il quale introduce la capacità di scaricare ed eseguire un client backdoored per la compatibilità cross-platform e l’evasione dei controlli degli antivirus.

Una backdoor colpisce anche i cybercriminali

Le vittime di Glutton si trovano principalmente in Cina e negli Stati Uniti e appartengono a settori quali i servizi IT, le business operation e le organizzazioni per la sicurezza sociale.

Ciò che stupisce è che la backdoor colpisce anche sistemi venduti nel mercato cybercriminale, con l’obiettivo di trasformare gli altri attaccanti in “pedine” da usare per i loro scopi. Secondo XLab, il team dietro Glutton userebbe la backdoor per sfruttare i sistemi cybercriminali e ottenere ancora più informazioni.

Nel dettaglio, il gruppo inietta la backdoor nei software venduti sui forum cybercriminali, solitamente false piattaforme di scommesse o di scambio di criptovalute. Una volta infettati questi sistemi, Glutton esegue il tool “HackBrowserData” per estrarre informazioni sensibili dai browser dei criminali stessi.

Anche se XLab ha confermato la veridicità della backdoor Winnti usata da Glutton, non è detto che il nuovo malware sia attribuibile al gruppo: la nuova backdoor è implementata in maniera molto semplificata e i meccanismi di offuscamento non sono robusti come quelli usati dal gruppo. “Mentre il meccanismo di distribuzione di Glutton è molto simile a quello del gruppo Winnti, manca di furtività e l’implementazione semplicistica introduce incertezza” spiegano i ricercatori. XLab attribuisce comunque con “moderata confidenza” il tool al gruppo cinese.

Per eliminare possibili infezioni di Glutton, il team di XLab consiglia di analizzare i file PHP per verificare la presenza di l0ader_shell, rimuovere i processi malevoli individuati e rafforzare la protezione delle cartelle temporanee creando un file .donot in /tmp per prevenire l’exploit.

Condividi l’articolo



Articoli correlati

Altro in questa categoria


https://www.securityinfo.it/2024/12/18/glutton-la-backdoor-che-colpisce-anche-i-cybercriminali/?utm_source=rss&utm_medium=rss&utm_campaign=glutton-la-backdoor-che-colpisce-anche-i-cybercriminali