Dicono di noi

Italia-Israele, tutte le opportunità della cooperazione: «Si può fare molto di più»

Italia-Israele, tutte le opportunità della cooperazione: «Si può fare molto di più»

Articolo di Jacopo G. Belviso, per Il Messaggero, del 11/10/2018

 

Promuovere, affermare ed incrementare le relazioni economiche e culturali tra lo Stato di Israele e l’Italia. E’ questo uno dei tempi al centro del convegno “Innovazione e Start up – Le nuove imprese tra Italia e Israele” che si è tenuto a Roma. L’iniziativa è stata organizzata dalla Camera Nazionale per l’impresa Italia-Israele, un’organizzazione privata senza scopo di lucro nata proprio con l’obiettivo di sviluppare e favorire le relazioni tra i due stati e tra le loro imprese.

«In Israele ci sono 310 multinazionali che hanno aperto dei centri per la ricerca e per lo sviluppo – ha sottolineato Ofer Sachs, Ambasciatore d’Israele in Italia e presso la Repubblica di San Marino – e tra queste ci sono Intesa Sanpaolo ed Enel, ma vorremmo vedere più aziende italiane nel nostro Paese. Israele e l’Italia collaborano in vari settori dall’economia al commercio. Dagli Anni Ottanta il nostro Stato è divenuto leader nella spesa sulla ricerca e l’innovazione ed, infatti, oggi è considerato un hub in questo settore. Girando spesso l’Italia ho visto grandi opportunità di collaborazione ed è chiaro che non stiamo sfruttando abbastanza le potenzialità offerte dalla new economy. Per farlo bisogna individuare quali sono i settori in cui i due stati sono complementari, dando vita così ad una più stretta cooperazione. L’Italia si deve rendere conto che può diventare per Israele un ponte verso il mercato europeo».

«Israele rappresenta un isola felice ed è un ponte naturale verso L’Europa e l’Italia – ha evidenziato il presidente della Camera Nazionale per l’Impresa Italia Israele, Luca Felletti – e le aziende israeliane sono profondamente assetate di una sponda di mercato grazie ad un’efficiente tecnologia. La formula che vogliamo promuovere  è l’unione tra la tecnologia israeliana e il sistema industriale italiano. Un binomio che può funzionare non soltanto per il raggiungimento di obbiettivi a breve periodo ma anche per quelli di medio o lungo termine. Abbiamo bisogno di persone-ponte, che credano e valorizzino i giovani, che sono una risorsa importante per chi vuole investire e per tutte le imprese italiane. Ai giovani bisogna dire che oltre al testo su cui bisogna studiare, bisogna costruirsi un contesto, che deve essere riempito di sani principi. Oggi viviamo una fase in cui ciò che si richiede è una elevata competenza, strettamente collegata ad una grandissima attenzione per la competizione. Ma questa sarà utile soltanto se esisterà una forte cooperazione. E’ questo l’obiettivo della Camera, aiutare i nostri imprenditori a lavorare in maniera bidirezionale: fare business in Israele ed attrarre business in Italia».

Tra i presenti anche il Ministro plenipotenziario Fabrizio Nicoletti, che dal 2017 ricopre la funzione di Direttore centrale per la Ricerca e l’innovazione presso la Direzione Generale per la Promozione del Sistema Paese del Ministero degli Affari Esteri e della Cooperazione Internazionale. Nel suo intervento è stato affrontato il tema degli scambi tra i due Paesi nell’ambito della ricerca scientifica, tecnologica ed industriale soffermandosi sulle azioni messe in campo dal Ministero degli Affari Esteri per intensificare i rapporti in tali settori. «L’accordo di cooperazione industriale tra Italia ed Israele firmato nel 2000 – spiega Nicoletti – e finanziato per parte italiana con 2,3 milioni di euro rappresenta uno degli strumenti che contribuisce maggiormente alla crescita dei rapporti bilaterali nel settore della ricerca scientifica e dell’innovazione industriale”.

Sul tema della cybersecurity l’ex Ministro degli Esteri e presidente di Cybaze, Giulio Terzi di Sant’Agata, ha sottolineato l’importanza strategica della partnership Italia-Israele: «Oggi Israele è il paese al quale l’Europa deve guardare per poter trarre vantaggio dall’indiscusso primato scientifico en tecnologico, soprattutto nell’ambito della cybersicurezza in cui ripagano molte sfida da affrontare. Grazie all’Accordo bilaterale, il nostro paese è riuscito a promuovere circa 200 progetti e svariare attività, anche nel quadro dei programmi Europei».

La nazionale italiana è di cyberdefender, cioé hacker che studiano come proteggerci dalle cyber aggressioni.

Giovani ed etici, ecco la nazionale italiana hacker

Articolo di Titti Santamato – ANSA, ripreso da voce.com il 03/10/2018

LUCCA. – Christian è uno studente del quinto anno di un istituto professionale di Fondi, Latina, è appassionato di sicurezza del web e nel tempo libero vede serie tv da nerd. Lorenzo è di Genova e frequenta il quinto anno del liceo scientifico, è un informatico autodidatta e quando non studia si esercita come polistrumentista. Qian Matteo Chen è uno studente di Informatica a La Sapienza di Roma, passa i fine settimana facendo gare informatiche e nel tempo libero dorme.

Sono solo una piccola parte della squadra di 10 giovanissimi della nazionale italiana hacker che rappresenterà il nostro paese ai Campionati europei di informatica (Ecsc) che si terranno a Londra dal 14 ottobre. Una sfida a colpi di crittografia, sicurezza del web e dei sistemi ‘mobile’, analisi dei malware, quei virus malevoli che mettono sotto scacco i nostri dispositivi, che vedrà impegnate 17 squadre di altrettanti paesi. Il tutto all’insegna dell’etica.

La nazionale italiana è di cyberdefender, cioé hacker che studiano come proteggerci dalle cyber aggressioni. E’ composta da cinque giovani di categoria junior (15-20 anni) e cinque di categoria senior (20-24 anni). Il capitano è Giovanni Schiavoni, 22 anni, “tra i più anziani del gruppo”, che è stato già precettato da Google per la sede di Zurigo.

Come ogni squadra che si rispetti, gli hacker azzurri sono stati in ritiro in questi giorni a Lucca, ospiti della Scuola Imt Alti Studi in cui si sono allenati. I loro coach, poco più grandi di loro, sono Marco Squarcina, ricercatore alla Ca’ Foscari di Venezia che a giorni sarà assistent professor al Politecnico di Vienna, da quasi 10 anni si occupa di competizioni di cybersecurity. Emilio Coppa, ricercatore all’Università di Roma La Sapienza, specializzato in tecniche automatiche per l’individuazione di difetti nel software. Lorenzo Veronese, studente della Laurea Magistrale presso l’Università Ca’ Foscari di Venezia.

Gli sponsor della nazionale sono Cybaze e Yoroi. “Siamo hacker che lavorano nella legalità, siamo bravi e preparati, tutto questo è il frutto del percorso di formazione avanzata sulla sicurezza informatica”, spiega Squarcina. “Abbiamo scelto tra 160 ragazzi, li abbiamo selezionati con test di logica e programmazione, vogliamo intercettare le menti più fresche e indirizzarle verso la cyberscurity”, aggiunge Coppa.

Nel tempo libero e per rilassarsi gli azzurrini scassano lucchetti (metafora dell’hacking), non hanno mai voluto mai fare una pausa durante gli allenamenti sono “fieri di rappresentare il nostro paese”. Sono sui social network, ma la metà li usa passivamente, solo per guardare. Usano quasi tutti il sistema operativo Linux.

I ragazzi sfideranno gli altri team europei, nell’arduo compito di risolvere problemi di sicurezza informatica nel contesto della rivoluzione digitale dei nostri tempi che, come l’attualità insegna, sta mettendo a dura prova i nostri dati personali. Solo pochi giorni fa Facebook ha reso noto un attacco che ha compromesso almeno 50 milioni di profili del social network più usato al mondo.

“Era difficile trovare questa vulnerabilità chi l’ha trovata non è stato etico ma è stato bravo a trovare un ago nel pagliaio”, osserva Jacopo, uno dei ragazzi. L’Italia partecipa per la seconda volta a questa sfida europea dopo avere conquistato, lo scorso anno, la medaglia di bronzo nelle competizioni a Malaga, in Spagna. Il compito di formare la nazionale di cyberdefender è stato affidato al Cini, il consorzio interuniversitario nazionale per l’informatica.

“Stiamo cercando di mettere in piedi una rete di cyber range così gli studenti possono allenarsi e condividere le competenze, è una struttura che non c’è in nessun paese”, spiega Paolo Prinetto, presidente del Cini e direttore del Laboratorio Nazionale di Cybersecurity. Il Cini sta lavorando anche ad una squadra femminile di hacker. Lo scorso anno si sono iscritte alla Cyberchallenge 1900 candidati, il 10% erano donne. Ancora poche.

I campionati europei di sicurezza informatica si svolgono all’interno del National Cyber Security Program, l’iniziativa è supportata dall’Enisa, l’Agenzia Europea per la sicurezza delle reti e dell’Informazione. Alla nazionale italiana hacker sono arrivati gli auguri Roberto Baldoni, vicedirettore generale Dis, il Dipartimento delle Informazioni per la Sicurezza, in pratica il cyber zar italiano.

Hacker 'buoni' a Imt: presto centri di allenamento stabili

Nazionale italiana cyberdefender: gli hacker buoni che si allenano all’IMT

Articolo di Eliseo Biancalana per lagazzettadilucca.it del 03/10/2018

Giovani in campo per la sicurezza informatica. È la nazionale italiana di cyberdefender, gli “hacker buoni” che rappresenteranno l’Italia ai campionati europei di sicurezza informatica (Ecsc) che si terranno a Londra dal 14 ottobre prossimo. La nazionale si sta allenando in questi giorni all’IMT Alti Studi Lucca, dove si è tenuta la conferenza stampa di presentazione della squadra.

Il compito di formare la squadra italiana è stato affidato al Cini (Consorzio interuniversitario nazionale per l’informatica) dal Nucleo per la Sicurezza Cibernetica Nazionale costituito presso il Dipartimento delle informazioni per la sicurezza (Dis), che opera a supporto del Presidente del Consiglio. I campionati europei si terranno nella capitale del Regno Unito dal 14 al 18 ottobre e sono promossi dalla Commissione Europea e dall’Agenzia europea per la sicurezza delle reti dell’informazione. La nazionale italiana è composta da cinque giovani di categoria junior (14-20 anni) e cinque di categoria senior (21-25 anni). All’IMT i giovani hanno seguito un programma di allenamento intensivo, che è iniziato domenica 30 settembre e che si concluderà giovedì 4 ottobre.

La conferenza stampa è stata moderata dal giornalista ed esperto di tematiche digitali Arturo di Corinto, che è responsabile comunicazione del laboratorio nazionale di cyber security del Cini. A fare gli onori di casa è stato il professor Rocco De Nicola, ordinario di informatica a IMT e esperto in linguaggi di programmazione e sistemi distribuiti, che ha spiegato che Lucca è stata scelta come luogo per l’allenamento perché si tratta di una città “accogliente”. Il professor Paolo Prinetto, presidente del Cini, ha poi illustrato l’attività del Consorzio nell’ambito della diffusione delle tematiche della cyber-difesa, sottolineando le peculiarità dell’approccio italiano che punta sulla formazione dei giovani. Presenti anche gli amministratori delegati delle società sponsor della nazionale, Marco Ramilli (Yoroi srl) e Marco Castaldo (CSE Cybsec spa), che hanno espresso il loro sostegno ai ragazzi per i prossimi campionati. La squadra è allenata dai ricercatori Emilio Coppa e Marco Squarcina, che hanno lavorato soprattutto per far crescere lo spirito di gruppo tra i ragazzi, già di loro molto preparati sul piano tecnico. I coach si sono detti molto convinti delle qualità dei loro giovani, ricordando i successi ottenuti al “Def Con Ctf”, importante competizione internazionale di sicurezza informatica. Antonio Varriale ha invece spiegato ai membri del team il rapporto tra cyber security e hardware.

Variegata la provenienza della squadra, i cui membri arrivano da diversi atenei della penisola. Rispondendo alle domande dei giornalisti, i giovani hanno dimostrato al tempo stesso competenza e simpatia. Unico neo, l’assenza di elementi femminili. Riguardo a questo aspetto, il Cini sta mettendo in campo delle iniziative per cercare di avvicinare più ragazze alle tematiche della cyber security.

Di seguito le biografie ufficiali dei membri e dei coach della nazionale italiana cyberdefender.

### Membri

Andrea Biondo: studente al primo anno della Laurea Magistrale in Informatica all’Università  degli Studi di Padova. Fa ricerca in sicurezza informatica, in particolare per quanto riguarda la system security e l’analisi di codice, e va a caccia di bug bounty. Ha presentato i suoi lavori a conferenze come Black Hat, NDSS e USENIX
Security. Partecipa spesso a competizioni CTF con la squadra “spritzers” di UniPd, specializzandosi in binary exploitation e reverse engineering, e ha partecipato con i “mhackeroni” alle finali di DEF CON CTF 2018. Con la squadra di Padova ha ottenuto il primo posto alla finale di CyberChallenge.IT 2018.

Riccardo Bonafede: studente di Ingegneria Informatica dell’Università  di Padova. È interessato a vari campi della sicurezza informatica, motivo per cui partecipa con le squadre spritzers e mhackeroni a diverse competizioni internazionali. Nel 2018 ha preso parte al progetto CyberChallenge.IT, classificandosi al primo posto con la propria squadra nelle finali nazionali.

Qian Matteo Chen: studente di Informatica dell’Università  La Sapienza di Roma. Appassionato di programmazione e crittografia, spende i fine-settimana gareggiando con i TheRomanXpl0it (un gruppo di amici di Roma e dintorni). La sua passione lo ha portato prima a Parigi e Malaga, poi a Milano e Las Vegas insieme ai mhackeroni. Nel tempo libero dorme.

Christian Cotignola: uno studente del quinto anno presso l’ITT A. Pacinotti di Fondi. E’ un grande appassionato di algoritmi e CyberSecurity, È stato finalista OII e ha partecipato al progetto CyberChallenge.IT all’università La Sapienza di Roma. Passa ore ed ore facendo esercizi di problem solving in C++. E’ un appassionato di Web Security e Forensic Analysis. Nel tempo libero ama fare sport con gli amici e guardare serie TV da nerd.

Mauro Foti: studente appena diplomatosi al liceo scientifico Galileo Ferraris di Torino e iscritto al primo anno del corso di Ingegneria Elettronica al Politecnico di Torino. Ha partecipato al progetto CyberChallenge.IT nel 2018 con la squadra del PoliTo. Da questa esperienza è nato un gruppo, pwnthem0Le, attivo in diverse competizioni nazionali e internazionali. Nel tempo libero studia elettronica e programmazione e partecipa agli incontri del gruppo per discutere delle novità  in ambito CyberSecurity, scrivere codice per tool innovativi o semplicemente per risolvere qualche challenge tutti insieme.

Lorenzo Leonardini: studente del quinto anno del liceo scientifico G. D. Cassini di Genova. Fin da quando frequentava le scuole medie si è dedicato all’informatica come autodidatta e da quel momento non ha mai perso la passione per lo studio di nuovi linguaggi, tecnologie e framework. Nell’ultimo anno ha cominciato a interessarsi
anche di sicurezza informatica, partecipando al progetto CyberChallenge.IT presso l’Università  di Genova. Ha inoltre collaborato più volte con Scuola di Robotica e partecipato a due edizioni delle Olimpiadi Italiane di Informatica. Nel tempo libero si esercita come polistrumentista e si diletta nel fai da te.

Leonardo Nodari: studente della Laurea Magistrale in Informatica all’Università  di Padova. Fa parte del team Spritzers dal secondo anno di università  con il quale partecipa ai CTF, specializzato in Web. Lavora da libero professionista come sistemista e programmatore per alcune aziende del Nord Italia, focalizzandosi verso una carriera nella sicurezza informatica. Nei momenti di pausa trova sempre il tempo per un “buon” Z-movie.

Dario Petrillo: studente del primo anno di Ingegneria Informatica presso l’Università  La Sapienza di Roma. Ha partecipato alle Balkan Olympiad in Informatics nel 2017 e 2018 ottenendo due medaglie di bronzo. Avvicinatosi alla sicurezza informatica con il programma CyberChallenge.IT nel 2017, fa parte del team TheRomanXpl0it, specializzandosi principalmente in reverse engineering. Ha inoltre partecipato alle finali del DEF CON CTF 2018 nella squadra italiana mhackeroni.

Jacopo Tediosi: studente recentemente diplomato in informatica presso l’Itis G. Caramuel di Vigevano (PV). Appassionato di tecnologie, è iscritto al primo anno di Sicurezza di sistemi e reti informatiche all’Università  Statale di Milano. La squadra del Politecnico di Milano con la quale ha partecipato a CyberChallenge.IT si è qualificata
seconda alle finali nazionali. Nel suo tempo libero si dedica alla ricerca di vulnerabilità  e all’approfondimento di temi di sicurezza informatica e programmazione.

Giovanni Schiavon: ha completato la Laurea Triennale in Ingegneria Informatica al Politecnico di Milano. Al Politecnico di Milano fa parte da 3 anni del team Tower of Hanoi, giocando CTF e partecipando a diverse finali internazionali quali RuCTF17 e RuCTF18. Con il team italiano mHackeroni ha partecipato alle finali del DEFCON CTF nel 2018, ottenendo il settimo posto. Appassionato di informatica e hacking nel senso di esplorazione e thinkering con informatica e elettronica. Nello specifico, l’area di specializzazione è binary exploitation e reverse engineering.

### Allenatori

Marco Squarcina: assegnista di ricerca presso l’Università Ca’ Foscari Venezia dove ha conseguito un dottorato in Informatica nel 2018. I suoi interessi di ricerca si concentrano sulla sicurezza Web e sulla crittografia applicata. È autore di articoli scientifici pubblicati nelle maggiori conferenze del settore come NDSS, USENIX Security e IEEE CSF. Da quasi 10 anni si occupa di competizioni di cybersecurity sia come partecipante che come organizzatore: è membro fondatore del team di Ca’ Foscari c00kies@venice e fra i fautori della squadra mhackeroni con la quale ha partecipato alle finali del DEF CON CTF 2018 a Las Vegas. È membro del comitato tecnico nazionale per il progetto CyberChallenge.IT e, per il secondo anno consecutivo, alla guida della squadra nazionale italiana impegnata nella European Cyber Security
Challenge (ECSC) organizzata dall’ENISA.

Emilio Coppa: assegnista di ricerca presso l’Università  di Roma La Sapienza, dove ha conseguito nel 2012 una Laurea Magistrale in Ingegneria Informatica e nel 2015 un dottorato in Informatica. Le sue tematiche di ricerca riguardano tecniche automatiche per l’individuazione di difetti nel software. Fa parte del team che
organizza CyberChallenge.IT ed ha accompagnato la squadra nazionale italiana che si è classificata terza durante l’European Cyber Security Challenge 2017.

Lorenzo Veronese: studente della Laurea Magistrale presso l’Università  Ca’ Foscari Venezia. Negli ultimi anni ha partecipato attivamente a competizioni internazionali di sicurezza informatica ottenendo ottimi risultati come membro del team c00kies@venice. Ha partecipato alla European Cyber Security Challenge 2017 come parte del team nazionale, classificatosi in terza posizione e alle finali del DEF CON CTF 2018, ottenendo la settima posizione con il team italiano mhackeroni. I suoi principali interessi includono la sicurezza delle reti, la programmazione funzionale e la verifica formale dei programmi. Nel tempo libero pratica la breakdance assieme ad un gruppo di amici.

Attacco a Facebook, il giorno dopo: “Per precauzione cambiate subito la password”

Attacco a Facebook, il giorno dopo: “Per precauzione cambiate subito la password”

Articolo di Arturo Di Corinto, del 29/08/2018 per Republica.it

ROMA – Il giorno dopo l’ennesimo attacco ai danni di Facebook – che ha messo a rischio i dati di 90 milioni di utenti (50 i milioni di account direttamente interessati da un furto di dati personali con altri 40 che lo sarebbero stati indirettamente) parlano i vertici della difesa informatica del social e, soprattutto, parlano gli esperti. Che analizzano la falla (“era sotto gli occhi di tutti”) e cercano di capire, per quanto possibile al momento, che impatto reale potrà avere questo attacco alla privacy degli iscritti.

Guy Rosen, vice presidente della gestione prodotto di Facebook, ha detto che la vulnerabilità del codice sfruttata per portare a termine l’attacco è già stata risolta e che la cosa è stata presa molto seriamente ma che “non è necessario cambiare la propria password” (anche se molti esperti la pensano diversamente), aggiungendo che “le persone che hanno problemi ad accedere di nuovo a Facebook, ad esempio perché l’hanno dimenticata, dovrebbero tuttavia visitare il nostro Centro assistenza”.

La polizia federale americana, intanto, sarebbe stata subito avvisata ma per proteggere gli account e far sapere agli utenti cosa è successo si sta ancora indagando. In ottemperanza della direttiva europea sulla protezione dei dati personali (GDPR) sarebbe stata avvisata della violazione anche l’Autorità per la protezione dei dati personali in Irlanda dove Facebook ha la sua base europea.

Ma che cosa è successo esattamente? Da Menlo Park dicono di avere “reimpostato i token di accesso degli account interessati” e “di avere reimpostato le chiavi di accesso di altri 40 milioni di account”, e che per questo “circa 90 milioni di persone nell’accedere a Facebook riceveranno una notifica che spiega cosa è successo”.La piattaforma inoltre specifica di aver disattivato temporaneamente la funzione ‘Visualizza come’, quella che consente di visualizzare come ogni profilo viene visto dagli altri. La vulnerabilità che consente l’exploit, secondo Facebook, “deriva da una modifica apportata alla nostra funzione di caricamento di video a luglio 2017”.

Gli esperti terzi puntano il dito sui token, i passepartout. Secondo il professor Pierluigi Paganini, consulente dell’Agenzia Europea per la sicurezza informatica, Enisa, “stando alle informazioni attuali gli attaccanti hanno sfruttato una falla nel codice della piattaforma, in particolare una falla che consente l’accesso ai token utilizzati per autenticarsi alla piattaforma e attraverso cui è possibile prendere il possesso degli account associati”.

Ma cosa sono questi token di accesso? Sono come dei tesserini di riconoscimento che consentono agli utenti di accedere alle “segrete stanze” di Facebook. Il token d’accesso è una stringa di caratteri che contiene le informazioni necessarie ad identificare un utente specifico, o più in generale una qualunque applicazione. La cosa grave secondo Paganini è che “un attaccante in grado di rubare un token di accesso può assumere l’identità dell’utente Facebook a cui il token è associato ed agire al posto suo”.

“Il bug è di tipo logico ed era sotto il naso di tutti perché associato a una funzione molto usata. Ma la falla è probabilmente dovuta al crescere della complessità del codice software sottostante la piattaforma”, spiega Fabio Pietrosanti del Centro Hermes per i diritti digitali. Ma se il social ammette che “le indagini sono appena iniziate” sostiene pure che non è stato ancora determinato “se questi account sono stati utilizzati in modo improprio o se sono state carpite informazioni”.

Dice Giovanni Mellini, presidente dell’associazione Cybersaiyan e organizzatore di RomHack: “Io stesso sono stato disconnesso per ben quattro volte dalla piattaforma in seguito alle operazioni di correzione della falla da parte di Facebook. Il token è ciò che ti permette di autenticare ogni applicazione che usi per accedere alla piattaforma senza digitare la password e accedere al profilo Facebook e queste operazioni hanno invalidato i token potenzialmente compromessi. È importante però sottolineare che questo non significa che la propria identità è compromessa. Tuttavia come misura precauzionale cambierei subito la password. È importante sottolineare che una falla di questo tipo, anche se limitata a un sottoinsieme di utenti, ha un impatto gigantesco a causa del numero di utenti totali della piattaforma”.

Facebook ha detto non ha neppure idea di chi ci sia dietro questi attacchi né dove siano originati. “Sono più interessato a capire chi ha perpetrato l’attacco e perché, visto che riportare quella vulnerabilità vale 30.000 dollari per il Bug Bounty Program di Facebook, (il programma di individuazione dei difetti della piattaforma). Se non è stata denunciata potrebbe significare che gli attaccanti hanno trovato un modo migliore di monetizzare la falla”, ha dichiarato a Motherboard Zac Morris che ha lavorato nella divisione sicurezza di Facebook dal 2012 fino al 2016 facendosi portavoce di un’inquietudine diffusa tra gli addetti ai lavori. Una domanda che ha fatto subito sorgere teorie cospirazioniste secondo cui l’attacco potrebbe essere stato portato da nation state hacker, cioè attori criminali pagati dagli Stati.

Proprio ieri Facebook aveva confermato che gli inserzionisti che utilizzano la sua piattaforma possono accedere a informazioni ombra (shadow data) ovvero a dati presenti nel profilo utente per finalità differenti dalla mera partecipazione alla rete sociale. Secondo le università autrici della scoperta si tratterebbe dei numeri di telefono forniti a Facebook per accedere ai propri account in maniera sicura utilizzando l’autenticazione a due fattori, ovvero l’autenticazione che prevede l’invio al telefono dell’utente del codice di accesso. Numeri di telefono che potrebbero essere utilizzati per indirizzare in maniera chirurgica contenuti pubblicitari.

Hacker 'buoni' a Imt: presto centri di allenamento stabili

Hacker ‘buoni’ a Imt: presto centri di allenamento stabili

Articolo di Elisa Tambellini per Luccandiretta.it del 03/10/2018

Sono stati selezionati attraverso contest in otto sedi universitarie italiane, i dieci giovanissimi ‘hacker buoni’ della nazionale italiana che dal 14 e il 18 ottobre disputerà a Londra l’European cyber security challenge. E per prepararsi alla competizione – con l’obiettivo di vincerla, dopo la medaglia di bronzo dello scorso anno a Malaga – si sono dati appuntamento alla scuola di alti studi Imt di Lucca. Cinque di loro hanno tra i 17 e i 20 anni, gli altri cinque tra i 21 e i 24, e dallo scorso 30 settembre hanno trovato la nostra città un luogo accogliente e confortevole per la loro singolare ‘preparazione atletica’

Alcuni di loro frequentano ancora le scuole superiori, altri sono laureandi in ingegneria informatica. Una nazionale tutta al maschile – sebbene abbiano partecipato alla selezione circa 200 ragazze su 1900 concorrenti totali iscritti a CyberChallenge.it. Un dato non diverso da quello che si registra in Europa, che tuttavia ha fatto riflettere gli organizzatori, tanto che già dal prossimo anno si pensa a programmi di allenamento paralleli, per donne e per uomini, da tenersi proprio in Toscana. Con l’obiettivo, comunque, di formare una squadra di cyberdefender a servizio delle aziende e delle pubbliche amministrazioni italiane, realtà che quotidianamente gestiscono migliaia di dati sensibili. Tra le sfide più cogenti, impedire attacchi su piattaforme social, ambienti delicati e vere e proprie trincee di opinione che ‘funzionano’ attraverso continui conflitti tra utenti, col rischio organizzazioni terze possano influenzarne l’orientamento e determinare così un dato livello di percezione.

Il ritiro lucchese dei dieci giovani è stato voluto dal professor Rocco De Nicola, ordinario di informatica a Imt e membro della giunta amministrativa del Cini, il consorzio interuniversitario nazionale per l’informatica che organizza la competizione nazionale e del quale fanno parte 46 università pubbliche. “In questi giorni i ragazzi hanno lavorato imparando a condividere le conoscenze di ciascuno, scambiandosi best practice e puntando a un linguaggio comune, con motivazioni prima di tutto etiche: tra gli obiettivi della nazionale di cyberdefender – ha sottolineato De Nicola – c’è la promozione della pace e della democrazia tra i popoli, che oggi passa in gran parte dalla rete. È questa anche la missione dell’European cyber security challenge: dopo essersi contesi il titolo di nazionale più forte, le 19 squadre che vivranno l’esperienza londinese saranno chiamate a confrontarsi e a cooperare”. Una finalità ribadita anche da Paolo Prinetto, presidente del Cini, che oggi (3 ottobre) è voluto essere a Lucca per seguire da vicino i lavori degli hacker in ritiro. “Collaboriamo col dipartimento ministeriale per la sicurezza informatica. Della nostra squadra ha fatto parte anche Roberto Baldoni, oggi vicedirettore generale del dipartimento delle informazioni per la sicurezza, che ringrazio. Abbiamo molti progetti in cantiere – racconta Prinetto – tra cui un cyber ranger, una sorta di poligono di tiro permanente per l’addestramento degli hacker a servizio della sicurezza”. L’esperienza italiana è l’unica, in Europa, ad aver messo insieme università, centri di ricerca come il Cnr e realtà del mondo della telecomunicazione; e soprattutto è l’unica ad aver previsto una fase preparatoria alla competizione europea, con un processo selettivo così strutturato. Tra i successi già raggiunti, il settimo posto su 24 team partecipanti da tutto il mondo a Las Vegas della squadra Mhackaroni, nome che gioca sulla parola hacker e maccheroni, e che ha portato fortuna.

Ad allenare i dieci giovanissimi geni dell’informatica, Emilio Poppa e Marco Squarcina, che hanno sottolineato l’ottimo livello di partenza della squadra: “Ciascuno di loro ha portato valore aggiunto al gruppo – hanno detto – condividendo con gli altri una tematica particolare di cybersecurity approfondita. Oggi abbiamo realizzato un video, qua a Lucca, in cui ci presentiamo, sottolineamo la valenza etica del progetto, e che sarà messo online domenica”. L’operazione ha richiesto anche il supporto di due sponsor: CybSec, rappresentata dall’amministratore delegato Marco Castaldo, e Yoroi, di cui era presente uno dei fondatori, il giovane Marco Ramilli. Da loro, un incoraggiamento sentito alla nazionale italiana a non fermarsi, a entrare nel vivo delle questioni legate alla sicurezza informatica – un ambito che, dal teorico al pratico, presenta continue e stimolanti sfide intellettuali. Ha portato la sua esperienza nel settore hardware Antonio Varriale di Blue5, azienda italiana che da anni lavora nel sud est asiatico a servizio della sicurezza dei dati: “Queste esperienze sono talmente positive – ha detto Varriale – che entrarci in contatto mi fa venire voglia di tornare in Italia”. A Londra, i ‘nostri’ saranno chiamati a giocare a una sorta di Risiko digitale, prevedendo le mosse degli avversari e allestendo un’efficace barriera di difesa. E tra un allenamento e l’altro, durante questo ritiro lucchese, si sono concessi singolari momenti di relax: si chiama lock picking e consiste nel cercare di aprire un lucchetto con uno strumento inadatto a farlo. È una tecnica di meditazione, che favorisce i processi di analisi e problem solving. Un gioco, insomma, che potrebbe tornare utile in molti ambienti di lavoro – non necessariamente vocati alla salvaguardia della sicurezza dei dati informatici.

Questo attacco hacker ai token di accesso a Facebook va preso molto seriamente

Questo attacco hacker ai token di accesso a Facebook va preso molto seriamente

Articolo di Arturo Di Corinto per AGI.it del 29/09/2018

L’ennesimo attacco informatico ai danni di Facebook stavolta è andato a segno mettendo a rischio i dati di 90 milioni di utenti. Sono infatti 50 i milioni di account direttamente interessati da un furto di dati personali e altri 40 lo sarebbero stati indirettamente. Lo ha rivelato in un post pubblicato nella newsroom di Facebook lo stesso Guy Rosen, Vice Presidente della Gestione Prodotto dell’azienda confermando che l’attacco è stato accertato nel pomeriggio di martedì scorso 25 settembre.

Rosen ha anche detto che la vulnerabilità del codice sfruttata per portare a termine l’attacco è già stata risolta e che la cosa è stata presa molto seriamente ma che “non è necessario cambiare la propria password.” Ed ha aggiunto: “Le persone che hanno problemi ad accedere di nuovo a Facebook, ad esempio perché l’hanno dimenticata, dovrebbero tuttavia visitare il nostro Centro assistenza.”

Le polizia federale americana sarebbe stata subito avvisate ma per proteggere gli account e far sapere agli utenti cosa è successo si sta ancora indagando. In ottemperanza della direttiva europea sulla protezione dei dati personali (GDPR) sarebbe stata avvisata della violazione anche L’Autorità per la protezione dei dati personali in Irlanda dove Facebook ha la sua base europea.

Cosa è successo esattamente

Da Menlo Park dicono di avere “reimpostato i token di accesso degli account interessati” e “di avere reimpostato le chiavi di accesso di altri 40 milioni di account”, e che per questo “circa 90 milioni di persone nell’accedere a Facebook riceveranno una notifica che spiega cosa è successo”.

La piattaforma inoltre specifica di aver disattivato temporaneamente la funzione ‘Visualizza come’, quella che consente di visualizzare come ogni profilo viene visto dagli altri. La vulnerabilità che consente l’exploit, secondo Facebook, “deriva da una modifica apportata alla nostra funzione di caricamento di video a luglio 2017”.

Spiega il professor Pierluigi Paganini, consulente dell’Agenzia Europea per la sicurezza informatica, Enisa: “Stando alle informazioni attuali, gli attaccanti hanno sfruttato una falla nel codice della piattaforma, in particolare una falla che consente l’accesso ai token  utilizzati per autenticarsi alla piattaforma e attraverso cui è possibile prendere il possesso degli account associati”.

Ma cosa sono questi token di accesso? I token sono come dei tesserini di riconoscimento che consentono agli utenti di accedere alle “segrete stanze” di Facebook.  Il token d’accesso è una stringa di caratteri che contiene le informazioni necessarie ad identificare un utente specifico, o più in generale una qualunque applicazione. La cosa grave secondo Paganini è che “un attaccante in grado di rubare un token di accesso può assumere l’identità dell’utente Facebook a cui il token è associato ed agire al posto suo”.

Ma se il social ammette che “le indagini sono appena iniziate” sostiene pure che non è stato ancora determinato “se questi account sono stati utilizzati in modo improprio o se sono state carpite informazioni”. La società non ha neppure idea di chi ci sia dietro questi attacchi nè dove sono originati.

Ma il fatto si è consumato a breve distanza dalla minaccia di un hacker taiwanese che ha dichiarato di poter chiudere la pagina Facebook dello stesso creatore della piattaforma Mark Zuckerberg.

Un hacker ben noto

L’hacker ha annunciato che trasmetterà l’azione via Facebook Live domenica prossima alle 18. Chang Chi-yuan, non è però nuovo a queste sparate ed è difficile dire se si tratti solo di pubblicità o di millanteria. L’autoproclamato cacciatore di falle informatiche, si è già auto attribuito imprese simili senza però documentarle in maniera convincente.

Proprio ieri Facebook aveva confermato che gli inserzionisti che utilizzano la sua piattaforma possono accedere a informazioni ombra (shadow data) ovvero a dati presenti nel profilo utente per finalità differenti dalla mera partecipazione alla rete sociale. Secondo le università autrici della scoperta si tratterebbe dei numeri di telefono forniti a Facebook per accedere ai propri account in maniera sicura utilizzando l’autenticazione a due fattori, ovvero l’autenticazione che prevede l’invio al telefono dell’utente del codice di accesso.

Insomma, anche questi numeri di telefono sarebbero utilizzati per indirizzare in maniera chirurgica  contenuti pubblicitari.

Dalla fusione di CSE Cybsec ed Emaze nasce CYBAZE, la nuova realtà italiana della cybersecurity

Dalla fusione di CSE Cybsec ed Emaze nasce CYBAZE, la nuova realtà italiana della cybersecurity

Articolo di CybersecItalia.it del 24/09/2018

La nuova azienda punta a competere nello scenario nazionale e internazionale mettendo in comune risorse, competenze e strumenti avanzati nel campo della Sicurezza Informatica e della Threath intelligence.

Cybaze Spa avrà 90 dipendenti, uffici in Italia a Milano, Udine, Trieste, Roma, Napoli e Benevento, ed uffici esteri a Bruxelles e Lugano. Cse Cybsec Spa è la società nata un anno fa per iniziativa dell’ing. Pierluigi Paganini, nome celebre nell’ambito della cybersecurity e Chief Technology Officer della società e del Dott. Marco Castaldo, Amministratore Delegato e presieduta dall’Ambasciatore Terzi di Sant’Agata; Emaze Spa è stata tra le prime società di cybersecurity ad operare in Italia, con due decenni di attività alle spalle, clienti importanti in settori delicati come banche e telecomunicazioni.

Il fatturato da cui partiranno le due società è di circa 6 milioni di euro, che il management punta ad incrementare da subito. Il presidente della nuova società sarà l’Ambasciatore Terzi di Sant’Agata, Amministratore Delegato il dott. Marco Castaldo e il CTO Pierluigi Paganini. Il top management è potenziato anche dall’arrivo del dott. Nicola Borrelli, proveniente dal management di Deloitte Consulting, che avrà il compito di gestire l’unificazione delle due strutture.

Questa operazione è funzionale a un piano di crescita di medio-lungo termine in un mercato ancora frammentato ma con un enorme potenziale di crescita e ha l’obbiettivo di sostenere il sistema Italia favorendo la competitività delle nostre imprese nei mercati internazionali.” – afferma Marco Castaldo, Amministratore Delegato di Cybaze.

E continua: “Cybaze ha l’ambizione di giocare un ruolo primario nell’arena della cybersecurity quale società italiana in competizione con i grandi brand internazionali; questo è il primo passo di un progetto di espansione che prevede anche acquisizioni significative nelle prossime settimane.”

EMAZE incorpora CSE Cybsec: nasce CYBAZE

EMAZE incorpora CSE Cybsec: nasce CYBAZE

Articolo di Bitmag.it del 24/09/2018

EMAZE, azienda triestina attiva nel settore delle soluzioni per l’information security, incorporerà CSE Cybsec, azienda con sede a Roma attiva nella fornitura di soluzioni per la cybersecurity. L’azienda assumerà la denominazione di CYBAZE.

Nascerà così il polo di riferimento in Italia nell’ambito della cybersecurity ed intelligence, con 90 dipendenti, uffici in Italia (Milano, Udine, Trieste, Roma, Napoli e Benevento) e all’estero (Bruxelles e Lugano), ed un volume d’affari di circa 6 milioni di euro.

L’obiettivo è di mettere in atto nelle prossime settimane ulteriori importanti acquisizioni per costituire entro l’anno un gruppo con circa 10 milioni di euro di ricavi e 120 dipendenti, consolidando un settore ancora molto frammentato, con oltre 100 operatori. Il settore è destinato a crescere fortemente nei prossimi anni, sotto la spinta, tra l’altro, della digitalizzazione dei processi e della normativa europea sulla protezione dei dati.

Gli azionisti di Emaze (gruppo Cogein-Data Management – player italiano attivo da oltre 40 anni nella fornitura di software per la gestione delle risorse umane entrato nella compagine societaria verso la fine del 2016 – con il 55%; e A2000.it – holding di partecipazioni di Domenico Cavaliere, amministratore delegato di Emaze che ha condotto il management buyout nel 2013, rilevando la società dal fondo di investimento tedesco Cipio Partners – titolare del 45%) continueranno a detenere il controllo della nuova entità.

La governance di Cybesec vedrà l’ingresso come presidente dell’ambasciatore Giulio Terzi di Sant’Agata, diplomatico e già ministro degli Esteri nel governo Monti, l’amministratore delegato sarà Marco Castaldo, Domenico Cavaliere opererà quale senior advisor affiancando l’amministratore delegato, mentre a Pierluigi Paganini andrà il coordinamento tecnologico.

A2000.it è stata assistita nell’operazione da BF & Company in qualità di M&A advisor, il cui team, nelle persone di Alessandro Bartolini e Alessandro Zanatta, ha supportato A2000.it nelle attività di analisi degli aspetti economici dell’operazione.

Questa transazione continua il trend positivo nello sviluppo dell’attività del team di corporate finance di BF & Company, che oltre alle operazioni di Trentinalatte e Prisma ha visto anche uno dei soci di BF & Company assistere il gruppo Custom nell’acquisizione di Italiana Macchi S.r.l. nel maggio scorso.

Nasce Cybaze, il polo italiano di riferimento per la cybersecurity

Articolo di Affariitaliani.it del 24 settembre 2018

Milano – EMAZE S.p.A. (“Emaze”), azienda italiana con sede a Trieste ed attiva nelle soluzioni per l’information security, incorporerà CSE Cybsec S.p.A. (“Cybsec”), azienda italiana con sede a Roma ed attiva nella fornitura di soluzioni per la cybersecurity, assumendo la denominazione di CYBAZE S.p.A. (“Cybaze”). Con tale operazione si crea il polo di riferimento in Italia nell’ambito della cybersecurity ed intelligence, con 90 dipendenti, uffici in Italia (Milano, Udine, Trieste, Roma, Napoli e Benevento) ed estero (Bruxelles e Lugano), ed un volume d’affari di circa € 6 mln. L’obiettivo è di mettere in atto nelle prossime settimane ulteriori importanti acquisizioni per costituire entro l’anno un gruppo con € 10 mln di ricavi e 120 dipendenti, consolidando un settore ancora molto frammentato, con oltre 100 operatori.  Il settore è destinato a crescere fortemente nei prossimi anni, sotto la spinta, tra l’altro, della digitalizzazione dei processi e della normativa europea sulla protezione dei dati.

Gli azionisti di Emaze (gruppo Cogein-Data Management – player italiano attivo da oltre 40 anni nella fornitura di software per la gestione delle risorse umane  entrato nella compagine societaria verso la fine del 2016 – con il 55%; e A2000.it – holding di partecipazioni di Domenico Cavaliere, amministratore delegato di Emaze che ha condotto il management buyout nel 2013, rilevando la società dal fondo di investimento tedesco Cipio Partners – titolare del 45%) continueranno a detenere il controllo della nuova entità. Emaze S.p.A. è un’azienda italiana focalizzata esclusivamente sulla sicurezza delle informazioni, con uffici a Bruxelles, Milano e Roma e software lab a Trieste e Udine.

La governance di Cybesec vedrà l’ingresso come presidente dell’ambasciatore Giulio Terzi di Sant’Agata, diplomatico e già ministro degli Esteri nel governo Monti, l’amministratore delegato sarà Marco Castaldo, Domenico Cavaliere opererà quale senior advisor affiancando l’amministratore delegato, mentre a Pierluigi Paganini andrà il coordinamento tecnologico.

Dalla sua fondazione nel 2000, Emaze fornisce servizi e soluzioni a molti dei principali player nei settori telecomunicazioni, bancario, assicurativo e ferroviario (ad esempio Ferrovie dello Stato e Oman Telecom). Emaze conta 75 qualificati dipendenti e gode delle certificazioni ISO9001 e ISO27001. A2000.it opera da 15 anni nel settore dei servizi professionali: Sicurezza Informatica, Servizi IT, Consulenza direzionale. In particolare, A2000.it detiene partecipazioni in Emaze S.p.A. e AB Capital S.r.l.. Fondata nel 1999, la società è stata acquisita nel 2005 da Domenico Cavaliere, già managing partner di L.E.K. Consulting. Italy e membro del consiglio di amministrazione di società partecipate da fondi di private equity, tra cui Moleskine S.r.l. e altre PMI italiane.

Cybersecurity: nasce 'Cybaze', polo italiano per le aziende

Al via Cybaze, polo italiano della cybersecurity

Articolo di Carlo Brustia per MilanoFinanza del 25 settembre 2018, pag. 15

Nasce il nuovo polo italiano della cybersicurezza. La fusione per incorporazione della triestina Emaze nella romana Cse Cybesec ha dato vita a Cybaze. La neonata società avrà sei sedi in Italia (Milano, Udine, Trieste, Roma, Napoli e Benevento) e due all’estero (Bruxelles e Lugano) e si avvarrà di 90 esperti in sicurezza e intelligence informatica.

Il 55% del capitale di Emaze è in mano al gruppo Cogein-Data Management, mentre il restante 45% spetta ad A2000.it, holding che fa capo a Domenico Cavaliere, ad di Emaze. Nell’operazione A2000.it è stata assistita in qualità di m&a advisor è stata dal team di BF & Company, composto da Alessandro Bartolini e Alessandro Zanatta. L’ambasciatore Giulio Terzi di Sant’Agata sarà il nuovo presidente di Cybesec, l’ad sarà Marco Castaldo, mentre Cavaliere opererà quale senior advisor.

Il giro d’affari di Cybaze (circa 6 milioni di euro) è destinato a crescere rapidamente. Nelle prossime settimane i manager della società contano di procedere a ulteriori acquisizioni che dovrebbero portare entro l’anno il gruppo a raggiungere i 10 milioni di ricavi.