I social media offrono alle imprese innegabili vantaggi per i servizi CRM, nell’interazione più diretta con clienti e consumatori, nonché per ottenere riscontri più immediati sul marchio e sui prodotti offerti. Un buon numero di aziende, quindi, utilizza i social media come complemento di business ma oltre i due terzi di queste ammette di avere pochi obiettivi, troppo generici e scarsamente focalizzati. Il social network prediletto, neanche a dirlo, è Facebook seguito da LinkedIn, Twitter e Google+.

I social media rappresentano per le aziende una bella sfida anche in termini di sicurezza e confidenzialità. Secondo alcune analisi pubblicate sul web, oltre la metà delle aziende blocca l’accesso ai social network per i propri dipendenti. In Italia adotta questa strategia circa il 77% delle aziende. L’approccio drastico di bloccare del tutto l’accesso ai social network taglia completamente fuori l’azienda dalle numerose opportunità e informazioni offerte, mentre la scelta di lasciare completo accesso ai dipendenti espone pericolosamente la rete aziendale ad una serie infinita di minacce e rischi.

I due antitetici approcci sono frutto dell’arretratezza delle aziende nell’approcciare strumenti innovativi e potenti come quelli offerti dal Web 2.0 e la strada da fare, anche solo per comprenderne i meccanismi e le potenzialità, è ancora tanta. Tutto ciò stride con l’affermazione delle aziende di conoscere i social media. Eppure, se sfruttati nel modo giusto, i social media possono fornire grandi opportunità non solo alle aziende sul mercato, ma anche al personale aziendale.

L’approccio più maturo, a detta di Kaspersky, consisterebbe quindi nell’investire soprattutto sulla consapevolezza, sulla formazione e sull’addestramento degli utenti aziendali, non solo in ambito social network ma su concetti più generali di sicurezza e riservatezza. Senza dimenticare il top management perché l’errore umano non risparmia nemmeno i dirigenti e un passo falso di un esponente di questa categoria potrebbe avere conseguenze gravissime sulla reputazione aziendale.

Una base normativa che contenga politiche di sicurezza specifiche è fondamentale per regolamentare l’utilizzo dei social network e individuare con chiarezza minacce, rischi e i comportamenti che il personale è tenuto a rispettare per minimizzarne l’esposizione e gli effetti. Le politiche relative ai social network devono essere periodicamente riviste per mantenerle al passo con le numerose evoluzioni dei servizi e delle funzionalità.

I servizi aziendali che sfruttano i social network come amplificatori di visibilità e comunicazione devono essere amministrati e coordinati da un social media manager, ovvero una figura professionale adeguatamente preparata sul mondo dei social network e sulle relative misure di protezione richieste in ambito aziendale.

Sul fronte tecnologico, infine, è opportuno che l’azienda  si doti di adeguati strumenti di filtro web e  applicativi, per intercettare e bloccare tutti gli attacchi perpetrati da malware e applicazioni di dubbia natura veicolati per mezzo dei social network. Un occhio di riguardo va posto ai dispositivi mobili, non solo notebook, ma anche tablet, smartphone, palmari e telefoni cellulari, in quanto questi possono sfruttare diverse connessioni alternative (es. UMTS, HSDPA, WiFi pubblici, ecc.) non dotate dei medesimi strumenti di protezione adottati nella rete aziendale. Le politiche di sicurezza devono indirizzare in maniera specifica anche le misure da adottare per proteggere adeguatamente i dispositivi mobili aziendali.

Ettore Guarnaccia

Condividi questo articolo sui più diffusi social media, lascia il tuo voto o un tuo commento, grazie!

Il primo baluardo è l’utente

Il primo elemento di difesa è costituito dall’utente e dal suo grado di consapevolezza: più esso è elevato, minore sarà la sua esposizione alle potenziali minacce. È necessario tenere sempre presente che si può diventare vittime di attacchi, inganni e truffe in qualsiasi momento.

L’utente saggio ed accorto deve innanzitutto porre la massima attenzione ai contenuti che pubblica di volta in volta nei social network, ponendosi preventivamente alcune specifiche domande come:

• Le informazioni che sto per pubblicare sono personali, riservate o sensibili?
• La pubblicazione di queste informazioni potrebbe comportare una minaccia alla mia sicurezza, alla mia reputazione, alle mia situazione finanziaria o alla mia azienda?
• La pubblicazione di queste informazioni potrebbe, anche non intenzionalmente, comportare minacce o arrecare danni a famigliari, amici e conoscenti?
• È proprio necessario che io pubblichi queste informazioni su un social network?
• Sono conscio del fatto che le informazioni che sto per pubblicare potrebbero essere consultate anche da persone non proprio intime e amichevoli?

Quindi, pensateci almeno due volte prima di postare: aggiornamenti di stato, foto e commenti possono rivelare ben più di quanto si vorrebbe. Invece spesso si pubblicano spensieratamente informazioni piuttosto personali che, a fronte di una richiesta diretta, ci guarderemmo bene dal condividere.

Alcune misure di sicurezza da tenere sempre a mente sono:

• Evitate di rispondere questionari come “le 25 cose più emozionanti su di te” oppure a domande come “cosa pensi di Mario Rossi”, in quanto strumenti adottati per ottenere ulteriori informazioni personali e l’accesso completo ai vostri dati.
• Pensateci bene prima di concedere l’accesso al proprio profilo ad applicazioni di provenienza dubbia o sconosciuta, perché ciò comporta spesso l’autorizzazione a terze parti di inviare messaggi e-mail di phishing e spam, di scrivere post malevoli sulla vostra bacheca e di accedere in qualsiasi momento ai vostri dati anche se non state utilizzando l’applicazione.
• Prima di concedere l’accesso ad un’applicazione o ad una pagina, verificate con attenzione a quali dati essa richiede di accedere e con quali modalità.
• Non cliccate su shortlinks che non consentono di vedere la destinazione finale perché potrebbero essere utilizzati per dirigervi verso siti web compromessi e pagine web camuffate.
• Sospettate sempre di post che hanno il chiaro intento di attrarre gli utenti come “Guarda questo video” o “Che ci fai tu in questa foto?”. Se cadete nella trappola e cliccate sul link, non accettate di installare plugin o altri software a fronte delle richieste presentate in tal senso nella pagina web di destinazione.
• Sospettate anche di richieste inusuali di aiuto o supporto, anche se provenienti da contatti conosciuti. Prima di abboccare, cercate di contattare il vostro amico con altro mezzo per verificarne la veridicità.
• Evitate di indicare la vostra ubicazione geografica in un dato momento. Per un malintenzionato, sapere che siete appena arrivato ad una festa o, peggio, che state soggiornando all’estero significa che non siete a casa vostra e che la zona è potenzialmente sgombra.

La potenza è nulla senza controllo

È sempre buona norma mantenersi aggiornati sui trend delle minacce e sulla loro evoluzione con il crescere delle funzionalità e i progressi delle tecnologie sociali. Quindi, se non l’avete fatto prima (e molto probabilmente non l’avete ancora fatto!), visitate le sezioni dedicate alla privacy e alle funzionalità di sicurezza che ciascun social network offre ai propri utenti. Ecco i link relativi ai social network più diffusi:

• Facebook – Centro per la sicurezza
• Twitter – Centro di assistenza violazioni
• LinkedIn – Privacy policy
• Google+ – Privacy settings

Molte altre interessanti risorse sulla sicurezza, la privacy e gli strumenti di protezione offerti dai social network possono essere reperite cercando accuratamente sul web.

La protezione del proprio account

Dopo aver investito sulla vostra consapevolezza, esservi aggiornati sull’andamento delle minacce e aver consultato le sezioni dedicate a privacy e sicurezza, il passo successivo è procedere con un’adeguata configurazione degli account con l’obiettivo di proteggere al meglio la propria identità e le informazioni pubblicate.

Il primo passo è la gestione delle credenziali di accesso. Se avete pubblicato sul vostro profilo lo stesso indirizzo e-mail utilizzato per l’accesso, cambiatelo. Eventualmente create un nuovo indirizzo e-mail da utilizzare solo per l’accesso o solo per i contatti. La password va cambiata con regolarità, adottando strategie semplici ma efficaci per la generazione di password sicure. Non utilizzate MAI le stesse credenziali su più social network: la compromissione di un account su un social network comporterebbe la compromissione degli eventuali altri account creati su altri social network.

Ogni volta che vi si presenta una finestra con la richiesta di inserire nuovamente le vostre credenziali di accesso, controllate sempre con cura che l’indirizzo visualizzato nella barra degli indirizzi del vostro browser corrisponda con quello del social network prima di digitare utente e password. Se, seguendo queste indicazioni, la gestione delle credenziali diventasse oltremodo onerosa, ricorrete ad un software di password management, ne esistono di molto validi che è possibile utilizzare gratuitamente e con grande soddisfazione.

Il secondo passo è la corretta configurazione del vostro account. Prendetevi un’ora di tempo, accedete al vostro profilo e consultate con attenzione tutti i parametri di configurazione del vostro account, in particolare quelli relativi alla privacy e alla sicurezza. Fatelo con pazienza, attenzione e cognizione di causa, eventualmente facendovi aiutare da un esperto di fiducia.

Ricordatevi che non è necessario compilare tutti i campi del vostro profilo. A parte i campi obbligatori, dal punto di vista della riservatezza tutti gli altri campi sono superflui e la loro compilazione è una scelta che l’utente deve fare consapevolmente. Tenete presente che anche il vostro nickname non deve necessariamente corrispondere al vostro reale nominativo.

Su Facebook non dimenticate di verificare le impostazioni dell’account e quelle sulla privacy, in particolare le seguenti:

• Nella sezione “Generale” l’indirizzo e-mail, la password di accesso e gli eventuali account collegati.
• Nella sezione “Protezione” l’attivazione della navigazione protetta con SSL, le notifiche di accesso e l’approvazione dei nuovi accessi.
• Nella sezione “Applicazioni” l’elenco delle applicazioni alle quali avete consentito l’accesso ai vostri dati: eliminate dall’elenco tutte le applicazioni cui non volete più consentire l’accesso continuativo ai dati.
• Nella sezione “Privacy” le misure di protezione riguardo a tag, applicazioni, siti web ed eventuali restrizioni e blocchi.

Ulteriori suggerimenti sulla protezione del vostro account Facebook possono essere consultati nei seguenti articoli:

• Guida su come proteggere il proprio account Facebook
• Come scoprire se qualcuno entra con il tuo account di Facebook
• Protezione account Facebook con le funzioni di sicurezza disponibili
• Rafforzate la sicurezza dell’account Facebook aggiornando le informazioni

Su Twitter accedete alle impostazioni del vostro account e controllate quanto segue:

• Nella sezione “Account” l’indirizzo e-mail, la posizione (geolocalizzazione) dei tweet, la privacy dei tweet e la connessione sicura HTTPS.
• Nella sezione “Password” modificare la password di accesso ed eventualmente associare l’account ad un telefono cellulare.
• Nella sezione “Mobile” l’invio di tweet via SMS e la pubblicazione del proprio numero di cellulare.
• Nella sezione “App” la lista delle applicazioni cui si è consentito l’accesso al nostro account Twitter: eliminare dall’elenco tutte le applicazioni cui non volete più consentire l’accesso ai vostri dati.

La selezione dei contatti e delle amicizie

Tenete sempre a mente che avere più contatti possibili non è un obiettivo che va d’accordo con la privacy e la sicurezza. Un collega o un semplice conoscente non sempre sono esattamente vostri amici. In generale non avete necessità di avere un seguito così allargato a meno che non siate un VIP, un genio della comunicazione o una star dell’entertainment.

Scorrete quindi l’elenco delle vostre amicizie Facebook, consultatelo con cura ed eliminate tutti i contatti che non conoscete direttamente, quelli sospetti e quelli con i quali non desiderate più condividere informazioni. Dopo la prima scrematura, passate alla fase di contrassegno dei contatti: Facebook, infatti, da un po’ di tempo consente di contrassegnare i vostri contatti come “Amici più stretti” o come semplici “Conoscenti”, nonché di accorparli per tipologia, con la possibilità di adottare diverse politiche di condivisione e privacy a seconda del contrassegno e del gruppo di appartenenza. Un’operazione analoga può essere realizzata anche in Google+ sfruttando il meccanismo delle cerchie.

Su Twitter fate una bella revisione dell’elenco dei “Following” eliminando tutti gli utenti che non desiderate più seguire, in particolare quelli sospetti o sconosciuti. Fate lo stesso con l’elenco dei “Follower” bloccando tutti quegli utenti che vi sembrano sospetti.

Eseguite operazioni analoghe su tutti i vostri account esistenti in altri social network. Un ottimo approccio è costituito dal blocco o dalla disattivazione di tutte le funzionalità di condivisione delle informazioni, per poi attivare gradualmente le singole funzionalità strettamente richieste.

Anche il personal computer vuole la sua parte

Navigare utilizzando un computer aggiornato e protetto contribuisce a prevenire gli spiacevoli effetti di eventuali attacchi perpetrati per mezzo dei social network. Sebbene la protezione del personal computer meriti una disquisizione piuttosto lunga e articolata, pochi semplici suggerimenti possono coadiuvare la sicurezza dei vostri dati.

Innanzitutto è opportuno adottare un antivirus efficace (ve ne sono di ottimi e gratuiti come Avira o Avast!) e mantenerlo aggiornato con costanza. Ancora meglio sarebbe affiancare all’antivirus prodotti antispam e antispyware da mantenere sempre attivi e aggiornati. Il sistema operativo deve essere anch’esso aggiornato con regolarità, soprattutto per quanto riguarda gli aggiornamenti critici e di sicurezza.

La scelta del browser, infine, è un passo importante, meglio preferire browser di nicchia in quanto generalmente meno bersagliati dal malware. In ogni caso il browser va mantenuto anch’esso aggiornato sia come versione che come patch di sicurezza, tenendosi in qualche modo informati su eventuali notizie di vulnerabilità riguardanti il proprio browser.

Ettore Guarnaccia

Condividi questo articolo sui più diffusi social media, lascia il tuo voto o un tuo commento, grazie!

Come in tutte le cose, però, c’è un’altra faccia della medaglia. La forte evoluzione dei social network è stata per troppo tempo focalizzata sui servizi e sulle funzionalità, spingendo moltissimo verso la condivisione di informazioni e l’allacciamento di legami fra gli utenti. Gli sforzi profusi in questa direzione hanno penalizzato lo sviluppo di idonee misure di sicurezza, abituando gli utenti ad adottare comportamenti errati e pericolosi senza la giusta prevenzione.

Nella maggior parte dei social network la configurazione di base prevede che i contenuti siano sempre condivisi, perciò gli utenti devono agire sulle singole impostazioni per rendere privati i propri dati. Ultimamente i social network più conosciuti hanno investito sul potenziamento delle misure di sicurezza, introducendo nuove funzionalità di protezione. Ma la comunicazione delle nuove misure di sicurezza è stata sostanzialmente inefficace e la strada da percorrere per giungere ad un livello di sicurezza accettabile è ancora lunga.

Non dimentichiamo però che stiamo parlando di social network, ovvero strumenti di socializzazione, dove la condivisione, lo scambio e i rapporti costituiscono il cuore del sistema. La maggior parte di coloro che si iscrivono ad un social network vogliono appunto socializzare, stringere legami, trovare nuove amicizie e condividere informazioni ed esperienze. La misura di sicurezza più importante, quindi, consiste nell’aumentare il più possibile la consapevolezza, perché è l’utente che per primo deve scegliere quali impostazioni di protezione e privacy adottare sul proprio account e, soprattutto, quali contenuti pubblicare.

Dal punto di vista dei malintenzionati, più gente si iscrive e partecipa ai social network, più opportunità vengono offerte per perpetrare azioni criminali di diverse tipologie. A partire dal semplice spam, passando per la diffusione di virus, worm, bot, fino ai più pericolosi casi di furto d’identità, phishing, whaling, stalking, scam e social engineering. Fenomeni dannosi che, nelle forme più gravi, possono realmente rovinare la reputazione, la carriera e la serenità di un individuo.

Quanto sono frequentati i social network?

Facebook rappresenta il principale social network con quasi 800 milioni di utenti in tutto il mondo, dei quali circa 200 milioni si sono iscritti solo nel corso del 2011. Per fare un raffronto, gli utenti Facebook rappresentano un nono della popolazione mondiale. I siti integrati con Facebook sono circa 2 milioni e mezzo, mentre i contenuti condivisi ammontano a circa 30 miliardi al mese. Ogni utente ha in media 130 amicizie ed è iscritto a 80 fra pagine e applicazioni. In Italia gli utenti di Facebook sono circa 22 milioni, praticamente un terzo della popolazione complessiva, ma se escludiamo la maggior parte dei bambini fino a 12 anni e degli anziani, ci siamo praticamente tutti!

Il secondo social network è Twitter che conta circa 250 milioni di utenti (di cui circa 100 milioni attivi), con circa 500 mila nuovi utenti iscritti al giorno. Il volume dei contenuti condivisi ammonta a circa 200 milioni di tweet al giorno. In Italia gli utenti di Twitter sono circa 2 milioni, dei quali circa 400 mila attivi su base mensile.

Il terzo social network è costituito da LinkedIn, un network professionale che conta circa 110 milioni di utenti in tutto il mondo, seguito da MySpace (circa 70 milioni di utenti) e Google+ (circa 65 milioni ma in forte aumento).

Una ricca fonte di informazioni

Con una base d’utenza così ampia è abbastanza semplice immaginare quante opportunità vengono offerte ai numerosi malintenzionati alla ricerca di preziose informazioni per organizzare al meglio i propri attacchi in maniera più mirata.

Nel corso del terremoto e dello tsunami in Giappone, Twitter contribuì efficacemente a condividere informazioni in tempo reale e aiutò sia nelle operazioni di salvataggio che nelle successive raccolte fondi. Ma non impedì il verificarsi di casi di frode, come quello di un utente che, impersonando la croce rossa britannica, riuscì a dirottare diversi fondi tramite sistemi di pagamento online verso un proprio account personale.

Facebook, in particolare, è un’ottima fonte di informazioni per l’allestimento di attacchi di social engineering tagliati su misura per la vittima designata e con diversi scopi: furto d’identità, intrusioni, phishing, whaling, stalking e truffe in genere. Gli utenti dovrebbero sempre tenere a mente che Facebook trae i suoi profitti dalla pubblicità e dalle aziende inserzioniste, non dai suoi utenti. Ecco perché i suoi meccanismi sono fortemente focalizzati sulla massima interazione fra utenti, sulla condivisione dei contenuti e sulla loro diffusione al maggior numero di utenti possibile. L’aggiunta del riconoscimento facciale e il potenziamento del sistema di tagging aumentano gli effetti di questi fattori, aggravati ulteriormente dal pericoloso senso di fiducia indotto nell’utente dalle molte funzionalità a disposizione.

Il risultato più evidente è un grave abbattimento delle inibizioni nel concedere l’amicizia a soggetti sconosciuti o semi-sconosciuti, nell’iscriversi a gruppi con obiettivi e frequentazioni discutibili, nonché nell’autorizzare pagine e applicazioni di dubbia provenienza ad accedere ai propri dati. Non bastasse questo, spesso e volentieri è l’utente stesso che pubblica, inavvertitamente o inconsapevolmente, informazioni che in altre situazioni difficilmente sarebbe propenso a condividere con persone estranee. Da qui a condividere un segreto personale o aziendale con una nuova (sconosciuta) amicizia che casualmente condivide gli stessi interessi o analoghi problemi, il passo è veramente breve.

Provate a pensare a quante e quali informazioni normalmente vengono pubblicate su un profilo Facebook: nome e cognome, ovviamente,  ma anche indirizzo e-mail (spesso coincidente con quello utilizzato per l’accesso), numeri telefonici, città di residenza, città e data di nascita (grazie alle quali è semplicissimo calcolare il codice fiscale!), studi, situazione sentimentale e nominativo della persona con cui si intrattiene il rapporto, preferenze su musica e programmi TV, attività ed interessi, note varie. Non solo. Un’attenta lettura della bacheca consente di ottenere preziosissime informazioni su abitudini, consuetudini, convinzioni personali, preferenze, commenti, affiliazioni, credenze religiose, interessi politici, eventi a cui si è partecipato o si parteciperà, grado di istruzione, proprietà di linguaggio e molto altro ancora. Per non parlare degli album fotografici che, oltre a tutte le informazioni già citate, illustrano l’aspetto generale, il volto, le preferenze nell’abbigliamento, viaggi, frequentazioni, atteggiamenti, famigliari, amici intimi, animali domestici, abilità particolari, sport praticati e molto altro.

Se poi queste informazioni vengono incrociate con i tweet pubblicati dall’utente su Twitter, con il suo profilo professionale ben particolareggiato su LinkedIn, con quanto pubblicato su MySpace o Google+ (giusto per citare i più popolari) e con tutte le altre informazioni eventualmente disponibili su altri servizi web (es. Flicker, Picasa, YouTube, ecc.), ecco che la mole e la qualità delle informazioni personali diventa enorme.

I rischi connessi all’utilizzo dei social network

Le informazioni che è possibile collezionare sono più che sufficienti per tracciare un profilo sociologico completo ed esaustivo della vittima al fine di intraprendere diverse tipologie di attacchi mirati da parte di malintenzionati. E su centinaia di milioni di utenti, potete stare certi che i malintenzionati non sono pochi! La pubblicazione dell’indirizzo e-mail, ad esempio, unita alla mole di informazioni aggiuntive spesso  utilizzate per generare la propria password di accesso e per le domande di verifica, facilita enormemente il lavoro del ladro d’identità professionista. Così come il profilo tracciato consente ad un perfetto estraneo, in possesso di spiccate abilità di social engineering, di impersonare facilmente un amico, un collega o un semplice conoscente della vittima con l’obiettivo di ottenere ulteriori informazioni personali sensibili, di introdursi nel suo personal computer o di allestire attacchi mirati di phishing e whaling.

Uno stalker troverà altresì interessante sapere che tutti i lunedì e il giovedì alle 21.00 può attendervi all’uscita dalla piscina o dalla palestra, oppure scoprire dove si trova la vostra abitazione. Se si viene contattati da un soggetto che ha i nostri stessi interessi, frequenta la stessa palestra, ha fatto il nostro stesso viaggio o alloggiato nel medesimo albergo, oppure conosce bene alcuni nostri amici, probabilmente si è più inclini a condividere con lui informazioni che normalmente ci guarderemmo bene dal rendere pubbliche ad un perfetto sconosciuto. Informazioni che potrebbero servire a completare al meglio il profilo sociologico che questo soggetto ha precedentemente tracciato su di noi, con chissà quali obiettivi. Un ladro d’appartamenti, infine, sarà facilitato nel sapere in quali orarie siete sicuramente fuori di casa.

Le tipologie di attacco informatico

In aggiunta ai rischi generati dalle informazioni pubblicate sui nostri account, sono in agguato anche i rischi derivanti da un certo numero di minacce tecnologiche sempre più diffuse nei social network. Facebook, ad esempio, è un veicolo costantemente sfruttato per portare attacchi di tipo cross-site scripting (XSS), clickjacking, survey scams e malware in genere.

Uno dei metodi preferiti dai criminali è quello di utilizzare post con titoli particolarmente interessanti e irresistibili come “guarda questo video, troppo forte, ci sei anche tu!”, “scopri chi sta guardando il tuo profilo”, “ragazza balla in webcam e si schianta contro il muro, troppo divertente!”, “il video censurato di Lady Gaga”, “il video dello tsunami in Giappone!” e altri contenuti con riferimenti espliciti a sesso, fatti di cronaca rilevanti e altri argomenti di attualità.  Cliccando sul link di questi post si viene indirizzati verso pagine web camuffate o del tutto simili a quelle di Facebook in cui viene richiesto di copiare una porzione di codice JavaScript sulla barra degli indirizzi del proprio browser (XSS), di installare un plugin mancante per poter vedere un ipotetico video o di compilare un questionario (survey scam) prima di accedere al contenuto promesso.

Un altro tipo di attacco consiste nel clickjacking (detto anche likejacking o UI redressing) tramite pagine web apparentemente innocue che riportano finti pulsanti per attivare le funzioni “share” e “like” di Facebook, ma che in realtà inducono l’utente ad inserire le proprie credenziali di accesso o a rivelare altre informazioni riservate. E non è finita qui, perché l’ottenimento dell’accesso al vostro account viene successivamente sfruttato per distribuire post malevoli a tutti i vostri contatti, che cadranno a loro volta nella trappola vedendo arrivare tali post dal vostro account e contribuiranno a propagare a dismisura le opportunità di furto di informazioni e d’identità.

Queste operazioni possono provocare anche l’installazione silente e inavvertita di malware sul proprio personal computer, in particolare worm, spyware, bot e keylogger, ovvero software che consentono di prelevare informazioni riservate dal disco fisso, di tenere traccia di tutte le azioni eseguite dall’utente, di scaricare e installare altro malware o di far partecipare il computer della vittima a vere e proprie botnet utilizzate per portare attacchi informatici a terze parti.

Anche gli altri social network non sono esenti da minacce. Twitter, ad esempio, pur essendo un formidabile strumento di informazione in tempo reale, soffre di due importanti debolezze rappresentate dagli shortened URLs e dalla facilità di impersonare gli utenti. I servizi di accorciamento degli URL, spesso indispensabili per contenere la lunghezza del tweet nei 140 caratteri consentiti, di fatto nascondono il reale indirizzo di destinazione. Ciò consente di creare ad arte URL accorciati per indirizzare gli utenti verso siti dannosi o pagine web camuffate che richiedono all’utente il reinserimento delle proprie credenziali di accesso. Più o meno i meccanismi sono analoghi a quelli utilizzati fraudolentemente su Facebook. Molta attenzione, infatti, deve essere posta alla reale identità degli utenti con cui ci si relaziona, poiché la creazione di account del tutto simili a quelli di altri utenti legittimi è un’operazione relativamente semplice e alla portata di chiunque: basta utilizzare il medesimo avatar, la stessa intestazione e un nome account che può differire solo di una lettera (es. @aIemannotw per impersonare l’account @alemannotw del vero sindaco di Roma, vedere il relativo case study).

LinkedIn, dal canto suo, essendo un network professionale che raccoglie numerosi dipendenti e liberi professionisti, offre numerose possibilità di data mining, ovvero di collezione di dati sulle aziende e sui rispettivi dipendenti per lanciare attacchi di spearphishing in cui si impersona un dipendente di una società-obiettivo con l’intento di rubare credenziali, segreti industriali e altre informazioni critiche, oppure di installare malware nei personal computer aziendali, oppure lanciare attacchi mirati di whaling verso top manager. Queste minacce e i relativi rischi sono più o meno comuni anche agli altri social network meno popolari, poiché le funzionalità e i meccanismi di relazione sono analoghi.

Gli effetti della grande diffusione di dispositivi mobili

Le statistiche sull’utilizzo dei social network evidenziano che circa un terzo degli accessi a Facebook e oltre la metà degli accessi a Twitter avviene per mezzo di dispositivi mobili come palmari, tablet, smartphone e telefoni cellulari. In tal senso uno dei principali problemi è costituito dal falso senso di sicurezza che questi dispositivi inducono negli utenti che continuano a considerarli poco più che telefoni cellulari.

In realtà questi dispositivi si sono evoluti e sono ormai diventati dei veri e propri computer, con un sistema operativo e una miriade di applicazioni scaricabili dai mobile app store. Purtroppo, fra questa moltitudine di applicazioni si nasconde un elevato numero di malware. Non a caso, i dispositivi mobili sono stati indicati da tutti i più autorevoli laboratori di sicurezza fra le minacce più rilevanti previste per il 2012, individuando il sistema operativo Android come il bersaglio numero uno del mobile malware. Infatti, mentre nell’app store di Apple le applicazioni vengono in qualche modo controllate prima della pubblicazione, ciò non avviene per l’Android Market. D’altronde com’è possibile pensare che su un’applicazione che costa solo 99 centesimi l’autore abbia potuto investire adeguatamente in termini di sicurezza?

I dispositivi mobili, infine, sono costantemente soggetti al rischio di sottrazione o smarrimento. In questi casi quanti di voi, oltre a precipitarsi a bloccare la scheda SIM, si preoccuperebbero di cambiare immediatamente le credenziali di accesso ai social network normalmente utilizzate per accedere dal vostro smartphone?

L’ombra del grande fratello

Purtroppo non sono solo i malintenzionati a tenere d’occhio i social network alla ricerca di opportunità di frode e guadagno. Un numero sempre crescente di società sono specializzate in tecniche avanzate di collezione dei dati disponibili sui social network e di data mining per vari scopi. A queste società si rivolgono grandi multinazionali per fini di marketing aggressivo, ma anche partiti politici e organizzazioni governative con l’obiettivo di mappare e studiare l’opinione pubblica.

Una delle più famose società di monitoraggio ed analisi del Web 2.0 è la Visible Technologies, i cui software sono in grado di scansionare e analizzare più di mezzo milione di siti al giorno, visitando i post di blog e social network, nonché i commenti e le recensioni sui siti commerciali. L’analisi identifica gli umori espressi nei post, gli indici di gradimento, l’influenza di una conversazione o di un autore su uno specifico argomento. Le multinazionali che vi fanno ricorso sono diverse e tra queste troviamo AT&T, Verizon, Dell e Microsoft.

Ma non solo. Da tempo vi ricorrono anche istituzioni governative e servizi di intelligence come NSA, CIA, FBI e In-Q-Tel, ma molto probabilmente il numero degli osservatori non si limita a queste. In definitiva, non ci sono solo gli amici, i conoscenti e i malintenzionati a consultare le nostre informazioni personali poiché queste ultime sono un base di informazione molto appetibile per controllare l’opinione pubblica e, recentemente, anche per indirizzarne il sentimento o a rendere inefficaci i sistemi di Social Media Marketing grazie a tecniche emergenti di inquinamento dei dati come il Social Media Poisoning.

Ettore Guarnaccia

Condividi questo articolo sui più diffusi social media, lascia il tuo voto o un tuo commento, grazie!

• 24-ter riguardante i delitti di criminalità organizzata ( ex L.94/2009);
• 25-bis 1 riguardante delitti contro l’industria e il commercio (ex L.n. 99/2009);
• 25-novies concernente i delitti in materia di violazione del diritto di autore (ex L.n.99/2009);
• 25-decies induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all’autorità giudiziaria ex art.377 bis c.p. (ex L.n.116/2009);

La modifica effettuata all’art.25 bis relativo al reato di “falsità in moneta, in carte di pubblico credito e valori di bollo”con l’aggiunta al comma 1, della lettera f-bis) e conseguente sostituzione della rubrica dell’articolo citato in “Falsità in monete, in carte di pubblico credito, di valori di bollo e in strumenti o segni di riconoscimento” e modifica del comma 2 dello stesso articolo ( integrato con L.99/2009).

Corso di formazione erogato dal Servizio Formazione MPS.

La compliance previene il rischio di contravvenire e violare norme e regolamenti, salvaguarda gli interessi di coloro che entrano in contatto con l’istituto, siano essi soci, clientela o autorità, nonché promuove la cultura della correttezza e assicura l’integrità dei comportamenti in azienda.

Programma del corso:

• Descrizione della funzione Compliance;
• Definizione e finalità;
• Il ruolo della Compliance e del lavoratore;
• Perché parliamo di Compliance;
• Perché essere Compliant;
• Rischio di Compliance.

Corso erogato da ABI Formazione.

Il Decreto Semplificazioni

L’articolo 45 “Semplificazioni in materia di dati personali” del Decreto Legge 9 febbraio 2012 n. 5 “Disposizioni urgenti in materia di semplificazione e sviluppo” introduce nel DLgs 30 giugno 2003 n. 196 il nuovo articolo 17-bis, che prevede l’estensione del trattamento di dati giudiziari anche in attuazione dei protocolli di intesa per la lotta alla criminalità organizzata, ed elimina gli obblighi inerenti il DPS mediante soppressione del comma 1 lettera g) e del comma 1-bis dall’articolo 34 del testo unico e dei paragrafi dal 19 al 19.8 (DPS) e del paragrafo 26 (obbligo di riferire sulla stesura o l’aggiornamento del DPS nella relazione accompagnatoria del bilancio di esercizio) dall’allegato B “Disciplinare tecnico in materia di misure minime di sicurezza”.

In pratica il DPS è completamente depennato dal Codice Privacy e da qualsiasi altro adempimento in materia di protezione dei dati personali. Di conseguenza scompare anche l’obbligo dell’autocertificazione per quei soggetti precedentemente esclusi dalla redazione del DPS. Ma c’è di più: l’abrogazione degli obblighi inerenti il DPS, il cui mancato adempimento era sanzionato penalmente, comporta la non punibilità delle violazioni dell’obbligo abolito commesse sotto la previgente normativa. Ergo, le aziende e gli enti che non hanno mai prodotto il DPS o che lo hanno prodotto in maniera errata o incompleta, non potranno essere oggetto di sanzione nemmeno per i 4 anni precedenti previsti dal termine di prescrizione.

Il Decreto Sviluppo

L’articolo 40 “Riduzione degli adempimenti amministrativi per le aziende”, comma 2, del Decreto Legge 6 dicembre 2011 n. 201 “Disposizioni urgenti per la crescita, l’equità e il consolidamento dei conti pubblici” elimina le parole “persona giuridica, ente od associazione” dall’articolo 4 comma 1 lettere b) e i), sopprimendo anche il comma 3-bis dell’articolo 5, l’ultimo periodo del comma 4 dell’articolo 9 e, infine, la lettera h) del comma 1 dell’articolo 43.

In pratica elimina dal Codice Privacy ogni forma di applicazione ai dati riferiti alle persone giuridiche, eliminando da questi soggetti la qualifica di interessato. Pertanto la definizione di dato personale riguarda solo informazioni sulle persone fisiche.

La riforma proposta dalla Commissione Europea

Il 25 gennaio 2012 la Commissione Europea di Bruxelles ha presentato una proposta di revisione della normativa comunitaria sulla protezione dei dati personali, con l’obiettivo di rafforzare i diritti dell’individuo e far fronte alle sfide della globalizzazione e delle nuove tecnologie. L’insieme delle regole, che si vuole rendere comuni a tutta l’Unione Europea, prevedono un aumento di responsabilità ed obblighi per le aziende, in particolare sul consenso esplicito e su accesso e trasferimento ai dati, nonché un rafforzamento del “diritto all’oblio” e l’estensione dell’applicazione delle regole UE nel caso i dati personali siano trattati presso un paese extra-UE.

I dati personali potranno essere raccolti solo in maniera legale in base a condizioni rigorose e per scopi legittimi. Le imprese che li raccolgono e gestiscono devono proteggerli dall’uso improprio e rispettare rigorosamente i diritti dei titolari dei dati, garantendo un livello elevato di protezione. Il cittadino ha il diritto di denunciare le irregolarità e di ottenere un risarcimento in caso di uso improprio dei suoi dati personali nell’Unione Europea. Egli ha anche il diritto di essere informato in modo semplice e chiaro sulle procedure di gestione e protezione dei suoi dati da qualsiasi azienda con sede legale in UE a prescindere da dove risiedano i server che ospitano effettivamente i dati.

In teoria le imprese potranno disporre di norme più chiare e coerenti nell’applicazione in tutti i paesi dell’UE, insieme ad una riduzione degli oneri amministrativi. In caso di gravi violazioni alla normativa privacy le imprese e le organizzazioni dovranno denunciarli in tempi brevissimi (normalmente entro 24 ore) alle autorità nazionali di controllo. Ogni impresa dovrà relazionarsi con l’autorità nazionale del paese UE in cui è ubicata la propria sede principale.

Le autorità nazionali competenti, infine, avranno il potere di attuare le norme sulla privacy con maggiore rigore, arrivando a comminare sanzioni pecuniarie di importo elevatissimo in caso di violazioni del diritto UE.

La scomparsa del DPS

L’effetto più eclatante delle novità normative italiane è costituito dalla scomparsa del DPS, un provvedimento che certamente sarà accolto con soddisfazione dalla maggior parte delle aziende nazionali che l’hanno sempre visto come un adempimento inutile e costoso. Anche l’approccio generalmente adottato dalle società di consulenza è spesso stato indirizzato verso la produzione di documenti pesanti e voluminosi a scapito della validità, dell’esaustività e della correttezza dei contenuti, in parte dovuto alle pressioni delle aziende clienti in tal senso.

Gravi errori che hanno minato profondamente il ruolo di importante driver sulla sicurezza delle informazioni che il DPS avrebbe dovuto rivestire, se fatto come si deve, dimostrando l’approccio positivo e l’attenzione dei titolari del trattamento in merito alla corretta e completa applicazione delle misure di protezione. La retroattività delle norme, poi, com’è nel migliore costume della legislazione italiana, premia ancora una volta i più furbi, cioè quelle aziende che finora non avevano rispettato le norme di legge sulla corretta ed esaustiva redazione del DPS.

Un fallimento ampiamente preventivabile vista la cronica miopia delle aziende nell’approcciare provvedimenti di questo tipo. Il DPS era un’ottima occasione per le aziende di dare valore alla sicurezza come importantissimo elemento abilitante del business, di assumere consapevolezza sulle misure di sicurezza e di promuovere la cultura della sicurezza nei vari reparti. Invece esso è sempre stato considerato come una seccatura, una costosa formalità. Spesso con risultati finali decisamente vergognosi e scandalosi. È altrettanto prevedibile che la cancellazione del DPS venga, almeno inizialmente, vista dalle aziende come una vera e propria liberazione e un conseguente allentamento dei vincoli di protezione richiesti alle aziende.

Altro grave errore. I nuovi decreti di semplificazione e sviluppo non eliminano alcuna altra norma sulla tutela dei dati personali, conservando di fatto immutate tutte le disposizioni che obbligano gli interessati ad applicare idonee misure di protezione e di sicurezza, in particolare quelle citate nell’articolo 34 del Codice Privacy. Articolo che resta adesso a totale carico del Responsabile del Trattamento che avrà il compito di attestare in prima persona l’effettiva sussistenza delle misure di protezione dei dati personali.

La prossima normativa UE

A questa ingiustificata euforia e al prevedibile rilassamento delle aziende farà però seguito il varo della nuova normativa UE in tema di tutela dei dati personali che, sebbene debba ancora passare il vaglio dei governi nazionali e del parlamento europeo, prima o poi verrà approvata ed imposta a tutti gli stati dell’unione. Con l’aggravante delle pesanti sanzioni previste e della maggiore chiarezza delle norme che lascerà meno zone grigie e, quindi, sempre minori margini per le mirabolanti capacità di interpretazione delle leggi tipiche delle imprese italiane.

Ben venga, quindi, questo nuovo driver di sicurezza, nella speranza che, sebbene sembri maggiormente focalizzato sui diritti dei cittadini più che sui doveri delle imprese, consenta finalmente alle aziende di comprendere il vero valore della sicurezza delle informazioni, di investire maggiormente sulla formazione di sicurezza e di imparare a misurare il ROSI che la sicurezza è in grado di offrire in termini di miglioramento dei servizi di business e dell’immagine aziendale sul mercato.

Il testo completo della riforma proposta è consultabile sul sito della Commissione Europea in questo articolo: Commission proposes a comprehensive reform of the data protection rules (in lingua inglese).

Ettore Guarnaccia

Condividi questo articolo sui più diffusi social media, lascia il tuo voto o un tuo commento, grazie!

In precedenza, il 1 ottobre 2011, l’avevano già siglato altri otto paesi: Australia, Canada, Giappone, Corea del Sud, Marocco, Nuova Zelanda, Singapore e, manco a dirlo, gli Stati Uniti d’America. Manca, al momento, la ratifica del Parlamento Europeo che dovrebbe arrivare entro metà 2012. C’è da dire che molti rappresentanti sono stati fortemente indotti a firmare senza chissà quali spiegazioni, tanto che in pochi hanno veramente compreso i contenuti di ACTA prima di siglare il trattato.

La lotta contro l’approvazione e l’attuazione di ACTA sta montando sia sul web, sia con diverse manifestazioni di piazza previste per domani 11 febbraio in tutta Europa. Nel parlamento polacco, alcuni parlamentari hanno manifestato contro ACTA indossando l’ormai famosa maschera di Guy Fawkes, il leggendario cospiratore rivoluzionario inglese, protagonista del film “V per Vendetta“. Sono state le numerose manifestazioni di dissenso del popolo del web ad indurre alcuni rappresentanti europei a consultare meglio ACTA e a riconsiderarne gli effetti, soprattutto in termini di censura.

I primi dietrofront arrivano dalla Polonia, dove il premier Donald Tusk ha annunciato di voler recedere dalla firma del trattato, e dalla Germania dove il governo ha deciso di attendere e stare a guardare gli sviluppi prima di apporre la propria firma, preoccupato per le sempre più gravi manifestazioni di dissenso.

Vedremo cosa succederà dopo le manifestazioni di domani, ma sembra proprio che anche i pilastri di ACTA stiano per cedere, come già successo per SOPA, PIPA e Fava. Chi darà la spallata decisiva?

Ettore Guarnaccia

Condividi questo articolo sui più diffusi social media, lascia il tuo voto o un tuo commento, grazie!

Il rischio di ritrovarci un alter ego indesiderato che agisca con il nostro nome e i nostri dati personali e, potenzialmente, sia in grado di annientare le nostre finanze o distruggere letteralmente la nostra vita sociale o la nostra carriera lavorativa. Il rischio di subire un furto d’identità personale.

Un rischio di cui si parla spesso sui media, ma probabilmente senza fornire le giuste chiavi di lettura all’opinione pubblica, visto che la minaccia è molto poco percepita dalla gente. Eppure è una potenziale minaccia per chiunque e interessa almeno un italiano su quattro. Negli Stati Uniti oltre 10 milioni di persone sono vittime di furto d’identità ogni anno, mentre in Europa i casi sono relativamente inferiori ma comunque di entità non trascurabile.

La ricerca di UNICRI e CPP Italia

Una ricerca pubblicata a gennaio 2012 dall’UNICRI (Agenzia Internazionale delle Nazioni Unite per la Ricerca sul Crimine e la Giustizia) e da CPP Italia, società specializzata in prodotti e servizi di protezione contro frodi, furti e smarrimento di dati, ha evidenziato come il 25.9% di un campione di persone comprese fra 25 e 60 anni sia stato esposto a potenziale furto d’identità, con clonazione di carte di pagamento, addebiti per prodotti e servizi non richiesti, oppure adesioni inconsapevoli a contratti per via telematica e telefonica.

Quelle citate sono solo le principali tipologie di furto d’identità, focalizzate principalmente sull’aspetto economico, ma il furto d’identità può riguardare altre tipologie di azioni criminali, non necessariamente legate al lucro. Sono in forte aumento, infatti, i casi di furto d’identità perpetrati per mezzo dei social media (Facebook e Twitter in primis) che vengono utilizzati sia come fonte di informazioni, sia come mezzo di attuazione di diffamazioni, danni d’immagine e ulteriori furti d’identità a catena.

I criminali sono sempre un passo avanti

Scaltri, preparati, tecnologicamente aggiornati, i criminali sono costantemente impegnati a restare almeno un passo avanti rispetto alle forze dell’ordine e ai sistemi antifrode. Essi agiscono sostanzialmente in tranquillità, poiché è dimostrato che solo un caso di furto d’identità su 700 normalmente porta ad un arresto. Le minacce evolvono talmente in fretta che prima che le forze di polizia siano in grado di dominare un tecnica, ecco che gli attaccanti passano ad adottarne di più nuove ed efficaci. Dalle semplici tecniche di social engineering e dumpster diving, all’utilizzo di worm e keylogger, fino a farsi passare per un istituto finanziario e richiedere direttamente i dati personali, ciò che sicuramente non manca ai criminali è la creatività.

All’attacco dei grandi volumi

I criminali più sofisticati sanno bene che è molto meglio puntare ai grandi database che contengono migliaia di informazioni, dati personali, account di posta elettronica e social media, dati delle carte di pagamento e molto altro. Tante informazioni con poco sforzo. E non è detto che chi sottrae queste informazioni le usi in prima persona, anzi spesso il business è la vendita delle informazioni ad altri criminali. Le aziende di medie e grandi dimensioni, ad esempio grandi centri commerciali e online megastore, sono potenzialmente un ottimo bersaglio per questi criminali.

La diffusione delle “new account fraud”

Le frodi da creazione di un nuovo account sono in rapida ascesa e costituiscono già quasi la metà dei casi di furto d’identità. In questa tipologia di frode, il ladro sottrae informazioni sensibili e le utilizza per creare nuovi account fraudolenti sotto nome altrui. Le vittime preferite sono costituite da soggetti con grandi disponibilità finanziarie e grossi volumi di pagamento. Le frodi possono concretizzarsi con la richiesta di carte di credito supplementari spedite ad altro indirizzo, la sottoscrizione di contratti per utenze telefoniche o di servizio (gas, elettricità, acqua, ecc.) o addirittura con l’apertura di mutui e altre linee di credito a nome della vittima. Il tempo è dalla loro parte, perché queste tipologie di frode consentono al criminale un vantaggio di qualche settimana o addirittura di qualche mese prima che il furto d’identità venga scoperto dalla vittima o dagli istituti finanziari.

Le frodi sono sempre più difficili da rilevare e da risolvere

Com’è semplice immaginare, i furti d’identità sono estremamente difficili da scoprire, soprattutto se non si tiene costantemente d’occhio la movimentazione dei conti e delle carte di credito e non si sottoscrive un servizio di monitoraggio ed avviso con il proprio istituto di credito. Anche qui il tempo è dalla parte dei criminali: più tempo passa prima che la frode venga scoperta, più sarà difficile la soluzione del problema. Spesso serve molto tempo a disposizione, oltre alla collaborazione degli istituti di credito e delle terze parti coinvolte per identificare i contorni della frode e rilevare tutte le operazioni fraudolentemente eseguite.

Nel 2010 il tempo mediamente richiesto per la soluzione di un caso di furto d’identità è stato di 33 ore, contro le 12 ore del 2009. Il completo recupero delle disponibilità finanziarie indebitamente sottratte, invece, può richiedere da due settimane fino a qualche anno nei casi più complicati. Alle perdite finanziarie si sommano quindi tutte le inevitabili e pesanti perdite di tempo. Oltre al danno, la beffa!

Come proteggersi?

Secondo le ricerche citate, oltre l’80% dei consumatori si dichiara preoccupato per i furti d’identità e le frodi ad essi connesse. Peccato che le contromisure adottate spesso lascino a desiderare: alla larga diffusione di informazioni personali tramite e-mail, social media, chat e altri strumenti del web, infatti, si aggiunge lo scarsissimo ricorso a strumenti di protezione più evoluti del semplice antivirus e, soprattutto, la quasi totale assenza di consapevolezza e comprensione dei comportamenti errati che possono favorire il furto d’identità.

Com’è possibile proteggersi al meglio dal furto d’identità? Anche se un criminale professionista e preparato difficilmente può essere ostacolato dal semplice cittadino, l’osservazione di poche e semplici regole può consentire di aumentare notevolmente il proprio livello di sicurezza. Innanzitutto, come già detto, controllando costantemente e con buona periodicità la movimentazione dei propri conti bancari e delle carte di pagamento.

Non pagare con carta di pagamento in esercizi poco conosciuti o poco attendibili, siano essi negozi fisici o virtuali (siti di e-commerce). Se non se ne può fare a meno, meglio privilegiare esercizi che ricorrono a sistemi di riscossione forniti da istituti bancari di chiara fama; un istituto di credito è certamente più attento alle misure antifrode rispetto ad un qualsiasi esercizio commerciale. In caso di pagamenti mediante POS, non perdere mai di vista la propria carta di pagamento, nemmeno per brevissimi periodi: ricordate che avete il sacrosanto diritto di seguire il negoziante dietro il bancone o nel retro bottega pur di non lasciare mai sola la vostra preziosa carta. Prima di inserire il codice PIN, proteggersi da eventuali sguardi indiscreti e verificare la correttezza del’importo indicato a video sul terminale POS.

Distruggete personalmente tutti i documenti contenenti dati personali o sensibili prima di gettarli nelle immondizie: ricette e referti medici, estratti conto bancari, documenti finanziari, fotocopie di documenti personali, ecc. Sia a casa che in ufficio, non dimenticatelo! Magari aiutandovi con un bel distruggi documenti, meglio se a taglio incrociato. Se dovete spedire copie di documenti a terze parti accertatevi dell’effettiva identità del corrispondente e privilegiate la protezione dei file mediante crittografia. In alternativa usate il caro vecchio fax.

In caso di relazioni per corrispondenza, per via telefonica o telematica, accertatevi sempre dell’identità dell’interlocutore e non cadete nei tranelli. Nessun istituto vi chiederà mai la comunicazione di dati sensibili come il codice PIN o le password. Oltre all’immancabile antivirus, non esitate ad installare sul vostro personal computer anche validi prodotti di antispam e antispyware che è meglio lasciare sempre attivi e residenti nel sistema seppur a scapito di un po’ di velocità di elaborazione. Massima attenzione ai messaggi di phishing e whaling: se non conoscete sufficientemente bene queste tecniche, informatevi con cura e prendete coscienza del fenomeno.

Infine, non meno importante, prestate la massima attenzione a cosa scrivete, postate e caricate sui social media, nei forum, nelle chat e sui blog. A volte bastano tanti piccoli particolari riportati incautamente sul proprio account Facebook o Twitter per consentire ad un criminale di mettere insieme tutti i pezzi e costruire abilmente una nuova identità utilizzando i vostri dati. Prima di postare qualcosa chiedetevi sempre se quell’informazione che state per scrivere può essere funzionale ad una frode nei vostri confronti. Nel dubbio, astenetevi.

Ettore Guarnaccia

Condividi questo articolo sui più diffusi social media, lascia il tuo voto o un tuo commento, grazie!

I fattori di supremazia

La supremazia nella cyberwar non è collegata ai fondi a disposizione o al livello degli armamenti in possesso di una nazione, come avviene negli altri domini della guerra. La supremazia nel quinto dominio, il cyberspazio, appartiene ai soggetti in possesso delle migliori conoscenze e della maggiore efficacia nel nascondere sé stessi e il proprio operato. Basta una sola persona veramente preparata per eseguire un cyber attacco che vada a segno senza lasciare tracce.

Le nuove sfide

Nel fronteggiare questa estrema asimmetria delle forze in campo, le nazioni devono affrontare nuove sfide, in particolare la definizione di politiche ed aspetti legali per il trattamento degli eventi del cyberspazio. Ad esempio, la definizione dei criteri che consentano di definire quando un cyber attacco oltrepassa la linea rossa che separa l’offesa sul piano civile ad un vero e proprio attacco di tipo militare che richiede adeguate misure di risposta. Oppure come identificare e localizzare l’aggressore, una delle difficoltà più difficilmente risolvibili nel panorama cibernetico moderno.

La tendenza degli Stati Uniti, al momento, è quella di mantenere un certo grado di incertezza e, quindi, di flessibilità nel trattamento dei cyber attacchi. Per combattere minacce asimmetriche è necessario adottare un approccio altrettanto asimmetrico, finché non sarà possibile (se lo sarà) definire regole di trattamento generali e condivise a livello internazionale.

Le strategie di risposta

Il cyberspazio è un dominio molto complicato, dai contorni e dai meccanismi ancora indefiniti. Oltre alle nazioni vi agiscono altri soggetti quali gruppi criminali transnazionali, hacker, cyber attivisti, insider e terroristi, tutti con le proprie motivazioni. Gli obiettivi dei cyber attacchi possono essere colpiti, danneggiati o compromessi senza preavviso e una risposta efficace, a causa delle peculiarità del cyberspazio, può richiedere giorni o settimane per essere organizzata ed attuata. I problemi dei cyber attacchi non sono esclusivamente tecnologici ma anche legali, politici e sociali.

Come rispondere ai cyber attacchi in maniera commisurata e, soprattutto, legale? Come definire con certezza la giurisdizione di un evento e quali leggi vi si applicano quando un attacco proviene da un’altra nazione, magari attraversando diversi altri confini nazionali prima di giungere a destinazione? La NATO, ad esempio, cerca di promuovere la condivisione delle informazioni fra gli stati membri, favorendo aspetti come trasparenza e comunicazione, ma il livello di preparazione di questi non è al momento sufficientemente omogeneo ed elevato.

Il livello di preparazione delle forze in campo

Secondo gli analisti interpellati da McAfee e SDA, sul campo di battaglia si distinguono, in termini di preparazione alla cyberwar, le nazioni più piccole e tradizionalmente più attente in campo tecnologico. Finlandia e Svezia sono le nazioni più “cyberwar-ready” del panorama cibernetico grazie all’istituzione di CERT (Computer Emergency Response Team) nazionali, alla partecipazione informale alle comunità CERT e come membri attivi dell’European CERTs Group (ECG), alla definizione di strategie e piani nazionali di cyber security e all’attuazione di diversi test di cyber incidenti in scenari sia pubblici che privati. Anche Israele è un top player del cyberspazio, in particolare grazie alla propria cyber strategy, all’istituzione di un vero e proprio cyber commando nazionale e, soprattutto, all’aver compreso le minacce e le sfide del cyberspazio almeno 10 anni fa.

Il segretario alla difesa USA, Robert Gates, nel 2009 ha formalmente riconosciuto il cyberspazio come nuovo dominio di interesse della difesa nazionale, ordinando l’unione e il coordinamento delle forze cibernetiche in un Cyber Commando che è divenuto operativo nel maggio 2010. Il Congresso USA e il presidente Barack Obama hanno approvato e siglato il National Defense Authorization Act for Fiscal Year 2012 con una curiosa aggiunta. Nella sezione 954 si stabilisce, infatti, che il Dipartimento della Difesa può intraprendere atti di cyberwar per difendere i propri alleati e i relativi interessi.

Nel panorama europeo si distinguono Francia, Germania, Olanda, Spagna, Danimarca, Estonia (che ospita il centro di eccellenza per la Cooperative Cyber Defence NATO) e il Regno Unito.

L’impreparazione dell’Italia

All’Italia viene attribuito un livello di preparazione tuttora mediocre, poiché le strutture CERT governative non dispongono di fondi sufficienti per operare su scala globale e, sebbene vi sia una certa partecipazione ai test comunitari sui cyber incidenti, non esiste una strategia di cyberwar ben definita. I politici italiani tendono, come sempre, ad essere più emozionali che razionali e non comprendono né sono in grado di misurare i problemi di cyber security. Manca l’educazione sulle minacce del cyberspazio e su come queste debbano essere chiaramente individuate e trattate.

Le ripetute intrusioni del gruppo di attivisti Anonymous nei sistemi del CNAIPIC e di Vitrociset nel 2011 hanno dimostrato chiaramente il grave livello di impreparazione delle strutture cibernetiche governative. Manca un entità singola incaricata di governare e coordinare la sicurezza nazionale e gli sforzi di combattere le minacce cibernetiche sono disorganizzati e poco uniformi. Sebbene l’Italia disponga di piani di emergenza decenti per la protezione civile in caso di alluvioni o terremoti, non ne esiste uno dedicato agli incidenti di cyber security.

Mancano i fondi per potenziare le capacità di trattamento delle minacce informatiche ed è altrettanto carente la cultura generale del popolo italiano in materia di sicurezza e sulle misure di protezione dei sistemi. La maggior parte dei problemi, infatti, è costituita dalla scarsa protezione dei personal computer privati che vengono utilizzati sempre più spesso per azioni criminali. Le leggi finora promulgate indirizzano solo misure di protezione dei minori e il gioco d’azzardo online, sebbene solo raramente si arrivi a casi giudiziari e condanne penali.

Le raccomandazioni sulla cyber security

Il rapporto di McAfee & SDA fornisce una serie di interessanti raccomandazioni sulle misure di cyber security che ciascuna nazione dovrebbe opportunamente intraprendere per aumentare il proprio livello di preparazione, gestire in maniera più efficace gli eventi di cyber sicurezza e limitarne i relativi danni.

Innanzitutto è opportuno aumentare il livello di fiducia e cooperazione fra il governo e il settore industriale al fine di condividere efficacemente informazioni e linee guida. Poi investire su misure che consentano alla popolazione di aumentare il proprio livello di consapevolezza sui rischi e sulle minacce che incombono sui propri dati personali, promuovendo educazione e addestramento sulla cyber security.

Tecnologie emergenti e in rapida diffusione, in particolare l’utilizzo di device mobili (smartphone, PDA, tablet, ecc.) e dei servizi di cloud computing, devono essere accuratamente esaminate ed efficacemente indirizzate in termini di sicurezza. Massima priorità deve essere data alla protezione delle informazioni e alla salvaguardia dei concetti chiave della sicurezza, cioè confidenzialità, integrità e disponibilità.

Il miglioramento delle comunicazioni fra le diverse comunità di esperti di politiche di sicurezza, esperti di tecnologie informatiche e leader di business è fondamentale, sia a livello nazionale che internazionale, per la definizione di regole e standard riconosciuti. Infine, è necessario considerare diversi scenari di cyber attacco, integrando la sicurezza cibernetica in tutte le infrastrutture e i processi esistenti, prevedendo considerazioni e investimenti in cyber security a tutti i livelli.

Ettore Guarnaccia

Fonti:

• Cyber-security: The vexed question of global rules – McAfee and SDA – Febbraio 2012
• The State of Cyberwar in the U.S. – DiploNews, Shawnna Robert – Febbraio 2012

Condividi questo articolo sui più diffusi social media, lascia il tuo voto o un tuo commento, grazie!

La presentazione, avvenuta anche in streaming a diffusione mondiale, è stata presieduta anche dal Magnifico Rettore dell’Università di Padova, Giuseppe Zaccaria, dal prorettore con delega per la Ricerca, Silverio Bolognani, nonché dal sindaco di Padova Flavio Zanonato e dal vicesindaco Ivo Rossi. Non senza problemi tecnici, ma la storia insegna che essi, in questi casi, possono anche essere beneauguranti.

Il tema delle galline liberate che ha guidato il progetto del professor Marchiori è efficace nel rappresentare le gabbie in cui gli utenti del web sono virtualmente rinchiusi quando utilizzano i motori di ricerca canonici, Google in primis. Chi conosce bene il web sa che è il motore di ricerca che decide, in base alle proprie logiche interne (che sarebbe meglio definire “algoritmi”) e, più a monte, da un certo numero di politiche commerciali, opportunistiche e (ahimè) di vera e propria censura.

Ma Massimo Marchiori non è nuovo a queste imprese dato che fu proprio lui, 15 anni fa, ad ideare l’algoritmo Hyper Search che sta alla base del motore interno di Google, tanto da essere insignito del premio TR100 riservato ai primi 100  giovani innovatori tecnologici del mondo. Oggi Marchiori è professore associato presso l’Università di Padova, ma lavora anche presso il MIT di Boston ed è anche autore dello standard P3P per la dichiarazione delle misure di privacy adottate nel trattamento delle informazioni personali degli utenti web.

Il motore che fa volare le galline

Parliamo di Volunia e della nuova prospettiva che introduce nel World Wide Web, un ambiente molto complesso che si è enormemente evoluto negli ultimi 15 anni, si è trasformato con l’avvento del Web 2.0 e ha cambiato la vita e le modalità di interazione degli utenti della grande rete, in particolare con la nascita dei social network. Come premesso, la navigazione spesso avviene partendo da un motore di ricerca, che spesso è Google, e altrettanto spesso avviene in base a delle scelte che solo in parte sono dell’utente. Volunia ha l’ambizione di lasciare la scelta all’utente e di basarla su fattori nettamente diversi, alzando la prospettiva di ricerca (il volo della gallina) e spostandosi decisamente sul lato “social” del web.

A prima vista Volunia è un motore di ricerca che non abbandona l’utente dopo aver fornito i risultati, ma lo segue grazie ad un’applicazione che resta sempre persistente e offre una serie di strumenti di tipo moderno, nettamente più vicini al Web 2.0 e alle logiche che stanno alla base dei social media. Da qui lo slogan ufficiale del motore di ricerca “Seek and Meet”, ricerca e incontra. Interessante la visualizzazione delle risorse dei siti ricercati con una rappresentazione grafica che ricorda vagamente il tormentone Farmville di Facebook e consente comunque di variarne il tema grafico a piacimento.

In definitiva, grazie alla barra delle funzionalità sociali, Volunia consente di fare delle scelte sulla base della frequentazione e dei gusti personali, unendo il mondo dell’informazione con il mondo delle persone reali che navigano fra i contenuti, influenzandone il gradimento ed essendo a propria volta influenzati grazie alle relazioni sociali. Non si sarà più indirizzati su un sito web solo perché il motore di ricerca lo propone fra i primi dieci, bensì perché molti miei amici lo visitano abitualmente o perché è più vicino alle mie preferenze e ai miei interessi quotidiani. Decisamente interessante, non c’è che dire!

Se le caratteristiche di scalabilità citate da Marchiori non costituiranno un problema, allora Volunia ha tutte le carte in regola per diventare un caso di risonanza mondiale in ambito web. A meno che Google non riesca a mettersi rapidamente al passo, forte della propria disponibilità economica. Sulla carta Volunia si differenzia dal colosso di Mountain View di almeno una spanna, poiché è l’unico finora in grado di cogliere le enormi potenzialità offerte dal Web 2.0, argomento in cui Google ha dimostrato di essere tuttora un po’ carente considerando il flop dei progetti di social media finora lanciati (Buzz e Google+).

Fa piacere, infine, incontrare un sempre più raro caso di ricerca strategica e di eccellenza che sia stata condotta e sviluppata in Italia, con risorse giovani nonostante l’alto rischio dovuto alla forte innovazione e alla necessità di salvaguardare al massimo la riservatezza del segreto industriale che ne rappresenta il cuore.

Non appena possibile pubblicherò un mio resoconto sull’esperienza di utilizzo di Volunia, poiché ho l’onore di essere fra gli utenti Power User invitati a testarne in anteprima le interessanti funzionalità.

Vi lascio con una breve presentazione video di Volunia pubblicata dal suo stesso creatore, il professor Marchiori:

Per finire, un grosso in bocca al lupo a questa splendida avventura che nasce da Padova!

Ettore Guarnaccia

Condividi questo articolo sui più diffusi social media, lascia il tuo voto o un tuo commento, grazie!

Data del seminario: 31 gennaio 2012

Link al seminario: https://isc2.brighttalk.com/node/942

Programma del seminario:

• They Call It Stormy Monday – Security Considerations for Organizations Looking Towards the Cloud;
• The Cloud: Privacy and ID Management Considerations;
• Identity is the New Perimeter;
• Land mines in the Cloud: Surprising Identity Issues with Cloud Integration.

Esito del quiz CPE: Passato

Con 365 voti contrari di quasi tutte le coalizioni politiche (eccetto, ovviamente, la Lega Nord), l’emendamento promosso dall’onorevole Giovanni Fava è stato stroncato, più che bocciato. Nonostante le grandi attestazioni di stima e sostegno lanciate a piene mani dagli Stati Uniti e raccolte solo dal solerte onorevole padano. Dopo il dietrofront su SOPA e PIPA, questa è l’ennesima sconfitta dell’illogica strategia di repressione della libertà di espressione del Web 2.0 con la scusa di difendere la proprietà intellettuale degli autori.

Molti attribuiscono la colpa di questi maldestri tentativi di censura alla scarsa volontà dei promotori di comprendere appieno le caratteristiche e i meccanismi del Web 2.0 per poter disegnare misure di protezione della proprietà intellettuale (ripeto, concetto che ritengo sacrosanto) che siano realmente efficaci e non vadano a toccare la libertà di espressione individuale. Io che in questi casi sono propenso a pensare male, invece, il mio parere l’ho già espresso: è proprio perché hanno finalmente compreso le potenzialità (e i pericoli, dal loro punto di vista) del Web 2.0 che le lobby della comunicazione cercano, con la forza e non con il dialogo, di abbattere la libertà di espressione e di ottenere finalmente il monopolio della comunicazione, una sola, unica, ufficiale voce per informare la popolazione!

Ad ennesima dimostrazione dell’infondatezza delle motivazioni addotte a supporto di SOPA, PIPA e FAVA, Paulo Coelho, un vero e proprio autore coi fiocchi, uno che ha sicuramente voce in capitolo in tema di proprietà intellettuale, decide addirittura di acquistare uno spazio sul famigerato The Pirate Bay per incitare alla condivisione libera dei suoi testi! Non certo un dissennato, Coelho afferma che le vendite dei suoi testi sono aumentate notevolmente da quando questi sono stati oggetto di pirateria e condivisione tramite P2P. Più in generale, egli espone il suo pensiero in un articolo pubblicato due settimane fa sul suo blog. In particolare, come già avevo fatto anch’io, definisce questi tentativi di censura del web “un pericolo reale“.

Il fronte anti-libertà, dopo aver incassato tre sconfitte in campo legislativo, rimane invece saldamente in gioco in campo commerciale grazie ad ACTA, un accordo commerciale anti-contraffazione sordidamente coltivato fin dal 2007 da circa 40 nazioni mondiali, dalle immancabili RIAA e MPAA, nonché da diverse multinazionali interessate al tema. L’Unione Europea partecipa rappresentata dalla Direzione Generale Commercio e dal Consiglio dei Ministri, mentre il Parlamento Europeo è completamente tagliato fuori dai giochi (e non è certo la prima volta!), nonostante abbia promosso uno studio che dimostra l’estrema necessità di rigettare ACTA.

La sostanza è sempre la stessa e consiste nell’ennesimo tentativo di introdurre misure internazionali per contrastare la diffusione non autorizzata di materiale coperto da copyright, puntando anche stavolta l’indice contro i provider di hosting e di servizio invece che portare una soluzione razionale, ponderata e, soprattutto, equa ed attuabile. Anzi, stavolta la preoccupazione si allarga anche ad altri campi. Per fare un esempio, molte organizzazioni di volontariato come Médecins Sans Frontières, Oxfam e Health Action International, denunciano da tempo la minaccia che ACTA rappresenta realmente per le persone che necessitano di farmaci generici e a basso costo, in particolare nelle nazioni del terzo mondo.

In prima linea contro ACTA si schiera La Quadrature du Net, che denuncia apertamente le palesi minacce alla libera condivisione dei contenuti nel Web e le menzogne che la Commissione UE usa senza alcun ritegno per difendere ACTA. Oltre 75 giuristi statunitensi hanno inviato una lettera aperta al presidente USA Barack Obama per chiedergli di fermare l’accordo come risposta al testo proposto dalla Commissione UE intitolato “10 miti su ACTA“.

Nel frattempo sono partite petizioni online anti-ACTA e diverse città europee si preparano a scendere in piazza sabato 11 febbraio per protestare contro il famigerato trattato commerciale (esiste già una mappa delle piazze interessate dalla protesta). Non ci resta che aspettare per sapere se la natura commerciale e non legislativa di ACTA possa finalmente costituire l’arma giusta per le lobby della comunicazione, oppure se anche stavolta trionferà la libertà di espressione completando un poker clamoroso!

Per chi volesse consultare il testo integrale di ACTA in lingua italiana, ecco il link. Se vi interessa sapere in quali modi combattere ACTA, ecco la Wiki messa in piedi da La Quadrature du Net.

Ettore Guarnaccia

Condividi questo articolo sui più diffusi social media, lascia il tuo voto o un tuo commento, grazie!

Scopritelo con questo simpatico filmato:

E per dimostrare che quanto pubblicizzato da Twitter non è solo vanagloria, ecco un interessante filmatino che illustra il traffico generato su Twitter in occasione del terremoto (e relativo tsunami) avvenuto in Giappone l’11 marzo 2011. In rosso il traffico originale (tweets) e in verde gli inoltri (retweets).

Sembra che anche stavolta non ci siano particolari danni a persone e cose, spero proprio che sia veramente così!

Condividi questo articolo sui più diffusi social media, lascia il tuo voto o un tuo commento, grazie!

Una guerra fatta di battaglie combattute con mouse e tastiera, dando luogo ad un conflitto invisibile nel mondo reale ma dagli effetti potenzialmente devastanti. Questo accade nel cosiddetto “cyberspace“, una dimensione immateriale dove viaggiano le comunicazioni fra computer e dove le persone reali interagiscono per mezzo delle tecnologie informatiche. Negli ambienti della difesa il cyberspace viene già definito come “il quinto dominio della guerra” dopo terra, mare, aria e spazio.

Il termine cyberwarfare viene spesso erroneamente sovrapposto ai concetti di cybercrime e cyber terrorismo. Sebbene gli strumenti e le tecniche adottate spesso coincidano, nella guerra cibernetica le tecnologie informatiche e di comunicazione vengono utilizzate come vere e proprie armi per neutralizzare le difese del nemico, cioè i sistemi di comando, controllo e comunicazione, ma anche gli armamenti stessi. Sistema di guida e puntamento, sistemi missilistici, droni, radar, scudi spaziali, telecomunicazioni, tutto ormai ha un indirizzo IP e comunica via rete esponendosi a rischi di attacco informatico.

Il Cyber Spionaggio

Un ruolo da protagonista nel cyberwarfare lo svolge il cyber spionaggio, perché in questo nuovo tipo di guerra è fondamentale ottenere più informazioni possibili sul nemico, sui suoi armamenti e sui suoi sistemi di difesa, per poi sfruttarle a proprio vantaggio. In questo campo la superpotenza più attiva è certamente la Cina che ha preso di mira diverse volte obiettivi sensibili negli USA con attacchi tenaci, persistenti e ben strutturati che le hanno consentito di ottenere informazioni classificate e segreti militari di cruciale importanza. Tanto da spingere gli esperti a coniare il termine di Advanced Persistent Threat (APT) per indicare proprio questa tipologia di minaccia cibernetica. Alcuni esempi di APT sono costituiti dalle operazioni Moonlight Maze, Titan Rain, Shady RAT, Joint Strike Fighter, Aurora, Night Dragon, RSA, Lockheed Martin, Gmail e le CA Comodo, Diginotar e KPN, per citare solo i casi più rilevanti.

I Contendenti

Lo scenario globale oggi vede impegnate da una parte l’asse USA, UK e Israele, dall’altra le superpotenze eurasiatiche dell’Organizzazione di Shanghai per la Cooperazione (SCO) con Cina e Russia in prima linea. Mentre la Cina assale sistematicamente gli acerrimi nemici statunitensi, la coalizione anglosionista concentra i propri sforzi nei reiterati tentativi di penalizzare il programma nucleare dell’Iran con i worm Conficker, Stuxnet, Stars e Duqu.

Non mancano però attacchi incrociati che coinvolgono altre nazioni come, ad esempio, Russia, India, Pakistan, Giappone, Egitto e Arabia Saudita e non è semplice accertare quali attacchi vengano lanciati realmente dai governi e quali siano invece rappresaglie di gruppi di cyber criminali nazionalisti. Un caso recente è rappresentato dalle scaramucce digitali fra Palestina e Israele.

Gli effetti sugli armamenti convenzionali

Il primo esempio eclatante degli effetti che il cyber spionaggio può avere sugli armamenti veri e propri si è avuto con l’episodio dell’intercettazione del drone statunitense RQ 170 Sentinel, avvenuto sul suolo iraniano molto probabilmente con la complicità degli alleati Cina e Russia. E ancor più probabilmente grazie ai segreti militari e industriali sottratti alla casa produttrice del drone, la Lockheed Martin più volte colpita da intrusioni informatiche. Da notare che il Sentinel catturato rappresenta la punta di diamante dell’aviazione USA, un gioiello di tecnologia che non è stato concesso nemmeno all’amico Israele e di cui è stata a lungo negata l’esistenza. Successivamente, sotto Natale, l’Iran è riuscito a neutralizzare un satellite spia della CIA.

Botnet e Worm

Altro ruolo da protagonista nel cyberwarfare lo ricoprono le botnet e i worm. Le botnet, forse il più antico, resiliente ed efficace esempio di cloud computing, comprendono diversi milioni di computer, sia aziendali che casalinghi, sparsi in tutto il mondo e pronti, ad un solo comando, a diventare una vera e propria arma bellica con cui neutralizzare le reti del nemico o creare fenomeni diversivi per coprire altri obiettivi strategici. I worm sono ormai caratterizzati da tale complessità, raffinatezza ed efficacia da indurre a pensare che solo un governo nazionale può permettersi di investire in diverse vulnerabilità “0-day” e in segreti industriali molto costosi e difficili da reperire.

Le infrastrutture critiche nazionali

Fin qui il cyberwarfare potrebbe sembrare un videogame in cui sono impegnati i governi nazionali ma che non riguarda la popolazione. Grave errore! In realtà il pericolo più grosso lo corre proprio la gente comune. Da tempo, infatti, tutte le infrastrutture critiche nazionali, in particolare nei paesi occidentali, sono strettamente legate a strumenti informatici e reti di comunicazione: rete elettrica, rete idrica, gasdotti, oleodotti, reti fognarie, rete telefonica residenziale e mobile, rete ferroviaria, aeroporti, sistemi di controllo del traffico aereo, sistemi di automazione industriale degli impianti nucleari, chimici, petroliferi e via dicendo. Tutto ormai è collegato in rete e controllato mediante sistemi informatici.

Prova ne sia che la rete elettrica degli Stati Uniti è stata già violata nel 2009 e non si conoscono ancora del tutto i possibili effetti a lungo termine. Non solo, ora gli stessi Stati Uniti dichiarano apertamente che la rete elettrica USA è vulnerabile ad attacchi cibernetici, ma il rischio è elevatissimo per tutte le nazioni ad alto tasso di penetrazione dell’informatica nei sistemi di automazione industriale. Nel suo rapporto congiunto con il Dipartimento dell’Energia statunitense del giugno 2010, la North-American Electric Reliability Corporation (NERC) ha dichiarato che “un attacco informatico coordinato al sistema di alimentazione USA potrebbe portare a irreparabili danni di lungo termine a componenti chiave del sistema, portando perdite di energia a grosse fette di popolazione per periodi estesi”.

I possibili effetti disastrosi sulla popolazione

Immaginate diversi mesi di assenza dell’energia elettrica in uno scenario dove tutto funziona grazie a questa preziosa fonte di alimentazione. Tutti i servizi primari verrebbero arrestati in brevissimo tempo: luce, acqua, gas, telecomunicazioni, ma anche ospedali, strutture di assistenza e primo soccorso o sistemi industriali, economici e finanziari (pensate a tutti gli sportelli bancomat fuori uso, per esempio!). Oltre al panico e all’isteria generale, non è difficile prevedere la perdita di un enorme numero di vite umane, a partire dai soggetti più vulnerabili come malati, anziani e bambini.

Oggi nessuna nazione è in grado di proteggere efficacemente le proprie infrastrutture critiche da un attacco informatico, né è possibile prevedere danni collaterali, conseguenze sistemiche ed effetti finali sulla popolazione. I sistemi di automazione industriale sono antiquati, spesso basati su sistemi operativi vecchi e poco aggiornabili, la documentazione tecnica è pressoché inesistente e anche solo valutare vulnerabilità e rischi costituisce un procedimento lungo e molto costoso. Lo stato di crisi dei paesi occidentali non aiuta e il budget per rilevare e sistemare i problemi di sicurezza degli impianti viene concesso solo in caso di minaccia immediata e senza alcuna pianificazione.

La miopia cronica del settore industriale

Secondo uno studio di McAfee, in 14 paesi (fra i quali l’Italia) l’85% delle grandi imprese industriali ha registrato accessi non autorizzati alla propria rete e, in occasione della diffusione di Stuxnet, solo il 35% delle infrastrutture critiche è stato verificato sulla presenza del worm e ben il 40% degli impianti controllati è risultato infetto! Lo scenario è descritto in maniera più approfondita in un articolo di Infosec Island di cui raccomando di leggere attentamente anche i relativi commenti.

Nel settore industriale, infatti, è ancora opinione diffusa che la sicurezza consista nell’indossare elmetti protettivi e calzature antinfortunistiche, oppure fare una corretta manutenzione meccanica degli impianti. Ad aggravare la situazione, negli ultimi anni, è stata la proliferazione di interfacce web, sistemi di accesso remoto e software di analisi collegati ai sistemi SCADA e PLC per fornire al borioso management degli splendidi report grafici sull’andamento della produzione, introducendo contestualmente un numero elevatissimo di vulnerabilità informatiche nell’intero sistema.

La Cyber Defense USA

Ogni superpotenza mondiale ha da tempo istituito un dipartimento di cyber difesa nazionale, ma in generale la strada da fare è ancora lunga e si susseguono febbrilmente summit e trattati multinazionali con l’obiettivo di migliorare le strategie e le misure difensive. Gli Stati Uniti si sono addirittura dotati di un “Internet Kill Switch” in grado di separare, su richiesta del Presidente, la rete Internet USA dal resto del mondo. Personalmente sono abbastanza scettico sulla possibilità di utilizzare uno strumento così drastico, vista la forte dipendenza degli USA dalla rete Internet in campo economico, finanziario e militare; un’operazione del genere potrebbe abbattere in un solo colpo oltre il 70% dell’economia mondiale, pertanto avrebbe senso solo in uno scenario di conflitto globale.

La Cyber Defense NATO

Con l’obiettivo di contrastare le alleanze dello SCO, nel corso del North Atlantic Council di Lisbona 2010 la NATO ha dichiarato di voler rielaborare la sua Cyber Defense Policy con l’obiettivo di migliorare le proprie capacità di prevenire e rilevare i cyber attacchi, nonché difendersi e ripristinare le proprie infrastrutture tecnologiche in caso di danneggiamento. In tal senso operano i diversi enti di sicurezza appositamente istituiti, come NCDMA, NC3A, NCIRCTC, ESCD e il nuovo centro di eccellenza per addestramento, ricerca e sviluppo costituito dal Cooperative Cyber Defense di Tallin in Estonia.

I preparativi dell’Europa

L’Europa al momento è poco più di uno spettatore che lentamente cerca di mettersi al passo e, per quanto riguarda i paesi del patto atlantico, di fare la propria parte sotto il cappello della NATO. Nel corso del Forum Europeo degli Stati Membri (EFMS) sono stati promossi scambi e discussioni sulle misure di sicurezza e resilienza da adottare sulle infrastrutture di telecomunicazione, prevedendo apposite valutazioni ed esercitazioni. In occasione del vertice UE-USA di novembre 2010 è stato inoltre creato un gruppo di lavoro  congiunto sulla sicurezza e la criminalità informatica. Nel contesto europeo le autorità di riferimento sono l’ENISA, con l’incarico di regolare lo scambio di informazioni e linee guida di sicurezza fra gli stati membri, e l’EDA che ha l’obiettivo di sviluppare le capacità di cyber defense e di migliorare le attuali architetture tecnologiche anche con il supporto del settore privato.

La situazione (disastrosa) dell’Italia

In Italia dal 2009 la Polizia Postale gestisce infatti il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (CNAIPIC), il cui compito è la prevenzione e la repressione dei crimini informatici, di matrice comune, organizzata o terroristica, che hanno per obiettivo le infrastrutture informatizzate di natura critica e di rilevanza nazionale. Non è per niente rassicurante la facilità con cui il CNAIPIC e Vitrociset (società che gestisce reti e sistemi del CNAIPIC stesso, della Difesa, delle forze di polizia e di controllo del traffico aereo) siano stati più volte attaccati con successo da parte del gruppo di hacker “Anonymous”. Nel contesto del cyberwarfare, insomma, l’Italia cerca disperatamente di avere una parte da coprotagonista pur senza essere all’altezza delle altre nazioni attivamente impegnate nel cyberspazio.

Parola d’ordine: investire sulla difesa

Da tutto questo si evince che gli sforzi di USA, NATO e UE sono quasi esclusivamente indirizzati al miglioramento delle infrastrutture e delle misure di sicurezza per potenziare la cyber difesa, a differenza della Cina che, non avendo particolari segreti industriali e militari da difendere, non ha nulla da perdere nell’attaccare con tenacia e costanza il mondo occidentale alla ricerca di preziose informazioni. Nel frattempo Israele se la prende un po’ con tutti, sollecitando gli Stati Uniti a supportare incondizionatamente le proprie azioni.

Armi convenzionali contro i cyber attacchi?

Preoccupano però le recenti dichiarazioni del Pentagono che avverte che gli Stati Uniti, se giustificati, sono pronti a rispondere ad eventuali cyber attacchi con armi convenzionali come farebbero in seguito a qualsiasi altro tipo di attacco al loro paese. Quel “se giustificati” consente diverse interpretazioni, purtroppo assolutamente soggettive. Una delle principali caratteristiche dei moderni cyber attacchi è proprio l’estrema difficoltà di attribuzione degli stessi ad uno specifico attaccante in termini assoluti. Ergo, nel cyberspazio non si può mai essere sicuri al 100% che l’attacco sia stato effettivamente originato da una specifica nazione, né che questo si sia svolto con l’intervento del governo di quella nazione. Potenzialmente, dietro una botnet di 10 milioni di computer potrebbe nascondersi un singolo attivista in alcun modo collegato al governo del proprio paese.

Possibili attacchi “false flag” nel cyberspazio

In aggiunta, considerando la cronica predisposizione dell’asse anglosionista all’auto-attentato, anche il cyberspazio potrebbe diventare teatro di episodi eclatanti da sfruttare come pretesto per indurre l’opinione pubblica ad approvare invasioni, guerre o altre esportazioni di democrazia. E a giudicare da ciò che si può leggere sul web, l’ipotesi non è poi così remota.

Lettura consigliata

Per meglio comprendere l’argomento, vi invito a leggere il libro di Richard A. Clarke e Robert K. Knake dal titolo “Cyber War: The Next Threat to National Security and What to Do About It“.

Ettore Guarnaccia

Condividi questo articolo sui più diffusi social media, lascia il tuo voto o un tuo commento, grazie!

Il rinvio di SOPA e PIPA

Questa operazione ha preceduto di pochissimo l’annuncio del rinvio sulla discussione delle proposte di legge SOPA e PIPA presso il Congresso USA. Mentre la valutazione di quest’ultima, a detta del senatore Harry Reid, è stata rimandata a tempo indeterminato, la SOPA, stando alla dichiarazione del deputato proponente Lamar Smith, verrà prossimamente rivalutata e rivista nei contenuti. Non è da escludere che le lobby della comunicazione attendano di trovare una modalità più silente e un momento più propizio per riproporre e far approvare le norme senza attirare l’attenzione dei media. In tal senso Smith ha dichiarato di voler “attendere finché non sarà raggiunto un più ampio consenso sulla soluzione”.

Le lezioni impartite dal caso Megaupload

L’operazione Megaupload, nel frattempo, insegna alcune importanti lezioni. Prima fra tutte, che non è necessario attendere l’approvazione di leggi come SOPA e PIPA per assistere alla chiusura di provider accusati di ospitare contenuti illegali. Basta un’azione di forza dei soliti (arroganti) enti governativi statunitensi ed ecco che l’ingiustizia è servita. Non che il caro vecchio Kim Schmitz fosse un santo, anzi! Si tratta, infatti, di un ex pirata informatico, condannato più volte per diverse tipologie di reato come furto di informazioni riservate e dati bancari, aggiotaggio, insider trading, appropriazione indebita, frode informatica e ricettazione, diventato miliardario spennando la gente con operazioni finanziarie spietate e criminali.

L’ingiustizia è costituita dalla chiusura generale del servizio di hosting senza andare a colpire o sanzionare i singoli utenti che gestivano illegalmente, tramite esso, contenuti audiovisivi infrangendo il copyright, operazione peraltro fattibile mediante collaborazione con i proprietari arrestati e più volte da essi offerta in passato. In questo modo sono stati fortemente penalizzati tutti gli utenti che utilizzavano legalmente il sito, in particolare i proprietari di account premium che avevano pagato per il servizio anche 200 euro ciascuno. Basta fare una ricerca su Twitter per vedere quanti sono gli utenti che utilizzavano il servizio per scambiare file a scopo lavorativo o personale e che, di colpo, senza aver infranto alcuna legge, si ritrovano i file sequestrati senza alcuna possibilità di accesso o recupero.

Questo insegna che l’utilizzo di servizi in cloud, sebbene per scopi totalmente legittimi, non può ancora essere considerato sicuro, quantomeno sotto l’aspetto della disponibilità dei contenuti, come conferma via Twitter anche il famoso hacker Kevin Mitnick. Si corre il rischio, infatti, di vedere sequestrati in un batter d’occhio e senza preavviso tutti i propri file caricati online solo perché un utente del medesimo servizio è accusato di aver infranto copyright o di aver commesso altre tipologie di crimine. Sebbene la pratica del file sharing sia assolutamente legale, quindi, non vi è alcuna garanzia che il servizio di hosting sia assicurato senza interruzioni o, peggio, sequestri esecutivi senza distinguere fra contenuti legali e illegali.

L’altra importante lezione che questo evento ci insegna è che la sacrosanta protezione della proprietà intellettuale (mai messa in discussione) richiede nuove idee e nuove tecnologie. È necessario ripensare tutto il sistema di difesa del copyright usando la testa e non la forza bruta. La tecnologia lo permette già ma ciò che attualmente manca sono le idee e la volontà degli organi governativi e delle lobby della comunicazione di impegnarsi seriamente e correttamente in questa guerra alla pirateria.

Le lobby non hanno capito (o non vogliono capire) che il servizio di hosting è un mero contenitore digitale, un cosiddetto “cyberlocker”, analogo ad una cassetta di sicurezza di un istituto bancario: non è mai stata chiusa e posta sotto sequestro una banca solo perché ospitava nelle proprie cassette di sicurezza valori rubati. Né tantomeno è possibile ottenere che una banca verifichi il contenuto di tutte le proprie cassette di sicurezza per accertare che non vi siano contenuti illegali. Anche i precedenti storici più eclatanti, come la chiusura di Napster e di The Pirate Bay, hanno costituito per i pirati un’occasione per riorganizzare le forze e ritornare sul campo di battaglia ancora più forti ed agguerriti.

Le reazioni causate

A conferma di ciò, l’operazione Megaupload ha innescato la veemente reazione del gruppo Anonymous che ha subito attaccato diversi siti governativi, di RIAA e MPAA e di diversi altri enti collegati alle lobby della comunicazione nell’operazione “#OpMegaUpload”. Altra lezione: non è annientando un provider di file hosting che si sconfigge la pirateria: lo prova l’esistenza di numerosi altri provider di file sharing (es. FileServe, FileSonic, HotFile, UploadStation, DepositFiles, MediaFire, RapidShare, FileJungle, ecc.) che sono pronti a riempire da subito il vuoto lasciato da Megaupload, mentre quest’ultimo è già rinato sotto nuove sembianze e altri servizi analoghi sono in fase di rilascio.

Le conclusioni

In definitiva, emergono nettamente la presunzione e l’arroganza con la quale (ancora una volta) il governo USA agisce internazionalmente per difendere gli interessi dei poteri economici e finanziari, infischiandosene dei sacrosanti diritti degli utenti incolpevoli e senza intraprendere strade sicuramente più difficoltose ma quantomeno corrette, imparando dalle clamorose sconfitte precedentemente subite. Sono altrettanto evidenti sia la sostanziale inutilità di SOPA e PIPA per l’attuazione di azioni di forza come questa, sia la pressoché totale inefficacia delle azioni stesse in quanto non supportate da opportune idee e tecnologie.

Nota a margine

Giusto per citare un altro caso clamoroso di questi giorni, colpisce l’enorme differenza fra i 50 anni di detenzione che si intende comminare a Kim Schmitz e i soli 15 anni che rischia il comandante Francesco Schettino come responsabile del naufragio della Costa Concordia. Anche questo, purtroppo, insegna che infrangere diritti di proprietà intellettuale causando danni economici (presunti e tutti da verificare) a lobby già ampiamente multimiliardarie è enormemente più grave che causare una trentina di vittime (fra morti e dispersi) solo per soddisfare la voglia di pubblicità di una compagnia di navigazione.

Ettore Guarnaccia

Condividi questo articolo sui più diffusi social media, lascia il tuo voto o un tuo commento, grazie!