AI , attenzione al data poisoning

Il data poisoning è un tipo di attacco informatico che prende di mira i modelli di apprendimento automatico (machine learning) manipolando i loro dati di addestramento. L’obiettivo di questi attacchi è manipolare il comportamento del modello introducendo, modificando o eliminando punti dati nel set di addestramento. Questo può portare il modello a prendere decisioni o previsioni errate una volta implementato.

Ci sono due tipi principali di attacchi di data poisoning:

1. **Attacchi mirati (Targeted Attacks)**: Questi hanno lo scopo di influenzare il comportamento del modello per input specifici, come ad esempio far sì che un sistema di riconoscimento facciale non riconosca un determinato individuo, senza degradare significativamente le sue prestazioni complessive[1].

2. **Attacchi non mirati (Nontargeted Attacks)**: Questi cercano di ridurre l’accuratezza, la precisione o il richiamo (recall) generale del modello aggiungendo rumore o punti dati irrilevanti, degradando così le sue prestazioni su vari input[1].

Il successo di un attacco di data poisoning dipende dalla capacità dei dati avvelenati di evitare il rilevamento durante la pulizia dei dati o il pre-processing, e dall’efficacia dell’attacco nel degradare le prestazioni del modello[1].

Il data poisoning può avere gravi implicazioni, specialmente poiché sempre più aziende si affidano a sistemi di intelligenza artificiale e apprendimento automatico. Può essere utilizzato per vari scopi malevoli, inclusi la disinformazione, le truffe phishing, l’alterazione dell’opinione pubblica o il discredito di individui o marchi.

Per proteggersi dal data poisoning, le organizzazioni possono impiegare robusti filtri dei dati, addestramento avversario, convalida degli input, monitoraggio e trasparenza del modello per identificare e mitigare l’impatto dei dati avvelenati.

Citations:
[1] Data Poisoning: The Essential Guide | Nightfall AI Security 101 https://www.nightfall.ai/ai-security-101/data-poisoning
[2] What is Data Poisoning & Why Should You Be Concerned? https://internationalsecurityjournal.com/data-poisoning/
[3] Papers with Code – Data Poisoning https://paperswithcode.com/task/data-poisoning

Quali sono alcuni esempi di attacchi basati sul data poisoning?

Esempi di attacchi di Data Poisoning includono:

1. **Sistemi di rilevazione di anomalie di rete**: Gli aggressori possono introdurre dati che riducono l’accuratezza dei modelli utilizzati per identificare attività di rete sospette, rendendo più difficile per il sistema riconoscere le vere minacce[1].

2. **Filtri antispam**: Gli attacchi di Data Poisoning possono essere diretti contro i filtri antispam, ad esempio, manipolando i dati in modo che il sistema non riconosca tentativi di accesso non autorizzati o violazioni della privacy[4].

3. **Sistemi di guida autonoma**: Un attacco di Data Poisoning potrebbe essere condotto su di un segnale stradale di “stop” semplicemente appiccicandoci sopra un adesivo, inducendo il sistema di AI dell’automobile ad interpretare erroneamente il segnale[7].

4. **Sistemi di underwriting assicurativo basati su AI**: Gli attacchi potrebbero portare a valutazioni di rischio errate, influenzando le decisioni su prezzi e coperture[2].

Per proteggere i modelli di AI dal Data Poisoning, è fondamentale adottare tecniche di difesa e strumenti di minimizzazione del rischio, come una buona tutela delle backdoor di accesso ai sistemi e lo sviluppo di AI più resilienti all’inquinamento dei dati[5].

Citations:
[1] Data poisoning, un pericolo per tutte le intelligenze artificiali – Cyber Security 360 https://www.cybersecurity360.it/outlook/data-poisoning-pericolo-ai/
[2] Che cos’è il data poisoning https://www.repubblica.it/tecnologia/2020/10/29/news/che-cos-e-il-data-poisoning-299481018/
[3] Avvelenare i modelli di AI: il Data Poisoning https://www.dirittoegiustizia.it
[4] Intelligenza artificiale e data poisoning: come “avvelenare” i dati https://www.diritto.it/intelligenza-artificiale-data-poisoning-avvelenare/
[5] Cos’è il Data Poisoning e come si può combattere? – WitIt https://www.witit.it/cose-il-data-poisoning-e-come-si-puo-combattere/
[6] Luca Andreola – Avvelenare i modelli di AI: il Data Poisoning – LinkedIn https://it.linkedin.com/posts/lucaandreola_avvelenare-i-modelli-di-ai-il-data-poisoning-activity-7163125709471789058-VDJ6
[7] Cos’è il Data Poisoning e perché merita immediata attenzione? https://www.ainewnormal.com/cultura/%5B8%5D-po.html
[8] toxicity data – Traduzione in italiano – Dizionario Linguee https://www.linguee.it/inglese-italiano/traduzione/toxicity+data.html

27 Settembre 201727 Settembre 2017

Kaspersky Lab – come agiscono i gruppi criminali per realizzare attacchi complessi a basso costo

Economici ma pericolosi: come agiscono i gruppi criminali per realizzare attacchi complessi a basso costo

I ricercatori di Kaspersky Lab hanno rilevato una nuova e importante tendenza per quel che riguarda il modus operandi dei gruppi criminali più sofisticati. Questi gruppi criminali utilizzano sempre meno tecniche di attacco sofisticate e costose come le vulnerabilità zero day, per avvalersi piuttosto di campagne di ingegneria sociale estremamente mirate che vengono combinate con tecniche malevole conosciute ed efficaci. Così facendo, sono in grado di sfruttare campagne dannose difficili da individuare utilizzando le ordinarie soluzioni di sicurezza aziendali.

Questo cambiamento di strategia dei gruppi criminali dimostra che, in generale, le infrastrutture IT delle organizzazioni moderne hanno delle vulnerabilità che consentono ai criminali di utilizzare strumenti di attacco relativamente poco costosi per raggiungere i loro obiettivi. Microcin è una campagna dannosa recentemente rilevata dagli specialisti di Kaspersky Lab, che rappresenta quello che viene definito un attacco economico ma pericoloso.

Tutto ha avuto inizio quando la Kaspersky Anti Targeted Attack Platform (KATA) ha rilevato un file RTF sospetto. Il file includeva un exploit (malware che sfrutta le vulnerabilità di sicurezza dei software più utilizzati per installare componenti dannosi aggiuntivi) di una vulnerabilità nota e già risolta di Microsoft Office. Non è raro che i criminali informatici utilizzino exploit di vulnerabilità note per infettare le vittime con malware distribuiti in maniera massiccia, ma come dimostra una ricerca più approfondita, questo particolare file RTF non appartiene ad un’altra grande ondata di infezioni, ma ad una più sofisticata campagna mirata.

[amazon_link asins=’1593272901,B071GHHDS2,1118825098,B0170LWL08′ template=’ProductCarousel’ store=’antoniosavare-21′ marketplace=’IT’ link_id=’ca5303ef-a362-11e7-be31-69b21152f77e’]

Il documento di spear-phishing sospetto è stato distribuito attraverso alcuni siti rivolti ad un gruppo specifico di persone: forum in cui venivano discusse questioni legate all’ottenimento di alloggi sovvenzionati. Si tratta di un’esenzione disponibile principalmente per i dipendenti delle organizzazioni governative e militari di Russia e di altri Paesi limitrofi.

Quando viene attivato l’exploit, un malware con una struttura modulare viene installato sul computer preso di mira. L’installazione del modulo viene eseguita tramite un’iniezione dannosa all’interno di iexplorer.exe; e l’esecuzione automatica di questo modulo viene completata tramite il dll-hijacking. Entrambe sono tecniche note che vengono utilizzate ampiamente.

Infine, quando il modulo principale è stato installato, alcuni moduli aggiuntivi vengono scaricati dal server di comando e controllo. Almeno uno di essi utilizza la steganografia – la pratica di nascondere informazioni all’interno di file apparentemente non dannosi, come ad esempio le immagini e questa rappresenta un’altra tecnica pericolosa per trasferire dati rubati.

Una volta che l’intera piattaforma maligna è stata implementata, il malware cerca i file con estensioni .doc, .ppt, .xls, .docx, .pptx, .xlsx, .pdf, .txt e .rtf., che vengono quindi inseriti in un archivio protetto da password e trasferito ai criminali. I criminali, durante l’attacco, oltre ad utilizzare infezioni note e tecniche di movimento laterale utilizzano in modo attivo backdoor note che sono già state rilevate in attacchi precedenti e impiegano strumenti legittimi creati per effettuare test di penetrazione e che generalmente non sono riconosciuti come malevoli dalle soluzioni di sicurezza.

“Se analizziamo l’attacco suddividendolo in singole parti può addirittura dare l’impressione di essere poco pericoloso. Quasi ogni componente, infatti, è stato ben documentato ed è facile da individuare. Tuttavia, vengono combinati tra loro in modo tale che l’attacco diventi difficile da rilevare. Inoltre, questa campagna dannosa non è unica nel suo genere. Sembra che anche alcuni criminali di cyber spionaggio abbiano spostato l’attenzione dalla creazione di strumenti dannosi difficili da individuare, alla pianificazione e realizzazione di operazioni sofisticate che non comportano l’utilizzo di malware complessi ma che sono ugualmente pericolosi“, ha dichiarato Alexey Shulmin, analista di malware di Kaspersky Lab.

Per proteggere l’infrastruttura IT da attacchi come Microcin, gli esperti di Kaspersky Lab consigliano alle organizzazioni di utilizzare strumenti di sicurezza che consentano di individuare operazioni dannose piuttosto che software dannosi.

Soluzioni così complesse, come Kaspersky Anti-Targeted Attack Platform, comprendono non solo le tecnologie di protezione degli endpoint, ma anche tecnologie che consentono di monitorare e correlare i singoli eventi rilevati all’interno delle diverse parti della rete aziendale, identificando così i modelli maligni presenti negli attacchi mirati sofisticati.

I prodotti Kaspersky Lab rilevano e bloccano con successo Microcin e le altre campagne simili.

I dettagli della campagna di Microcin si trovano sul blog Securelist, che include anche ulteriori informazioni tecniche sull’attacco

28 Giugno 2016

L’Italia è terreno fertile per hacker e malware

Secondo i dati Threat Index di maggio 2016, l’Italia è il secondo paese in Europa più colpito, mentre il malware bancario Tinba fa capolino tra i top 3 malware più diffusi

Check Point® Software Technologies Ltd. (NASDAQ: CHKP) pubblica l’ultima versione del Threat Index, che mostra un forte aumento a maggio, pari al 15%, delle varianti di malware attive a livello mondiale. Tra i paesi più minacciati l’Italia, seconda classificata in Europa, e trentesima a livello mondiale. Le minacce più significative rispecchiano le passioni dell’italiano medio: smartphone e siti di networking. Arrivano infatti da Conficker, worm che all’inizio della sua diffusione sceglie le sue vittime proprio su questo tipo di siti, come Facebook e Skype, e da Hummingbad, il malware nemico di Android. In ascesa le minacce bancarie: al terzo posto, infatti, spunta anche in Italia Tinba, il trojan che sfrutta l’exploit kit BlackHole e attacca principalmente i correntisti italiani e polacchi.

Check Point ha rilevato 2.300 diverse varianti di malware attive, che hanno attaccato le reti delle aziende durante il mese di maggio. Per il secondo mese di fila, i ricercatori hanno evidenziato un aumento delle singole varianti di malware, dato che già in aprile si era registrato un aumento del 50%. La crescita continua del numero di varianti di malware attive evidenzia la vasta portata delle minacce, e quindi delle sfide che i reparti di sicurezza informatica affrontano, quando prevengono un attacco ai dati riservati delle aziende.

Tra le minacce più temibili a livello mondiale:

Se, da un lato, Conficker è sempre il malware più usato nell’arco del periodo, il malware bancario Trojan Tinba è emerso come la seconda forma di infezione più utilizzata nel mese scorso, permettendo agli hacker di rubare le credenziali delle vittime attraverso web-injection, che vengono attivati quando gli utenti cercano di effettuare il log-in sui siti web bancari.

Gli attacchi contro i dispositivi mobili sono stati costanti, il malware Android HummingBad è ancora nella top 10 degli attacchi malware. Nonostante sia stato scoperto dai ricercatori di Check Point soltanto lo scorso febbraio, in breve tempo è diventato molto frequente, dimostrando che gli hacker vedono i dispositivi mobili Android come una falla di debolezza nella sicurezza delle aziende e come bersagli potenzialmente ad alta resa.

“Rileviamo costantemente un’impennata del numero di varianti di malware attive contro le reti aziendali, che è esemplificativo dell’impegno che gli hacker stanno dedicando a creare nuovi attacchi zero-day, oltre a dimostrare l’importanza della sfida che le aziende affrontano difendendo le loro reti dai cybercriminali”, dichiara Nathan Shuchami, head of threat prevention di Check Point. “Le organizzazioni devono valutare l’applicazione di soluzioni advanced threat prevention per le proprie reti, per gli endpoint, e per i dispositivi mobili, al fine di bloccare i malware allo stadio pre-infettivo, e garantire una sicurezza effettiva contro le minacce più moderne”.

A maggio, la variante più diffusa è stata Conficker, responsabile del 14% di tutti gli attacchi riconosciuti; mentre, le minacce che si posizionano al secondo e al terzo posto, Tinba e Sality, hanno causato ciascuna il 9% degli attacchi. Le varianti nella top ten hanno causato il 60% di tutti gli attacchi riconosciuti.

↔ Conficker – Worm che consente operazioni da remoto, download di malware e furto di credenziali disattivando i sistemi di sicurezza di Windows Microsoft. Le macchine infettate vengono controllate da una botnet, che contatta il server Command&Control, pronta a ricevere istruzioni.

↑ Tinba – Conosciuto anche come Tiny Banker o Zusy, Tinba è un trojan bancario che ruba le credenziali delle vittime sfruttando le web-injection. Si attiva non appena l’utente cerca di effettuare il log in sul sito web della propria banca.

↓ Sality – Virus che colpisce le piattaforme Windows e permette di eseguire operazioni da remoto e download di altri malware nei sistemi infetti. A causa della complessità e della facilità di adattamento che lo contraddistinguono, Sality è considerato da molti uno dei più pericolosi malware diffusi fino ad oggi.

Le varianti di malware per i dispositivi mobili sono sempre una grande minaccia per i dispositivi delle aziende, e il mese di maggio non ha fatto eccezione, con sei new entry tra le 100 varianti di malware più diffuse. La maggior parte di queste attacca Android, ma continua anche il trend già riscontrato in aprile, con diverse minacce rivolte al sistema iOS. Le tre varianti di malware per dispositivi mobili più pericolose sono state:

↔ HummingBad – Malware Android che istalla un rootkit persistente sul dispositivo, oltre a applicazioni fraudolente e, con poche modifiche, potrebbe innescare altre attività malevole, come l’installazione di key logger, il furto di credenziali, e scavalcare i sistemi di crittografia delle email utilizzati dalle aziende.

↔ Iop – Malware Android che consente di installare applicazioni e che visualizza pubblicità eccessiva utilizzando l’accesso root del dispositivo mobile. La quantità di annunci e applicazioni installate rende difficile per l’utente continuare a utilizzare il dispositivo come al solito.

↔ XcodeGhost – Una versione compromessa della piattaforma di sviluppo iOS Xcode. Questa versione non ufficiale di XCode è stata alterata, e inietta codice malevolo in tutte le app che sono state sviluppate e assemblate basandosi su questo servizio. Il codice iniettato invia le informazioni sull’app a un server C&C, consentendo all’app infetta di leggere la clipboard del dispositivo.

Il Threat Index di Check Point

Il threat index di Check Point si basa sulla threat intelligence della ThreatCloud World Cyber Threat Map, che monitora come e dove si stanno svolgendo i cyberattacchi nel mondo in tempo reale. La Threat Map si avvale dell’intelligence ThreatCloud^TMdi Check Point, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud contiene più di 250 milioni di indirizzi, che vengono analizzati per scoprire bot, più di 11 milioni di firme di malware e più di 5 milioni e cinquecentomila siti web infetti, e ogni giorno individua milioni di varianti di malware.

27 Aprile 2016

Bancomat – rischio malware!

Gli esperti di Kaspersky Lab hanno scoperto che i bancomat sono a rischio!

È possibile accedere illegalmente a quasi tutti i bancomat al mondo e sbancarli con o senza l’aiuto di malware. Secondo una ricerca condotta dagli esperti di Kaspersky Lab, questo è dovuto all’uso diffuso di software vecchi o non protetti, ad errori nella configurazione di rete e ad una mancanza di una protezione fisica.

Per molti anni la più grande minaccia sono stati gli skimmer, dispositivi speciali collegati a un bancomat per rubare i dati dalle bande magnetiche delle carte di credito. Le tecniche malevole si sono evolute e i bancomat sono stati esposti a maggiori pericoli. Nel 2014, i ricercatori di Kaspersky Lab hanno scoperto Tyupkin, uno dei primi esempi di malware per bancomat ampiamente conosciuto, e nel 2015 hanno rilevato Carbanak, che, tra le altre cose, è in grado di sbancare un bancomat attraverso l’infrastruttura compromessa della banca. Entrambi gli esempi di attacco sono stati realizzati sfruttando molte debolezze comuni nella tecnologia bancomat e nell’infrastruttura che li supporta.

Nel tentativo di mappare tutte le problematiche di sicurezza dei bancomat, gli specialisti nei test di penetrazione di Kaspersky Lab hanno portato avanti una ricerca basata sull’analisi di attacchi reali e sui risultati delle valutazioni di sicurezza dei bancomat di numerose banche internazionali.

Problemi software

Come risultato della ricerca, gli esperti hanno dimostrato che gli attacchi malware contro i bancomat sono possibili principalmente a causa di due problematiche di sicurezza:

Tutti i bancomat sono PC che installano versioni molto vecchie dei sistemi operativi come Windows XP. Questo li rende vulnerabili a infezioni con malware PC e attacchi attraverso exploit. Nella maggior parte dei casi, il software che permette al PC del bancomat di interagire con l’infrastruttura della banca e le unità hardware, elaborando l’erogazione di contanti e le operazione delle carte di credito, è basato sullo standard XFS. Questa è una caratteristica tecnologica piuttosto vecchia e non protetta, creata originariamente per standardizzare il software dei bancomat, così da poter lavorare con qualsiasi dotazione indipendentemente dal produttore. Il problema è che lo standard XFS non richiede autorizzazione per i comandi che esegue, questo significa che ogni app installata o eseguita sul bancomat può inviare comandi a qualsiasi altra unità hardware del bancomat, compreso il lettore di carte e l’erogatore di banconote. Nel caso in cui un malware infetti un bancomat, avrà funzionalità praticamente illimitate di controllo dello stesso: potrà trasformare il PIN pad e il lettore di carte in skimmer ‘nativi’ o erogare tutto il denaro del bancomat grazie a un comando dell’hacker.

Sicurezza fisica

In molti casi analizzati dai ricercatori di Kaspersky Lab, i criminali non hanno dovuto usare i malware per infettare il bancomat o la rete della banca a cui era collegato. Questo è stato possibile a causa della mancanza di sicurezza fisica degli stessi bancomat, una problematica molto comune a questi dispositivi. Sovente i bancomat sono realizzati e installati in modo che una terza parte possa facilmente accedere al PC integrato nel bancomat o al cavo di rete che connette la macchina a Internet. Ottenendo anche un accesso parziale al bancomat, i criminali potenzialmente possono:

Un centro di elaborazione falso è un software che analizza i dati di pagamento ed è identico al software della banca, a parte il fatto che non appartiene alla banca. Una volta che il bancomat è ricollegato al centro di elaborazione fasullo, i criminali informatici possono eseguire qualsiasi comando vogliano e il bancomat li eseguirà.

Come evitare che i bancomat siano sbancati

“I risultati della nostra ricerca dimostrano che sebbene i vendor ora stiano cercando di sviluppare bancomat con elevate caratteristiche di sicurezza, molte banche stanno ancora utilizzando modelli non sicuri e questo li rende impreparati ad affrontare i criminali che invece sfidano la sicurezza di questi device. Questa è la realtà di oggi che provoca sia alle banche sia ai clienti enormi perdite finanziarie. Dal nostro punto di vista questo è il risultato di una falsa credenza di lunga data, secondo la quale i cyber criminali sono interessati solo ad attacchi informatici contro l’Internet banking anche se assume sempre più valore la possibilità di sfruttare le vulnerabilità,perché gli attacchi diretti a questi dispositivi accorciano in modo significativo la strada verso il denaro”, ha dichiarato Morten Lehn, General Manager di Kaspersky Lab Italia.

Sebbene i problemi di sicurezza elencati sopra molto probabilmente sono comuni in tutto il mondo, non significa che la situazione non possa essere risolta. I produttori di bancomat possono ridurre il rischio di un attacco implementando queste misure:

In primo luogo, è necessario rivedere lo standard XFS con una maggiore attenzione alla sicurezza e introdurre l’autenticazione a due fattori tra dispositivi e software legittimi. Questo aiuterà a ridurre le probabilità di prelievi di denaro non autorizzati, usando trojan e attacker e ottenendo un controllo diretto sulle unità bancomat.
In secondo luogo, è necessario implementare l’authenticated dispensing per escludere la possibilità di attacchi attraverso falsi centri di elaborazione.
Infine, è necessario implementare la protezione crittografica e il controllo di integrità sui dati trasmessi tra tutte le unità hardware e il PC all’interno del bancomat.

Per avere ulteriori informazioni sulla sicurezza dei bancomat è disponibile un articolo di Olga Kochetova su Securelist.com: https://securelist.it/pubblicazioni/61261/malware-and-non-malware-ways-for-atm-jackpotting-extended-cut

4 Giugno 2014

GameOver Zeus: smantellata rete di PC zombie

Operazione senza precedenti in 11 paesi. Trend Micro mette a disposizione uno strumento gratuito per rimuovere i malware incriminati

Milano, 3 Giugno 2014 – Trend Micro, leader globale nella sicurezza per il cloud, ha collaborato attivamente a quella che è stata ribattezzata GameOverZeus, un’operazione senza precedenti che ha visto le Forze dell’Ordine di 11 paesi in tutto il mondo collaborare con le aziende di security per porre fine alle attività criminali di due famiglie di malware tra le più pericolose: Cryptolocker e P2PZeuS.

L’operazione, guidata da FBI ed Europol, è iniziata venerdì 30 maggio ed è stata condotta in Italia dalla Polizia Postale che ha smantellato con successo una rete composta da circa 10.000 computer infetti.

Cryptolocker è un malware che blocca il computer degli utenti, crittografa tutti i file rendendoli inutilizzabili e inaccessibili fino a quando non viene pagato un riscatto, che si aggira attualmente intorno ai 600 dollari.

P2PZeuS è un sofisticato malware bancario, progettato per impossessarsi delle credenziali finanziarie delle vittime. Entrambi avevano colpito in tutto il mondo mettendo a segno colpi da milioni di euro.

Trend Micro mette a disposizione uno strumento gratuito che permette di verificare se i propri sistemi sono infetti da queste due malware e, nel caso, rimuoverli:

Per i sistemi a 32 bit
Per i sistemi a 64 bit

Ulteriori informazioni sono disponibili dal blog Trend Micro