Il governo della sicurezza

Partiamo dal vertice della piramide, il governo della sicurezza:

1. “Security must begin at the top of an organization. It is a leadership issue and the Chief Executive must set the example” – Native Intelligence, Inc. (heard at a security conference).

La sicurezza deve partire dai vertici aziendali che devono essere i primi a dare l’esempio: concetto veritiero e fondamentale, ribadito anche dalla prossima citazione.

2. “A business will have good security if its corporate culture is correct. That depends on one thing: tone at the top. There will be no grassroots effort to overwhelm corporate neglect” – William “Bill” Malik, VP and Research Area Director for Information Security @ Gartner.

La cultura di sicurezza deve essere assolutamente radicata ai vertici aziendali e la sicurezza aziendale deve essere governata al meglio. Lo sforzo di sopraffare l’eventuale trascuratezza del top management non potrà mai venire dalla base della gerarchia aziendale.

3. “If you spend more on coffee than on information security, you will be hacked. What’s more, you deserve to be hacked” – Richard A. Clarke, White House Cybersecurity Advisor.

La sicurezza richiede adeguati investimenti per poter raggiungere gli obiettivi minimi di protezione dei beni e delle informazioni aziendali. L’ammontare degli investimenti in sicurezza non sempre comporta un proporzionale aumento dei livelli di sicurezza, ma è fondamentale che la sicurezza disponga sempre di un budget adeguato per svolgere il proprio ruolo. Chi non investe a sufficienza in sicurezza merita di restare vittima di un attacco informatico.

Sicurezza e tecnologia

La prossima citazione rende l’idea della grande differenza che oggi esiste fra i beni aziendali tangibili e le informazioni:

4. “Hardware is easy to protect: lock it in a room, chain it to a desk or buy a spare. Information poses more of a problem: it can exist in more than one place, be transported halfway across the planet in seconds and be stolen without your knowledge” – Bruce Schneier, Security Guru.

Mentre un bene aziendale tangibile può essere protetto fisicamente in maniera più o meno agevole, la protezione dei dati rappresenta un’importante sfida per l’azienda. Esse, infatti, possono esistere in più posti contemporaneamente, possono essere trasferite ovunque in un battito di ciglia ed essere sottratte senza che ci si possa accorgere del furto.

5. “The mantra of any good security engineer is: «Security is not a product, but a process». It’s more than designing strong cryptography into a system: it’s designing the entire system such that all security measures, including cryptography, work together” – Bruce Schneier.

Uno dei miei concetti preferiti: la sicurezza delle informazioni deve permeare qualsiasi elemento, bene o dato aziendale nella sua essenza. L’idea, ancora oggi troppo diffusa, che qualsiasi problema di sicurezza possa essere risolto con un apposito prodotto hardware o software è terribilmente sbagliata. L’approccio iniziale verso la sicurezza deve sempre consistere nell’adeguare i processi e solo in un secondo tempo nell’affiancare i necessari prodotti per supportare i processi opportunamente disegnati  per la sicurezza.

6. “If you think technology can solve your security problems, then you don’t understand the problems and you don’t understand the technology” – Bruce Schneier.

Semplice e chiaro: la sicurezza delle informazioni deve diventare una vera e propria forma mentale che governi e sovrintenda tutti i processi. Il ricorso alla sola tecnologia non può contribuire in alcun modo a formare il giusto approccio alla sicurezza nella testa del singolo individuo.

Risk Management

Affrontiamo ora lo spinoso e poco compreso argomento del Risk Management, ovvero dell’analisi, della valutazione e della gestione dei rischi di sicurezza nonché, più in generale, del corretto approccio verso la sicurezza delle informazioni.

7. “Better be despised for too anxious apprehensions, than ruined by too confident security” – Edmund Burke, politico, filosofo e scrittore irlandese del XVIII secolo.

Ho voluto integrare questa citazione di vecchia data per introdurre un altro fondamentale concetto: ciò che ai neofiti e agli scettici può sembrare un eccesso di ansia ed apprensione, può invece essere un consapevole realismo sull’effettiva probabilità di accadimento di eventi di sicurezza potenzialmente dannosi. Il falso senso di sicurezza che l’adozione di strumenti e prodotti di sicurezza può generare nel top management è, infatti, uno dei peggiori pericoli.

8. “History has taught us: never underestimate the amount of money, time and effort someone will expend to thwart a security system. It’s always better to assume the worst. Assume your adversaries are better than they are. Assume science and technology will soon be able to do things they cannot yet. Give yourself a margin for error. Give yourself more security than you need today. When the unexpected happens, you’ll be glad you did”  – Bruce Schneier.

Altra importante conferma al concetto precedente: la storia ci ha insegnato che è meglio non sottovalutare lo sforzo che qualcuno può fare per attaccare un sistema di sicurezza. È sempre meglio assumere lo scenario peggiore, valutare gli avversari meglio di ciò che appaiono, considerare che la sempre più rapida evoluzione di scienza e tecnologia possono consentire domani qualcosa che oggi sembra impensabile. Altro consiglio fondamentale: conservare un margine d’errore e mantenere il livello di sicurezza sempre un po’ più elevato rispetto al necessario. Tutto ciò consente di essere pronti ad affrontare eventi imprevisti e, sebbene non sempre sia possibile, è un valido approccio verso la sicurezza delle informazioni, in particolare nell’ambito specifico del Risk Management.

9. “More people are killed every year by pigs than by sharks, which shows you how good we are at evaluating risk” – Bruce Schneier.

Restando sempre in ambito Risk Management, prendo spunto da quest’altro brillante aforisma di Schneier per evidenziare un altro concetto che ritengo fondamentale: molto spesso il top management è convinto di conoscere perfettamente beni, informazioni e rischi della propria azienda, ma dopo una corretta analisi dei rischi spesso rimane sconcertato e scopre di aver avuto per anni una visione parziale e distorta. È proprio questo uno degli obiettivi fondamentali del Risk Management: consentire al management di conoscere al meglio la propria azienda, individuando con un sufficiente grado di certezza in quali contromisure investire e con quale priorità ed entità.

L’anello debole

In aggiunta al concetto precedentemente espresso in merito al ruolo secondario che la tecnologia e i prodotti assumono per la sicurezza, voglio porre l’attenzione su quello che è indiscutibilmente il ruolo di primo attore: le persone.

10. “People often represent the weakest link in the security chain and are chronically responsible for the failure of security systems” – Bruce Schneier dal libro “Secrets & Lies – Digital Security in a Networked World”.

L’anello debole della sicurezza è spesso rappresentato dalle persone che, inevitabilmente, sono quasi sempre responsabili del funzionamento inadeguato dei sistemi di sicurezza.

11. “Phishing is a major problem because there really is no patch for human stupidity” – Mike Danseglio, ex program manager di Microsoft Security Solutions Group.

Sebbene questa affermazione possa essere giudicata un po’ troppo penalizzante per il genere umano, il messaggio consiste nel ribadire l’importanza che le persone rivestono per la salvaguardia della sicurezza aziendale. Prodotti, strumenti e sistemi di sicurezza non possono sopperire alla capacità di discernimento dell’essere umano per la quale, purtroppo, non esistono ancora aggiornamenti.

Sicurezza informatica

Voglio affrontare, infine, l’ambito della sicurezza informatica, ovvero la protezione di sistemi, applicazioni e reti di telecomunicazione.

12. “Security in Information Technology is like locking your house or car: it doesn’t stop the bad guys but if it’s good enough they may move on to an easier target” – Paul Herbka, Presidente dell’ISSA Advisory Board.

Ovvero: la sicurezza informatica è come la serratura della propria auto o della porta di casa. Non può fermare i malintenzionati ma se è sufficientemente efficace può indurli a cercare un altro obiettivo più facile. Il giusto livello di sicurezza deve scaturire da un’attenta valutazione degli investimenti necessari e della reale efficacia che è in grado di offrire anche in comparazione con altri obiettivi di analoga appetibilità.

Ma esiste il sistema realmente e completamente sicuro? La risposta ci viene fornita dalle citazioni che seguono:

13. “You could stop the rest of your IT and pull all your resources into security for a year, and still not be 100% secure” – Owen O’Connor, Presidente del capitol irlandese dell’ISSA.

Insomma, il sistema assolutamente sicuro al 100% non esiste, pertanto il giusto livello di sicurezza è sempre costituito dal corretto bilanciamento di rischi, contromisure e investimenti.

14. “The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guards. And even then I have my doubts” – Eugene “Spaf” Spafford, Professore di Informatica alla Purdue University ed esperto di sicurezza informatica.

Poiché il sistema sicuro non esiste, bisogna sempre diffidare di colui che afferma che i suoi sistemi sono assolutamente sicuri, perché non conosce la sicurezza oppure è semplicemente un folle.

15. “In theory, one can build provably secure systems. In theory, theory can be applied to practice but, in practice, it can’t” – Marc Dacier, Docente dell’Eurecom Institute.

Sebbene qualche zelante teorico possa insistere nel provare che il sistema sicuro esiste e sia applicabile in pratica, in pratica ciò non è possibile.

16. “A secure system is one that does what it is supposed to do, and nothing more” – John B. Ippolito, CISSP e PMP di Native Intelligence, Inc.

Una definizione condivisibile di sistema sicuro, quanto pressoché irrealizzabile in ambito informatico.

17. “If you spent more on your GUI than on your security, you don’t have a secure application. Start preparing for the PR fallout of your website (or application) getting hacked now” – Dave Aitel, CTO di Immunity, Inc.

Un parametro semplice ma fondamentale per comprendere se un ambiente, un sistema o un’applicazione siano sufficientemente sicuri. Se la maggior parte degli sforzi sono stati indirizzati verso l’interfaccia grafica o altri elementi diversi dalla sicurezza, allora è inevitabile che il livello di sicurezza risultante non sarà adeguato.

18. “As security or firewall administrators, we’ve got basically the same concerns as plumbers: the size of the pipe, the contents of the pipe, making sure the correct traffic is in the correct pipes, and keeping the pipes from splitting and leaking all over the place. Of course, like plumbers, when the pipes do leak, we’re the ones responsible for cleaning up the mess, and we’re the ones who come up smelling awful…” – Marcus J. Ranum, esperto rinomato in disegno e implementazione di sistemi di sicurezza.

Una metafora interessante: gli amministratori di sicurezza equiparati agli idraulici. Con le stesse preoccupazioni degli idraulici: capacità e contenuto del tubo, assicurare che il traffico scorra nei tubi giusti e che i tubi non si rompano e perdano il contenuto. Come gli idraulici, quando il tubo perde, essi sono quelli responsabili di ripulire tutto e quelli che ritornano con addosso un terribile fetore.

19. “You can’t hold firewalls and intrusion detection systems (IDS) accountable. You can only hold people accountable” – Daryl J. White, Director e CFO di Imation Corp.

Quando un sistema di sicurezza non svolge accuratamente la propria funzione, la colpa e la responsabilità non sono mai del sistema stesso ma di chi l’ha configurato, gestito e amministrato. Per chiudere, una semplice affermazione inerente la disponibilità e l’integrità delle informazioni:

20. “Those who do not archive the past, are condemned to retype it!” – Garfinkel and Spafford, Practical UNIX Security (First Edition)

Ovvero, chi non si preoccupa di salvare i propri dati è inevitabilmente condannato a riscriverli. O a farne a meno.

Ettore Guarnaccia

Privacy o condivisione?

Per privacy si intende il diritto alla riservatezza delle proprie informazioni personali e della propria vita privata, ovvero il diritto di essere lasciati in pace. In senso più allargato, si intende il diritto della persona di accertare che le informazioni che la riguardano vengano trattate o consultate da altri solo in caso di necessità. Se per te la privacy è un requisito fondamentale, allora non puoi usare Facebook e gli altri servizi web sociali, quantomeno senza ricorrere a tecniche avanzate di protezione della privacy. La scelta di condividere informazioni sul web è, infatti, sempre più in contrasto coi principi della privacy.

Dai risultati del sondaggio di Consumer Reports emerge che un utente di Facebook su dieci non usa o non conosce i cosiddetti privacy settings. Dall’analisi dei risultati sono emersi dei trend che consentono di identificare i cinque errori più ignorati dagli utenti Facebook.

1. Mancato uso o conoscenza dei privacy settings

La relativamente bassa percentuale di utenti Facebook (13 milioni di utenti statunitensi) che non usa o non conosce i privacy settings (circa 8,6%) può essere vista come un risultato incoraggiante, ma se comparata con il tasso medio di analfabetismo in Italia (1,0%) diventa improvvisamente piuttosto alta. Se si usa Facebook, la conoscenza delle funzionalità e delle impostazioni inerenti la propria privacy è fondamentale.

2. Condividere viaggi e destinazioni

L’analisi del sondaggio rivela che un certo numero di utenti USA (circa 5 milioni) ha pubblicato post contenenti dettagli sulla località in cui si trovavano in un dato momento: una potenziale soffiata per i topi d’appartamento! Ormai c’è un’ampia casistica su furti in appartamento direttamente collegati alla condivisione di informazioni online su viaggi e spostamenti in genere e il sempre crescente uso, talvolta nascosto, di strumenti di geolocalizzazione e geotagging contribuisce ad acuire ulteriormente questo fenomeno. È meglio pensarci su due volte prima di condividere su Facebook (e altri social media) le proprie destinazioni.

3. Concedere il proprio “mi piace” a particolari argomenti

Un grosso pericolo è costituito dalla concessione troppo superficiale ed avventata del “mi piace” ad elementi pubblicati che potrebbero ritorcersi contro di noi. Circa 5 milioni di utenti statunitensi hanno dichiarato di aver cliccato “mi piace” su una pagina Facebook relativa a condizioni o trattamenti di salute, con il pericolo di essere penalizzati dalle rispettive compagnie assicuratrici. Anche in questo caso c’è una certa casistica di società assicuratrici che frugano nei social media per combattere i casi di frode. Lo stesso pericolo esiste nel caso in cui si cerchi lavoro o si sia obbligati a mantenere un certo livello di reputazione per motivi professionali. Cliccare “mi piace” su argomenti sensibili in ambito politico, religioso, medico o riguardanti temi particolarmente scabrosi può comportare una forte penalizzazione in campo sociale e lavorativo. Senza dimenticare che da tempo diverse agenzie governative sfruttano la perlustrazione dei social media come ulteriore arma nella guerra alle frodi e al terrorismo.

4. Tradire la privacy della propria famiglia

Circa 40 milioni di utenti Facebook statunitensi (circa il 30%) ha condiviso l’identità di un proprio famigliare nel loro profilo. Spesso non è un grosso problema, ma quanti hanno realmente chiesto il permesso e messo al corrente il malcapitato? Non tutti, infatti, gradiscono essere contrassegnati da un tag su una foto o essere oggetto di condivisione in ambito pubblico, anche per i motivi precedentemente esposti. La giusta configurazione del proprio profilo Facebook può contribuire a mitigare questa eventualità, ma non dimentichiamo che è possibile comunque taggare un qualsiasi soggetto con nome, cognome e altre informazioni anche se questi non è iscritto a Facebook.

5. Autorizzare le applicazioni ad accedere al proprio profilo

Solo un terzo degli utenti si premura di limitare le informazioni cui possono accedere le applicazioni Facebook alle quali si iscrivono. Fra i più pericolosi permessi normalmente abilitati ci sono la possibilità di accedere a tutte le proprie informazioni personali e di pubblicare per conto dell’utente sulla bacheca. Che problema c’è? Semplice, chiunque può creare un’applicazione Facebook e, grazie al nostro “mi piace”, accedere tranquillamente al nostro profilo e alla nostra bacheca in barba alla privacy. Prima di concedere l’accesso ad un’applicazione, soffermatevi a leggere la pagina di autorizzazione e resterete sorpresi di quali e quante informazioni vengano richieste dall’applicazione.

Conclusioni

Sebbene i risultati di questo sondaggio possano essere sindacabili e criticabili in alcune argomentazioni, il rischio generale per la propria privacy non deve mai essere sottovalutato. Uno dei problemi in forte crescita è costituito dai casi di stalking perpetrati grazie alle informazioni condivise sui social media: pubblicare foto con coordinate GPS e condividere informazioni sugli spostamenti può costituire un grosso rischio per giovani ed attraenti donne.

I social media e diversi altri servizi di condivisione online dovrebbero garantire la privacy degli utenti a partire dalla configurazione standard di base e non come un qualcosa che si può scegliere a posteriori. Sfortunatamente è una lotta continua che vede la privacy soccombere sempre più ogni volta che una nuova funzionalità viene introdotta.

Ettore Guarnaccia

Sfortunatamente non è sempre così: ci sono dei casi in cui ciò non avviene, ad esempio quando il sedicente professionista di sicurezza si è inventato tale grazie all’estrazione da ambienti sistemistici o applicativi ma senza una formazione specifica, oppure quando accetta di affermare ciò che il management aziendale vuole sentirsi dire, cioè che i livelli di sicurezza sono sostanzialmente in linea e non vi sono particolari rischi, infrangendo senza tanti scrupoli la propria etica professionale.

C’è infine un’eccezione fortunata, cioè quando il management aziendale è già ben orientato e consapevole sui temi di sicurezza delle informazioni, un caso purtroppo molto raro.

Vorrei prendere spunto da un interessante articolo di Oliver Rochford dal titolo “Why Bad Security is Bad Business”, apparso di recente sul magazine Security Week, per sfatare questo falso mito sulla presunta intrattabilità dei professionisti di sicurezza e per fornire al lettore interessato una serie di valide argomentazioni a supporto della fondamentale importanza della sicurezza delle informazioni.

L’impatto degli attacchi informatici sul business

Ogni attacco informatico subito da un’azienda si traduce inevitabilmente in conseguenze più o meno considerevoli in vari ambiti e con diversi impatti, ad esempio:

• perdite finanziarie dirette costituite da interruzione della produzione, mancato rispetto di accordi commerciali, mancata sottoscrizione di nuovi accordi vantaggiosi, diminuzione del volume d’affari e aumento dei casi di frode;
• mancato rispetto di obblighi legali e regolamentazioni di mercato o di settore che possono comportare riduzione del rating di mercato e l’imposizione di penali e cauzioni monetarie;
• danneggiamento degli interessi commerciali e strategici a causa di informazioni non più integre (quindi fuorvianti) fornite al management aziendale, inefficienze operative e di produzione, sottrazione di segreti industriali, passaggio in posizione di svantaggio in fase di negoziazione;
• danno reputazionale, compromissione dell’immagine pubblica faticosamente conquistata in anni di duro lavoro, perdita di clienti e di possibili affari, decremento del livello di credibilità sul mercato e nel settore di riferimento, diminuzione della quotazione delle azioni.

Ne sono un chiaro ed eclatante esempio i casi di attacco informatico subiti da grosse aziende internazionali con ripercussioni nettamente superiori rispetto ai costi richiesti per le misure di sicurezza preventive.

Mi riferisco ai danni per oltre 24 miliardi di dollari subiti da Sony in seguito ad una violazione della rete PlayStation per una vulnerabilità di SQL Injection che poteva essere rilevata e risolta investendo meno di 10.000 dollari. Oppure all’attacco subito da Global Payments, uno dei più grossi fornitori di servizi di pagamento con carte di credito, che è stato recentemente rimosso dall’elenco dei provider conformi allo standard PCI DSS da parte di Visa e MasterCard, subendo un durissimo colpo e gravi ripercussioni sul proprio core business.

Vasco Data Security ha dovuto fronteggiare una perdita complessiva di quasi 20 milioni di dollari a causa del fallimento della certification authority DigiNotar da poco acquisita, come conseguenza di un attacco informatico nell’agosto 2011. Infine anche Nortel Networks, gigante delle telecomunicazioni e una delle più grandi aziende fornitrici di apparati di rete, ha scoperto di essere stata oggetto di numerose e ripetute intrusioni informatiche con sottrazione di segreti industriali e dati di sviluppo per circa un decennio: oggi Nortel Networks non esiste più.

Questi sono solo i casi più mediaticamente eclatanti di attacchi informatici che minano radicalmente il business senza risparmiare aziende di vaste dimensioni. Una semplice vulnerabilità, conosciuta, agevolmente sfruttabile e rilevabile con un investimento economico contenuto e poche semplici operazioni, può generare danni diretti sia economici che di reputazione in grado di affossare gli affari di qualsiasi azienda, anche la più florida sul mercato.

Il solito, vecchio, problema culturale

Alla luce dei casi sopra illustrati, non serve essere un genio per capire che uno scarso livello di sicurezza è certamente un pessimo affare. Considerando l’elevato costo che un’azienda dovrebbe sostenere in caso di attacco informatico, nonché le ripercussioni sulla reputazione, sui segreti industriali e sulla posizione di mercato, chi è più orientato al business? Il professionista di sicurezza che cerca di salvaguardare al massimo l’azienda e i suoi affari, oppure il professionista di business che prende determinate decisioni senza tenere in alcun conto la sicurezza aziendale e preparando il terreno per disastri informatici potenzialmente fatali?

Un concetto indiscutibile è costituito dal fatto che una corretta conduzione degli affari richiede che l’azienda e i servizi erogati siano scalabili, sostenibili e protetti da grosse perdite non necessarie e che, se possibile, vi sia la massima salvaguardia dei dati e dei beni critici (che costituiscono il patrimonio), dei livelli di apprezzamento del marchio (che identifica l’azienda) e della fidelizzazione della clientela (che porta i soldi).

Perché allora avvengono questi eventi così clamorosi? Il problema, come spesso avviene in questi casi, è dovuto alla storia, alla tradizione e, ovviamente, all’ignoranza. Chi opera nel business non si è ancora evoluto verso la consapevolezza delle nuove sfide, delle strategie innovative richieste e di come il modo di operare, di comunicare e di utilizzare le tecnologie sia in costante e sempre più rapido cambiamento, sebbene le conseguenze del mancato adattamento siano sotto gli occhi di tutti.

Le facoltà universitarie, i corsi e le specializzazioni sull’amministrazione aziendale non prevedono, nel loro programma, alcun accenno ad argomenti di sicurezza delle informazioni o di gestione dei rischi di sicurezza. In un mondo sempre più caratterizzato dalla digitalizzazione e dalla virtualizzazione dell’economia, questo è un grave errore nonché un chiaro segnale di arretratezza culturale. Il risultato è che, ancora oggi, i business manager ignorano i più fondamentali concetti di salvaguardia dei livelli di sicurezza aziendali, come la protezione dei dati critici, la classificazione dei dati e dei beni aziendali, l’analisi e la gestione dei rischi di sicurezza, la gestione degli incidenti di sicurezza o la continuità del business, rendendo oltremodo arduo il compito dei professionisti della sicurezza.

Si sente spesso che i security manager, i CISO e i CSO devono essere più focalizzati sul business e che il loro ruolo deve necessariamente essere più abilitante per il business: ebbene, anche questo è frutto della scarsa comprensione di dove siamo e dove stiamo andando in generale. L’obiettivo della sicurezza delle informazioni, infatti, è di assicurare che i dati aziendali, i beni, i sistemi e le telecomunicazioni siano adeguatamente protetti, così che il valore dell’azienda sia sufficientemente salvaguardato e che il business possa prosperare per molti anni a venire. Come cita giustamente l’autore dell’articolo sopra citato, la sicurezza deve essere insita nel tessuto dell’azienda o non sarà mai olistica, organica e, quindi, efficace. Qualsiasi altro approccio produce un business con un po’ di sicurezza, non un business sicuro.

Il business manager del futuro

Il business manager del futuro dovrà essere molto più consapevole, informato e rispettoso dell’importanza della sicurezza delle informazioni e delle sue implicazioni per avere successo. E sia chiaro che non è (solo) un problema di insufficiente formazione o di scarso tempo a disposizione, perché la sicurezza non è un’abilità da acquisire ma un’attitudine mentale, una forma mentis che deve provenire dalla comprensione dei rischi e dal risultante stato di “paranoia informata” che si sviluppa come conseguenza.

Questa attitudine mentale è oggi un requisito fondamentale se si desidera fare business al giorno d’oggi e ancora di più in futuro. Siamo sulla soglia di una nuova era che cambierà il modo in cui il mondo intero funziona, comunica e si struttura, pertanto il business deve evolversi rapidamente per adattarsi alle nuove condizioni. Un fallimento in tal senso può significare la fine di un’azienda.

Il paradigma da capovolgere

In base agli eventi negativi registrati nel recente passato e in considerazione della corrente attitudine verso la sicurezza delle informazioni, il quadro generale delle aziende non è certo esaltante. La sicurezza è tuttora vista come un costo supplementare senza un beneficio misurabile, nonché un qualcosa da attuare obbligatoriamente e a malincuore per essere conformi a leggi e regolamentazioni.

Circa 20 anni fa non esisteva l’uso comune di dispositivi mobili, il lavoro si svolgeva prevalentemente su carta e le reti erano ancora dedicate al solo trasporto di fax e stampe. Oggi non siamo più così isolati. Oggi non è più tollerabile, per gli azionisti e i clienti di un’azienda, avere un management incapace di comprendere l’importanza della sicurezza e della gestione dei rischi. Se i professionisti di sicurezza vengono accusati di mettere i bastoni fra le ruote al business, la medesima accusa può essere mossa nei confronti dei business manager in riferimento alla sicurezza aziendale.

Criminali informatici, cyber terroristi, cyber spie e guerra cibernetica costituiscono una minaccia reale, presente, organizzata e dannatamente pericolosa. Una minaccia talmente grave da essere in grado di assumere il ruolo di selettore naturale del mercato, colpendo senza pietà le aziende e le organizzazioni che più faticano ad adattarsi alle mutate e crescenti esigenze di sicurezza, anche fino a provocarne l’estinzione.

Bisogna partire dalla cultura

L’attitudine mentale alla sicurezza delle informazioni e alla gestione dei rischi deve partire necessariamente da un’adeguata cultura. Così come la sicurezza deve essere integrata nel tessuto aziendale, essa deve essere parte integrante anche della formazione orientata all’amministrazione aziendale. Facoltà universitarie, master, specializzazioni e corsi di formazione professionale devono prevedere una parte di programma che affronti i concetti di sicurezza delle informazioni e li coniughi con tutti gli altri aspetti, perché diventino parte inscindibile del DNA del manager del futuro e contribuiscano allo sviluppo della corretta forma mentale richiesta dal mercato moderno.

Per concludere, in merito al falso mito dell’impossibilità di misurare la sicurezza delle informazioni, invito il lettore a consultare lo splendido lavoro svolto da AIEA, Clusit, Oracle, Deloitte, Ernst & Young, KPMG e PriceWaterhouseCoopers sul ROSI, ovvero “Return on Security Investment”, un metodo di valutazione dei vantaggi potenziali di un investimento in sicurezza delle informazioni. Il ROSI dimostra che le spese di sicurezza possono fornire un ritorno in termini di riduzione della probabilità di accadimento di una minaccia e, quindi, del relativo impatto negativo sul business aziendale.

Nonostante la sicurezza spesso richieda una spesa certa a fronte di un danno incerto poiché non ancora verificatosi, essa non fornisce solo protezione ma in vari casi diventa direttamente produttiva per l’azienda, abilitando e rendendo fruibili servizi altrimenti non erogabili, in particolare i servizi legati alla protezione della persona, della proprietà e della posizione finanziaria. Non solo, la sicurezza può consentire un risparmio diretto abilitando servizi che riducono sensibilmente i costi di erogazione e gestione, oppure può fornire benefici tangibili in termine di immagine grazie alla percezione di solidità ed affidabilità che l’azienda può vantare verso la clientela, anche in termini di conformità a leggi, regolamentazioni e standard di settore.

In foto: il classico manager aziendale con evidenti difficoltà di evoluzione…

Ettore Guarnaccia

Essere all’avanguardia in campo informatico non sempre è un pregio: la forte dipendenza dalle tecnologie informatiche e delle telecomunicazioni rende intere nazioni molto più vulnerabili di altri paesi più arretrati. La distanza fisica è irrilevante, gli attacchi possono essere contemporaneamente devastanti e a buon mercato. Gli attaccanti sono sempre avvantaggiati rispetto ai difensori, sia perché spesso sfruttano vulnerabilità 0-day, sia perché Internet è da sempre progettata per essere veloce e di facile utilizzo a discapito della sicurezza.

11 settembre cibernetico?

Joseph S. Nye, ex assistente del Segretario alla Difesa USA, docente di Harvard e autore del libro “The Future of Power“, definisce la cyber war come “un’azione ostile nel cyberspazio i cui effetti eguagliano o amplificano una grave violenza fisica“. Ritiene anche che la cyber guerra, pur essendo attualmente solo una minaccia, sia comunque potenzialmente drammatica e devastante. Aggravata dal fatto che vi partecipano, oltre alle nazioni, anche hacktivisti, cyber criminali, cyber terroristi, cyber mercenari e altri attori minori.

Alla già citata possibilità di una nuova Pearl Harbor cibernetica, Nye paventa l’avvento ancora più probabile di un nuovo “11 settembre informatico“. Non è facile prevedere se e cosa accadrà né con quali conseguenze, ma ciò che ormai è ampiamente dimostrato è l’elevatissima probabilità di successo e il rischio reale di generare spargimenti di sangue o decessi di massa. Sottovalutare queste evenienze è veramente da stolti, incoscienti e irresponsabili.

La complessità cibernetica è stata paragonata dall’ammiraglio Mike McConnell, ex direttore della National Intelligence USA, alla “proliferazione nucleare ma molto più facile“. Con la fondamentale differenza che nel cyberspazio non è possibile implementare alcuna politica di controllo degli armamenti né misure di smantellamento degli ordigni cibernetici.

La definizione di cyber-arma

L’avvocato Stefano Mele, professionista di sicurezza, cyber-terrorismo e cyber warfare, nel suo ottimo testo “Cyberweapons – Aspetti giuridici e strategici” definisce giuridicamente una cyber-arma (o cyberweapon) come “un’apparecchiatura, un dispositivo ovvero qualsiasi insieme di istruzioni informatiche dirette a danneggiare illecitamente un sistema informatico o telematico avente carattere di infrastruttura critica, le sue informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti, ovvero di favorire l’interruzione, totale o parziale, o l’alterazione del suo funzionamento” sulla base dell’articolo 615-quinquies del Codice Penale.

Pur rispettando la definizione data dal collega, personalmente ritengo che il corretto punto di partenza sia la definizione di arma che ci fornisce l’articolo 585 del Codice Penale, ovvero “si definiscono armi tutti quegli strumenti la cui destinazione naturale è l’offesa alla persona“, pertanto definirei una cyber-arma come “un qualsiasi strumento informatico la cui destinazione finale è l’offesa alla persona attraverso il cyberspazio“.

Grazie a questa definizione sarebbe possibile adottare i concetti di “cyber-arma propria“, ovvero progettata e creata appositamente per offendere (es. worm come Stuxnet), e di “cyber-arma impropria“, ovvero strumenti informatici originariamente destinati ad altra funzione ma che possono essere usati come armi (es. programmi di diagnostica ed utilità che possono essere utilizzati, all’occorrenza, come strumenti di attacco informatico).

Ettore Guarnaccia

Qualcuno ha paragonato Internet all’invenzione della stampa o alla scoperta e alla diffusione dell’energia elettrica. A prima vista, questi possono sembrare paragoni azzardati ma personalmente ritengo siano invece un po’ limitanti. Oggi tutte le informazioni viaggiano attraverso Internet, risiedono e vengono messe a disposizione per mezzo del Web: non c’è argomento, concetto, dettaglio o contenuto che non sia possibile trovare o condividere.

L’insieme costituito dal Web e da Internet è paragonabile ad un sistema nervoso completo nel quale il Web è la raccolta di pensieri, concetti, informazioni, esperienze, immagini, sensazioni, ricordi, sogni e quant’altro appartenga alla conoscenza del genere umano, e la rete Internet corrisponde al complesso sistema di neuroni, fibre e terminazioni nervose attraverso cui il tutto viaggia e si trasferisce istantaneamente da un punto ad un altro del sistema. Qualcuno ha addirittura definito Internet come il sistema nervoso di Gaia.

La rete Internet e il Web rappresentano oggi una sorta di coscienza collettiva del genere umano, analoga alla telepatia e alla piena consapevolezza tipica delle società utopistiche delle dimensioni astrali superiori, in cui tutti hanno contemporaneamente accesso alla totalità del sapere. Una specie di deposito in cui ogni essere umano senziente aggiunge parti di sé e le lascia a disposizione della collettività.

La più grande invenzione a disposizione delle masse

Internet va riconosciuta come la più grande invenzione dell’era moderna o, quantomeno, la più grande messa a disposizione delle masse e non accuratamente nascosta o destinata solo da una ristretta élite di autoeletti illuminati. Grazie all’evoluzione del Web 2.0, una frazione di secondo dopo la loro nascita, le informazioni vengono replicate, distribuite, diffuse e consultate attraverso diversi canali e vettori, senza particolari limitazioni.

È solo grazie al Web se sempre più persone aumentano il proprio grado di consapevolezza generale e possono arricchire di contenuti la propria esperienza di vita. Considerando l’enorme e vastissima mole di informazioni che vivono e si espandono sul Web, non è per nulla esagerato parlare di consapevolezza planetaria. Il Web è di fatto un’estensione del cervello umano in cui possiamo archiviare memorie ed esperienze senza doverle conservare in mente. Sul piano più pragmatico, inoltre, il Web consente di accedere liberamente ad informazioni che fanno venire l’orticaria a potenti e governanti, informazioni che i mainstream media e le altre fonti di informazione controllata non avrebbero mai condiviso con la gente comune.

Ecco spiegato perché questo sistema sia costantemente sottoposto agli attacchi di coloro che vedono la propria egemonia messa in forte pericolo dalla libera circolazione e condivisione delle informazioni. Coloro che, operando nell’ombra, hanno investito tutto sul raggiungimento del controllo globale, sul dominio assoluto del prossimo, sul potere  incontrastato, nascondendo a sé stessi l’unica conclusione che li attende, cioè quella di perdere tutto prima o poi. Per quanto abili e malvagi essi si ritengano, restano fondamentalmente dei semplici stolti, senza alcun futuro. Quanta fatica sprecata!

I tentativi di censura

In quest’ambito si collocano i ripetuti tentativi di censura del Web: SOPA, PIPA, Fava, ACTA e, adesso, CISPA. Non l’omonimo gioco di carte in voga nel centro Italia, ma un altro dei tentativi di variare, controllare e, in qualche modo, interrompere il funzionamento del sistema nervoso cibernetico, trasformando un meccanismo perfetto in qualcosa di geneticamente modificato e appositamente deviato per rispondere ai dettami di chi insegue il potere. Come ho già esposto in precedenti articoli, le motivazioni di facciata nascondono a fatica il palese obiettivo di ottenere il controllo sull’unico mezzo d’informazione libero ed efficiente rimasto sul pianeta Terra.

Non l’ha ancora compreso solo chi è volutamente pecora o inconsapevolmente sotto l’effetto anestetico della falsa informazione scientificamente somministrata per mezzo di televisioni, giornali, riviste, pubblicazioni compiacenti e versioni ufficiali, ignorando al contempo che il Web è l’unico mezzo attualmente rimasto all’intero genere umano, quindi anche ad egli stesso, per poter sperare in un accesso alla piena consapevolezza e alla verità.

Un importante personaggio, molto tempo fa, disse “conoscerete la verità e la verità vi renderà liberi”. Fortunatamente il popolo del Web ha finora risposto in massa a questi attacchi, come ferventi cellule del sistema immunitario che  tentano di combattere le potenziali minacce all’integrità dell’organismo. Le proposte di legge SOPA e PIPA sono state accantonate, la proposta Fava è stata bocciata, il trattato ACTA è ormai in fase terminale, ma…

Il Cyber Intelligence Sharing and Protection Act

… proprio quando si cominciava a vedere la fine dell’epidemia di censura, ecco che spunta il CISPA, ovvero il Cyber Intelligence Sharing and Protection Act. Stavolta il bersaglio dichiarato non è solo la violazione del copyright ma soprattutto le minacce alla sicurezza cibernetica nazionale. Se il progetto di legge CISPA verrà approvato andrà a modificare il National Security Act USA del 1947, consentendo al governo statunitense di richiedere informazioni personali degli utenti direttamente agli Internet Service Provider o ai gestori delle varie piattaforme Web. Una sorta di Big Brother in grande stile a disposizione del governo statunitense e di chi opera alle sue spalle.

Il tutto a fronte di una potenziale, ma non ben identificata, minaccia alla sicurezza nazionale, a totale discrezione degli organismi governativi, con la possibilità di travalicare le altre disposizioni di legge vigenti, comprese quelle che tutelano la privacy degli utenti del Web e le leggi delle altre nazioni. Ecco uno dei motivi per cui l’introduzione di CISPA avrebbe forti e innegabili ripercussioni anche sulla libertà e la privacy degli utenti italiani, che sono già vessati da altri soprusi dello stesso tipo.

Dietro la facciata della lotta anti-pirateria e della sicurezza cibernetica nazionale si cela l’ennesima crociata contro la libertà di espressione ed informazione del Web, promossa dai soliti noti: poteri finanziari, lobby commerciali e governi compiacenti. Se il Web è la più grande invenzione dell’era moderna, queste minacce alla libertà individuale costituiscono il male del secolo, un cancro che va curato con la massima determinazione.

La totale mancanza di senso del CISPA

In un quadro globale in cui più volte si è posto l’accento sul grave livello di vulnerabilità delle infrastrutture critiche nazionali, l’introduzione di CISPA non riveste alcun senso. Introdurre pesanti limitazioni alla libertà di espressione e controllare le informazioni sul Web non avrebbe infatti alcun effetto sul livello di sicurezza nazionale. Chi intende danneggiare un’infrastruttura critica nazionale non lo scrive di certo sul Web qualche giorno prima dell’attacco.

Come più volte denunciato da vari esperti di sicurezza cibernetica, l’emergenza per i governi nazionali consiste nell’aumentare la protezione e i livelli di sicurezza dei sistemi informatici che controllano e regolano il corretto funzionamento delle infrastrutture e dei servizi critici. Sistemi che sono autentici colabrodo alla mercé di un qualsiasi smanettone con un po’ di conoscenze informatiche e tempo da perdere.

Questa grossa incongruenza rende evidente la falsità delle dichiarazioni di facciata e degli obiettivi ufficiali del CISPA, così come è già successo per gli altri tentativi di censura. CISPA è una nuova forma, forse più pericolosa, di attacco deliberato all’unico strumento di raccolta e diffusione della conoscenza umana, ovvero l’unica via verso la consapevolezza globale del genere umano.

Il lungo viaggio verso la libertà

Senza la libera circolazione delle informazioni nel Web, l’umanità rischia un brusco arresto nel suo avanzato processo di evoluzione verso la piena consapevolezza sulla realtà delle cose e sul vero senso della vita, nel lunghissimo viaggio verso la verità che ci renderà liberi, perché oggi ancora non lo siamo.

Ettore Guarnaccia

Il furto d’identità è un fenomeno in costante aumento, le tecniche di social engineering vengono affinate giorno dopo giorno ed è sempre più probabile cadere vittima di questo specifico tipo di attacco personale, per questo è importante conoscere e riconoscere come esso può avvenire per evitarne le disastrose conseguenze.

Il social engineering

Per social engineering si intende quell’insieme di tecniche, non necessariamente informatiche, che possono indurre la vittima ad eseguire azioni desiderate dall’attaccante, solitamente con l’obiettivo di ottenere informazioni e strumenti necessari a perpetrare azioni fraudolente. Di conseguenza, il social engineer può essere sia un soggetto esterno (outsider) che un soggetto interno (insider) ad un particolare ambito: un’azienda, un’organizzazione o un qualsiasi gruppo di persone come, ad esempio, un nucleo famigliare.

Il social engineering sfrutta le debolezze e i fattori psicologici che fanno normalmente parte della natura umana, avvolgendo qualcosa di malevolo in un involucro ben strutturato di benevola apparenza, fiducia, consuetudine e supporto. Qualcuno si domanderà perché, in piena era tecnologica, viene ancora utilizzato il social engineering: semplice, perché il social engineering funziona ancora oggi ed è una delle armi più efficaci a disposizione dei cyber criminali.

Nei dieci punti che seguono cercherò di darvene la dimostrazione.

1. Phishing

Ricevi un messaggio e-mail dalla tua banca, da un servizio di pagamento online o dall’emittente della tua carta di credito, spesso con l’avviso che si sono verificati problemi di vario tipo sul tuo conto corrente o sull’account della carta e con l’immancabile link verso una versione contraffatta del sito web del finto mittente che contiene l’altrettanto immancabile modulo di login in cui inserire le proprie credenziali. Il messaggio può addirittura contenere una pagina HTML contraffatta direttamente in allegato.

Se si tratta di un istituto bancario, nella finta pagina di accesso può essere richiesto anche il codice generato automaticamente dal tuo token (la chiavetta) che la banca ti ha consegnato all’apertura del conto. L’inserimento del codice può essere richiesto più volte di seguito a fronte di falsi errori di inserimento. Successivamente il tuo browser viene abilmente indirizzato verso il vero sito web della tua banca, per evitare che in te sorga il minimo sospetto.

Prima di cliccare sui link o di aprire allegati, se ti soffermi sul messaggio ricevuto  potresti notare che:

• La codifica del messaggio è inusuale poiché esso contiene caratteri speciali o appartenenti ad altre lingue che con l’italiano non hanno nulla a che vedere;
• Il messaggio è sgrammaticato e contiene diffusi errori di ortografia;
• Alcuni termini sono errati, ad esempio Postamat diventa “Postemat”, oppure Poste Italiane diventa “Poste Italiene”;
• Il tono del messaggio è stranamente troppo confidenziale e informale per essere una comunicazione ufficiale di un istituto di credito o un circuito di pagamento internazionale.

Una fortuna per noi italiani è che la nostra lingua risulta ancora piuttosto ostica per i cyber criminali stranieri, che attualmente rappresentano la maggioranza e che provengono soprattutto dai paesi dell’est europeo.

Ottenendo l’accesso al tuo conto bancario o all’account della carta di credito, un cyber criminale può raccogliere tutte le preziose informazioni in esso contenute, ad esempio i dati anagrafici e l’indirizzo e-mail, oltre ad approfittarne per qualche spesa extra, ovviamente!

A volte si ricevono messaggi di phishing dagli istituti di credito più disparati, compresi quelli dove un conto corrente non l’abbiamo mai aperto. Ma i criminali sfruttano abilmente la legge dei grandi numeri inviando falsi messaggi aventi come mittenti numerosi istituti di credito a tutti gli indirizzi e-mail in loro possesso con la speranza (o la certezza) che prima o poi qualche destinatario cascherà nel tranello.

Se ricevi un messaggio di questo tipo, in barba al tuo sistema antispam, non cliccare su alcun link e non aprire gli eventuali allegati. Se vuoi toglierti qualsiasi dubbio, contatta il tuo istituto di credito telefonicamente o recati direttamente presso la tua filiale per verificare che il messaggio ricevuto sia legittimo.

A volte, però, potresti ricevere messaggi e-mail da mittenti apparentemente legittimi e appartenenti ai tuoi contatti, addirittura contestualizzati con il tuo nome di battesimo agevolmente rilevato dal tuo indirizzo e-mail, nonché grazie alla geolocalizzazione della rete Internet. Attenzione anche ai falsi profili e alle applicazioni fraudolente su Facebook che promettono funzionalità attraenti ma in realtà inattuabili come la possibilità di sapere chi visita il tuo profilo, chi ti sta spiando o un modo per conoscere la password di accesso di un tuo contatto.

2. Pretexting (lei non sa chi sono io!)

Il raggiro del pretexting funziona con un meccanismo analogo a quello del phishing, ma tramite un mezzo differente: il telefono. In questo caso il criminale, dopo aver recuperato il tuo numero telefonico fisso o di cellulare, si presenta come un’azienda legittima per indurti, con menzogne piuttosto elaborate, a fornire informazioni personali e riservate.

Il mittente della telefonata potrebbe presentarsi come un dipendente del tuo istituto di credito, di un ufficio pubblico, di una compagnia telefonica o di un’emittente televisiva a pagamento e dirti che esiste un problema con il tuo account che può essere risolto solo se confermi le tue informazioni anagrafiche, il tuo codice fiscale, le credenziali di accesso e altri dati simili.

Il tono della telefonata può essere dei più disparati: da quello conciliante a quello ansioso, passando per toni rigidi, distaccati o particolarmente accesi. Fa parte del gioco.

In caso di telefonate di questo tipo riaggancia senza fornire alcuna informazione e, se proprio vuoi toglierti il dubbio, contatta direttamente l’azienda presunta mittente della precedente telefonata per accertare eventuali problemi con il tuo account.

3. False offerte di lavoro

I criminali inviano, per posta elettronica o telefonicamente, un numero sempre crescente di false offerte di lavoro, proposte di lavoro da casa o finti incarichi di mistery shopper che, nella peggiore delle ipotesi, si tramutano in furti d’identità. Le proposte hanno spesso un aspetto molto professionale e si può giungere a vere e proprie interviste, generalmente telefoniche, seguite dalla formalizzazione di un’offerta di lavoro. Per completare il processo, però, ti viene richiesto di fornire i tuoi dati anagrafici e le coordinate bancarie compilando un modulo per consentire all’azienda proponente il deposito dello stipendio. Questo modulo è il mezzo per raccogliere le tue informazioni personali e riservate necessarie per rubarti l’identità. Ovviamente, non ci sarà alcun posto di lavoro.

Non importa da quanto tempo cerchi lavoro e quanto ardua sia la tua ricerca, presta la dovuta attenzione alle proposte di lavoro, siano esse online, telefoniche, via posta elettronica o addirittura fatte di persona.

4. Skimming, basta un attimo!

Lo skimmer è un piccolo dispositivo difficilmente individuabile che consente di leggere le informazioni dalla tua carta di pagamento. I criminali lo installano solitamente nelle colonnine dei distributori automatici di carburante, sulle feritoie degli sportelli ATM o nei terminali POS, trasformando una semplice operazione di routine in un assalto alla tua privacy. Grazie alla sua maneggevolezza, lo skimmer può essere utilizzato anche in esercizi pubblici come bar e ristoranti, così come in altre situazioni che prevedono l’utilizzo della carta di pagamento. Con i dati sottratti, i criminali possono generare copie della tua carta di pagamento e compiere acquisti e prelievi per tuo nome e conto.

Quando utilizzi la tua carta di pagamento presta la massima attenzione che il dispositivo in cui essa viene inserita non appaia manomesso o contraffatto. Non sempre è possibile rilevare uno skimmer, in particolare quando viene posizionato all’interno di un terminale POS, ma è comunque possibile ridurre il rischio tenendo gli occhi bene aperti. In tutte le occasioni di utilizzo del pagamento elettronico, in particolare nei negozi e negli esercizi pubblici, non perdere mai di vista la tua carta di pagamento, basta veramente un attimo!

5. Dumpster diving (spazzatura, che passione!)

I criminali non frugano fra i rifiuti per cercare resti di cibo come i topi. Essi frugano nella nostra immondizia alla ricerca di ricevute, bollette, estratti conto, documenti per collezionare informazioni personali utili a perpetrare il furto d’identità. Sebbene questa pratica di vecchia scuola possa essere superficialmente bollata come ridicola, i criminali moderni continuano ad attuarla perché essa funziona ancora oggi. Anche la tua cassetta della posta è a rischio qualora sia posizionata al riparo da occhi indiscreti e sia particolarmente violabile.

Come arginare il rischio del dumpster diving? Utilizzare un dispositivo distruggi documenti da utilizzare quando si vuole gettare via documenti contenenti informazioni personali e riservate: è possibile trovarne di decenti a prezzi modici. Quando ti vuoi disfare di un vecchio disco fisso, di una chiavetta USB guasta, di un cellulare, di uno smartphone o di qualsiasi altro dispositivo che abbia una memoria, metti in pratica una procedura di cancellazione sicura del supporto ed effettua un hard reset per cancellare la memoria, assicurandoti che non rimangano informazioni personali all’interno. Se devi smaltire supporti magnetici (floppy disk) o ottici (CD, DVD, BR) contenenti documentazione, meglio distruggerli fisicamente rendendoli inutilizzabili prima di cestinarli.

Infine, fai in modo che la tua cassetta postale sia a prova di prelievo non autorizzato e che sia posizionata in piena vista per scoraggiare eventuali ladri di corrispondenza.

6. Borseggio e scippo

Sebbene questo sia un tipo pressoché arcaico di crimine, gli esperti di furto d’identità sanno bene che è tuttora uno dei migliori modi per ottenere velocemente informazioni personali e riservate. Oltre a soldi facili, ovviamente!

Valgono le normali precauzioni di sicurezza personale come il porre attenzione a comportamenti sospetti o il conoscere a fondo le zone che si frequenta abitualmente, ma è possibile ridurre il rischio di un eventuale utilizzo fraudolento dei propri dati personali. A partire dal tenere sempre a portata di mano, non in borsa ma in un posto comunque facilmente e rapidamente accessibile, i numeri del servizio clienti del proprio istituto di credito o della società emittente delle proprie carte di pagamento.

Se hai uno smartphone o un tablet, installa una di quelle applicazioni che consentono di azzerarne la memoria da remoto in caso di furto o smarrimento, in modo da impedirne l’accesso ai criminali. Meglio evitare, infine, di imbottire il proprio portafogli con una miriade di foglietti con le più svariate informazioni riservate come numeri di conto corrente, codici PIN, ecc.

7. Malware e spyware

Una navigazione poco accorta, la scarsa attenzione nell’aprire messaggi e-mail sospetti o l’apertura superficiale di collegamenti di dubbia provenienza e destinazione possono aprire la strada all’intrusione nel tuo computer di programmi malevoli sviluppati appositamente per prelevare informazioni e registrare dati, credenziali, password, numeri di conto, indirizzi e comportamenti. Quanto catturato viene spedito in maniera silente via Internet al criminale che, con poco sforzo, entrerà in possesso dei dati necessari a rubare la tua identità.

Non più solo tramite i personal computer ma anche su cellulari, smartphone e tablet grazie allo scarso controllo sulla provenienza e il reale comportamento in background delle numerose applicazioni disponibili più o meno gratuitamente negli application store, in particolare in quelli non ufficiali. La diffusione del malware può avvenire anche mediante banner pubblicitari su siti accreditati ma che nascondono un sito di destinazione infetto o fasullo, false applicazioni e finti servizi di pulizia antivirus che vengono proposti mediante appositi popup di allarme infezione durante la navigazione sul web, nonché falsi aggiornamenti di sicurezza per prodotti diffusi come Flash Player o Adobe Acrobat.

In un mio recente articolo ho trattato proprio la protezione contro il malware: per attuare un livello di protezione adeguato devi adottare strumenti di protezione antivirus, antispyware e personal firewall su qualsiasi computer utilizzato, mantenendo questi prodotti costantemente e automaticamente aggiornati. Proteggi i tuoi dispositivi mobili con appositi prodotti anti malware e installa solo applicazioni di cui sei in grado di accertare la reale provenienza, fornendoti solo dagli application store ufficiali e sottoposti ad adeguati controlli di sicurezza.

8. False notifiche e richieste di documentazione

Proprio in questo periodo siamo alle prese con dichiarazioni dei redditi, IMU e numerose altre incombenze tributarie. Sono in crescente diffusione false richieste di integrazione di documentazione e informazioni da parte di finti organi tributari nazionali. Fuorviati dalla crescente digitalizzazione degli organi pubblici, alcuni soggetti potrebbero essere indotti a rispondere a messaggi e-mail o contatti telefonici che richiedono informazioni mancanti da integrare per il buon esito delle procedure tributarie. I messaggi, analogamente ai tradizionali messaggi di phishing, possono contenere link verso siti web contraffatti e fortemente somiglianti a quelli di enti pubblici e altri organi come Equitalia, Agenzia delle Entrate, CAF, ecc.

Va tenuto a mente che questi organi non contattano mai i cittadini via e-mail o telefonicamente, ma sempre in forma scritta via lettera. Ogni forma di contatto diversa da quest’ultima è un probabile tentativo di furto di informazioni. In caso di dubbio, non rispondere alle sollecitazioni e recarsi di persona presso la controparte per verificare direttamente eventuali problemi.

Un’altra possibile tecnica è costituita dalle false notifiche ricevute in forma cartacea per posta ordinaria ma recanti l’indicazione di inserire le proprie informazioni personali su un falso sito istituzionale di cui indicano l’indirizzo URL. In questo caso è opportuno verificare che l’indirizzo indicato corrisponda esattamente a quello del presunto organo istituzionale mittente della notifica.

9. Cambio di indirizzo civico

Una pratica molto efficace per dirottare informazioni personali e riservate come estratti conto, informazioni bancarie e fatture è l’innesco fraudolento di una pratica di variazione del tuo indirizzo civico. In questo caso, non solo la tua identità può essere agevolmente rubata, ma andrai incontro al mancato rispetto di importanti scadenze di pagamento e potrai perdere comunicazioni importanti.

Il cambio di indirizzo civico deve essere fatto in anagrafe civica, ma c’è un modo molto più semplice di dirottare la corrispondenza: l’efficiente servizio “Seguimi” di Poste Italiane. Funziona davvero bene, ma se attivato con l’inganno da parte di un criminale consente il dirottamento senza che la vittima possa accorgersene in tempi brevi.

Ho già raccomandato al punto 5 di distruggere documenti e supporti prima di sbarazzarsene; questa pratica contribuisce anche a non rendere particolarmente appetibile la tua cassetta della posta. Se ricevi una notifica di variazione di indirizzo civico che non hai richiesto, recati immediatamente presso l’anagrafe o presso il servizio postale per chiarire la situazione.

La variazione di indirizzo civico può essere richiesta da un criminale anche direttamente al tuo istituto di credito o alla società emittente della tua carta di pagamento. Se di colpo ti accorgi di non ricevere più comunicazioni dal tuo istituto di credito, dalla tua compagnia di assicurazioni o dal brand della tua carta di pagamento, contattali e chiariscine i motivi. Se non ricevi posta per nulla, tranne i bollettini parrocchiali recapitati a mano, allora fai una verifica anche presso Poste Italiane.

10. Intrusioni informatiche

Il volume sempre crescente di informazioni ricevute, trasmesse e archiviate in forma digitale da banche, società emittenti delle carte di pagamento, compagnie assicurative e altre terze parti, anche il numero delle vulnerabilità sfruttabili aumenta di conseguenza. L’intrusione subìta di recente da Global Payments e che ha colpito possessori di carte Visa e MasterCard è solo l’ultimo dei casi. In passato, banche, esercizi commerciali e anche servizi online come le piattaforme di gaming hanno subìto intrusioni. Non solo, la recente crescita del fenomeno degli hacktivisti come forma di protesta sociale ha coinvolto i dati di diverse persone come danno collaterale delle intrusioni effettuate nei sistemi di multinazionali e organi istituzionali.

Sfortunatamente, in questo particolare caso non c’è modo per te di arginare o prevenire questi eventi. La sicurezza dei dati personali di noi utenti, infatti, dipende fortemente dalle misure di sicurezza implementate dalle società con le quali intratteniamo rapporti. Come utente, puoi limitare gli eventuali danni diversificando le credenziali (username e password) utilizzate per i servizi più critici come servizi di online banking, online shopping, servizi di pagamento e via dicendo. Questo ti consentirà di evitare che l’intrusione nei sistemi di un’azienda non conduca ad altre intrusioni a tuo danno.

Come contrastare il social engineering

La contromisura più efficace per ostacolare il social engineering è studiarlo, aumentare il proprio grado di consapevolezza e discutere delle nuove tecniche e dei più recenti approcci con famigliari, amici, conoscenti, colleghi, partner e clienti. Se aumenti la tua comprensione del fenomeno e la consapevolezza delle possibili conseguenze, sarai agevolato nel riconoscerne le tecniche, le caratteristiche e i sintomi, evitando così di cadere nelle trappole che ti verranno tese.

Racconta delle tue esperienze negative senza vergogna e fornisci ai tuoi interlocutori tutti i dettagli (non le tue informazioni personali!) su come, quando e perché hai subìto un attacco di social engineering. Consulta con attenzione e un pizzico di diffidenza qualsiasi comunicazione ricevi da qualsiasi canale essa arrivi, anche i più alternativi e anche se il messaggio ti sembra familiare o personalmente rilevante. Non porre troppo affidamento sui meccanismi di sicurezza e dai sempre per scontato che una parte delle tecniche di social engineering funzionerà comunque, per quanto tu possa prestare la massima attenzione.

In ambito aziendale, il social engineering può essere ostacolato al meglio focalizzando gli sforzi su apposite sessioni di security awareness al personale, in particolare ai dipendenti che trattano informazioni critiche, nonché investendo principalmente sugli aspetti di segmentazione interna, separazione dei ruoli, privilegi minimi, need-to-know e misure di monitoraggio.

Ricordati che il social engineering funziona!

Ettore Guarnaccia

Trend Micro ha identificato circa 5.000 nuove applicazioni Android contenenti malware nei soli primi tre mesi dell’anno, probabilmente grazie anche alla forte diffusione degli utenti di smartphone e tablet con il sistema operativo di Google. Fenomeni di Advanced Persistent Threat (APT) come “Luckycat” sono supportati dalla crescente consumerizzazione, dal forte ricorso all’outsourcing e dall’interazione degli utenti con nuove tecnologie e piattaforme che hanno ampliato notevolmente la superficie di attacco. La campagna Luckycat ha attaccato diverse tipologie di obiettivi mediante una varietà di malware, dimostrando ancora una volta quanto importanti siano i dati.

Altri recentissimi esempi sono costituiti dalle false applicazioni Instagram e Angry Birds Space per Android, scoperte dai laboratori di Trend Micro, e da alcuni domini di origine russa che offrono il download di popolarissime applicazioni Android come Ninja Fruit, Run Tempio e Talking Tom Cat.

Come sempre, le attraenti ed irresistibili trappole di social engineering hanno giocato un ruolo fondamentale nell’indurre le vittime a cliccare su collegamenti malevoli, a scaricare malware e visitare siti contraffatti, indipendentemente dal dispositivo. I tre mesi passati sono stati funestati da differenti tipologie di minacce contraddistinte da un unico denominatore: la mobilità. In parole povere, la diffusione della mobilità ha prodotto notevoli opportunità sia per gli utenti che per i cyber criminali.

Sebbene la crescita della mobilità costituisca un potenziale enorme, gli aspetti di sicurezza devono sempre restare in prima linea per contrastare il più possibile le relative minacce. Ecco allora due utili risorse per rendere sicuro il vostro smartphone con sistema operativo Android:

• 5 Simple Steps to Secure your Android-Based Smartphones
• When Android Apps Want More Than They Need

Fonti:

• Q1 Threats Go Mobile
• Rogue Instagram and Angry Birds Space for Android Spotted

Innanzitutto, devo essere sincero, un prodotto antivirus che protegga al 100% da virus e malware non esiste per definizione, per due motivi:

• il primo consiste nella percentuale massima possibile nella rilevazione di malware conosciuto che, per i migliori prodotti, si attesta intorno al 95% secondo i dati di laboratorio che potrebbero però non riflettersi analogamente nel normale utilizzo quotidiano,
• mentre il secondo consiste nel fattore “0-day”, ovvero quel malware di nuova introduzione e diffusione che è in grado di infettare un elevato numero di sistemi prima che i produttori di antivirus siano in grado di distribuire le relative contromisure.

In questo articolo vi dirò, in base alla mia esperienza e ai più recenti test di laboratorio, quali sono i migliori prodotti antivirus, con un occhio di riguardo alle validissime soluzioni gratuite. Ma vi dirò anche come aumentare il livello di protezione adottando ulteriori strumenti software specializzati. Prima, però, va fatta una doverosa premessa: la migliore protezione del proprio computer deve sempre derivare dalla giusta combinazione fra la consapevolezza dell’utente e l’utilizzo di validi prodotti software. Ecco perché inizierò dalle raccomandazioni fondamentali.

Una buona protezione inizia dalla consapevolezza dell’utente

Poiché la protezione totale ed assoluta del sistema non è conseguibile, l’obiettivo cui è opportuno puntare è la possibilità di ripristinarne il normale funzionamento nel più breve tempo possibile in caso di necessità. Molti utenti credono che basti un buon prodotto antivirus e il più è fatto: un errore che si può pagare caro. In caso di virus non riconosciuto o di nuovo malware 0-day, l’antivirus è assolutamente impotente e le conseguenze possono essere talmente gravi da causare la perdita dei dati o costringere l’utente ad una nuova installazione completa del sistema. Se vi è successo in passato, probabilmente avete già un’idea di quanto tempo si perda in queste rischiose, onerose e complesse operazioni.

Quindi, per una protezione ottimale del vostro computer vi serve:

• Un ottimo prodotto antivirus;
• Un ottimo prodotto antispyware;
• Un ottimo prodotto di personal firewall;
• Un ottimo prodotto di backup e restore;
• Un ottimo prodotto di drive image;
• Un cervello e un po’ di responsabilità.

L’antivirus da solo non basta perciò vi fornisco qualche raccomandazione:

• Aggiornamento del sistema: per ridurre al minimo le possibilità di infezione e propagazione, il sistema operativo e le applicazioni in esso installate devono essere sempre mantenuti aggiornati, in particolare con le patch prioritarie per la sicurezza. Spesso, infatti, il malware sfrutta le vulnerabilità conosciute di sistemi operativi e applicazioni per introdursi nel sistema e, soprattutto, propagarsi ulteriormente in rete e su Internet.
• Configurazione: qualsiasi prodotto software di protezione deve essere sempre configurato per aggiornarsi automaticamente con cadenza almeno giornaliera e tutte le funzionalità fondamentali devono essere attivate. La disattivazione di specifiche funzioni di protezione può lasciare una strada aperta alle infezioni.
• Dispositivi esterni: Porre la massima attenzione quando si usano dispositivi e supporti esterni nuovi o sconosciuti (es. chiavette USB e dischi esterni, ma anche DVD e CD di dubbia provenienza) perché potrebbero essere infetti. Inserirli nel sistema tenendo premuto il pulsante “Shift” (o “Maiusc”) per prevenirne l’apertura automatica e, prima di accedervi, avviare la funzione di scansione antivirus o antimalware sull’unità disco corrispondente al supporto inserito.
• Archivi compressi: Fare attenzione nel maneggiare archivi compressi (es. ZIP, TAR, G-ZIP, ecc.) perché molti software antivirus non sono in grado di effettuarne adeguatamente la scansione del contenuto. In caso di archivi compressi autoestraenti (con estensione .exe) non avviare l’estrazione automatica ma aprire l’archivio con un software di gestione archivi come WinRAR (shareware) o 7-Zip (gratuito).
• Quarantena: per evitare di creare problemi di funzionamento del sistema operativo o delle applicazioni installate, oppure di eliminare inavvertitamente file e documenti personali, in caso di rilevamento di un’infezione scegliere di spostare il file infetto in quarantena piuttosto che eliminarlo frettolosamente.
• Messaggi sospetti: non aprire mai messaggi di posta elettronica o di instant messaging sospetti, per esempio con oggetto sgrammaticato o contenente termini in lingua straniera, anche se proveniente da contatti conosciuti, perché potrebbero essere una conseguenza di infezioni subite dal computer del mittente e contenere allegati pericolosi. Attenzione anche ai tweet di Twitter di dubbia provenienza e contenenti URL accorciati: nel dubbio, ignorateli e non cliccateli.
• Fonti affidabili: scaricare file e software solo da siti ufficiali o da fonti affidabili e conosciute, evitando siti sconosciuti anche se particolarmente ben fatti ed attraenti. Non cadere nel tranello di messaggi popup con fantomatici e sconosciuti programmi antivirus che vi invitano ad effettuare una scansione del vostro computer perché è stata rilevata un’infezione, poiché sono essi stessi veicoli di infezione da malware di varia tipologia.
• Scansioni automatiche: configurare il proprio antivirus affinché effettui automaticamente una scansione completa delle unità disco del vostro computer, possibilmente schedulando la scansione in orari notturni in cui il computer non viene utilizzato (es. fra le 02.00 e le 06.00). Per ridurre i tempi di scansione delle unità disco è consigliabile effettuare una pulizia periodica del disco di sistema (per esempio con programmi di utilità come CCleaner), una razionalizzazione delle unità disco che contengono numerosi file (per esempio racchiudendo i numerosi file da tempo inutilizzati in archivi compressi) e, infine, un deframmentazione periodica (per esempio con Defraggler).
• Backup: fate un salvataggio completo dei vostri dati personali (documenti, foto, video, ecc.) con assiduità, regolarità ed attenzione. Un tool semplice e gratuito per sincronizzare cartelle e fare backup in maniera intuitiva è Microsoft SyncToy.
• Immagine di sistema: almeno una volta al mese effettuate un’immagine fisica del vostro disco di sistema e di eventuali altre unità disco utilizzando software di drive image appositi come Acronis True Image Home 2012, Norton Ghost 15 o NovaBackup Professional 13, giusto per citare i più validi e diffusi. Personalmente utilizzo il validissimo O&O Disk Image Professional Edition. Il ripristino del sistema partendo da un’immagine fisica vi consentirà, in caso di compromissione del computer, di ripartire nella medesima situazione in cui si trovava il vostro computer all’atto dell’ultimo backup, rimettendovi in pista in pochi minuti.

Il salvataggio dei dati e l’immagine di sistema sono fondamentali per ripartire nel più breve tempo possibile, affrontando e risolvendo il problema malware con un approccio diverso dal solito. Oppure, semplicemente, per avere un’ottima via d’uscita alternativa in caso di rimozione impossibile.

Scegliere il prodotto antivirus

I test effettuati di recente sui prodotti antivirus in diversi laboratori indipendenti hanno fornito una visione abbastanza allineata e coerente, sia dei prodotti a pagamento, sia di quelli disponibili gratuitamente. Va premesso che fra i prodotti valutati esistono sia semplici antivirus, sia suite più complete che integrano funzionalità antispyware e di personal firewall, ma generalmente le suite non offrono una protezione superiore rispetto ai migliori prodotti antivirus combinati con altri prodotti specifici che fungono da antispyware e da personal firewall.

Nell’indicarvi i prodotti migliori non mi soffermerò sulle valutazioni di dettaglio dei singoli laboratori ma vi darò un breve elenco dei software antivirus che, per tipologia, possono offrirvi le migliori garanzie in termini di prestazioni, leggerezza e usabilità. Molte valutazioni fornite dai laboratori, infatti, sono prettamente soggettive e potrebbero fuorviarvi nella scelta del software antivirus che fa al caso vostro, perciò vi consiglio di provare prima questi software nella versione shareware per tutto il periodo di prova prima di farvi un’idea in merito.

I migliori prodotti antivirus a pagamento

I migliori prodotti antivirus disponibili a pagamento e che mi sento di consigliarvi sono:

• Avira Premium 2012;
• BitDefender Antivirus Plus 2012;
• Kaspersky Anti-Virus 2012;
• G-Data Antivirus 2012.

Alternative decenti, ma non al livello dei prodotti sopra citati, possono essere:

• ESET NOD32 Antivirus 5 Home Edition;
• F-Secure Antivirus 2012;
• Symantec Norton Antivirus 2012;
• Avast! Pro Antivirus 7.

Devo purtroppo notare, anche in quest’occasione, che uno degli antivirus più diffusi ed utilizzati in ambito aziendale viene indicato da tutti i laboratori (nessuno escluso) come uno dei software più scarsi del mercato: si tratta del veterano McAfee Antivirus Plus 2012.

Se qualcuno si chiede quale sia il prodotto più conveniente in termini di rapporto qualità-prezzo fra quelli menzionati, ecco subito la risposta, i migliori in questo senso sono:

• Avira Premium Antivirus 2012 (19,95 euro/anno);
• G-Data Internet Security 2012 (29,95 euro/anno).

I migliori prodotti antivirus gratuiti

I prodotti antivirus disponibili gratuitamente non hanno nulla da invidiare alle versioni a pagamento anzi, in molti casi le prestazioni fra la versione gratuita e quella a pagamento dello stesso prodotto sono analoghe. Tenete conto, però, che l’utilizzo delle versioni gratuite è concesso di norma solo per un utilizzo personale e casalingo, non per l’installazione in realtà aziendali o per un uso professionale, non dimenticatelo!

I migliori prodotti gratuiti che mi sento di consigliarvi sono:

• Avira Free Antivirus;
• AVG Anti-Virus Free Edition;
• Microsoft Security Essentials;
• Avast! Free Antivirus.

L’antivirus da solo non basta

Per ottenere il massimo livello di protezione possibile, l’antivirus da solo non è sufficiente. L’intrusione di particolari malware veicolati attraverso la navigazione Internet, infatti, sfugge spesso ai normali antivirus e rende necessaria l’adozione di uno specifico strumento di antispyware. Questa specifica tipologia di software consente di proteggere gli ambiti lasciati scoperti dall’antivirus, aumentando decisamente il livello di protezione generale e la percentuale di rilevazione e rimozione del malware.

I migliori antispyware a pagamento sono indubbiamente:

• PC Tools Spyware Doctor;
• Webroot Spy Sweeper;
• MalwareBytes Anti-Malware Pro.

Se desiderate utilizzare un prodotto gratuito, allora vi consiglio:

• MalwareByter Anti-Malware;
• Emsisoft Anti-Malware.

Ottimi prodotti gratuiti di utilità antirootkit da utilizzare una tantum in caso di sospetta infezione o per un controllo periodico del sistema, anche in combinazione con antivirus e antispyware sono:

• Kaspersky TDSSKiller;
• Trend Micro HijackThis.

Firewall personale, una protezione in più

Anche i prodotti di personal firewall sono molto utili come coadiuvanti nel contrasto delle infezioni da malware, in particolare se utilizzate un accesso ad Internet tramite un semplice modem o router ADSL e se avete più di un computer collegato in rete. In più, il personal firewall consente di arginare anche eventuali tentativi di intrusione da parte di malintenzionati e cyber criminali via Internet, una minaccia purtroppo sempre latente.

Una soluzione con firewall esterno dedicato è sempre preferibile, sia in ambito aziendale e professionale, sia in ambito casalingo, per esempio utilizzando un sistema Linux con IPTables ben configurato e blindato. Ma se le vostre conoscenze informatiche non ve lo consentono, allora è il caso di ripiegare su soluzioni software.

Le migliori soluzioni di personal firewall a pagamento sono:

• Comodo Internet Security Pro 2012;
• BitDefender Internet Security;
• Agnitum Outpost Pro Security Suite;
• Kaspersky Internet Security;
• Online-Armor Premium Personal Firewall;
• Symantec Norton Internet Security.

Mentre le migliori soluzioni gratuite sono:

• Comodo Free Firewall for Windows;
• Online-Armor Free Personal Firewall;
• Agnitum Outpost Free Security Suite;
• ZoneAlarm Free Firewall 2012.

Protezione a 360°

In conclusione, il massimo livello di sicurezza si può ottenere combinando antivirus, antispyware e personal firewall sullo stesso sistema, ovviamente con una configurazione attenta e responsabile, nonché tutte le funzionalità di protezione attivate. Molto probabilmente questa combinazione causerà un sensibile appesantimento del sistema in termini di memoria e prestazioni generali, ma solo così sarà possibile implementare:

• Protezione antivirus e antispyware;
• Controllo delle comunicazioni di rete in entrata ed uscita dal sistema;
• Protezione proattiva a salvaguardia del sistema e delle applicazioni;
• Funzionalità antispam per la posta elettronica;
• Navigazione sicura sul web con controllo dei cookies e prevenzione del furto d’identità.

Mi sembrano motivazioni più che sufficienti, soprattutto per gli utenti meno esperti.

E se mi becco comunque un’infezione?

In caso di sospetta infezione da malware la prima contromisura è scollegare il computer dalla rete e, soprattutto, da Internet per evitare che eventuali trojan horse possano scaricare autonomamente altri malware, che un worm si propaghi tramite rete su altri computer o che gli spyware inviino all’esterno dati sensibili. Segnarsi tutti i comportamenti anomali rilevati ed eventuali messaggi di errore poiché possono consentire una migliore individuazione del malware responsabile e di eventuali istruzioni o strumenti di rimozione. Cercate informazioni su Internet utilizzando un altro computer non infetto, magari coinvolgendo amici o colleghi più esperti.

Finché il sistema è infetto evitate di collegare dispositivi di archiviazione esterni come dischi o chiavette USB a meno che questi non siano funzionali alle operazioni di rimozione del malware. Qualora fosse necessario avviare il sistema, fatelo scegliendo la modalità provvisoria, ovvero tenendo premuto il tasto F8 durante la procedura di accensione. Una volta avviato lanciate la funzionalità di scansione del vostro antivirus e, successivamente, dell’antispyware impostando il controllo accurato dell’intero sistema e di tutte le unità disco presenti.

Per la rilevazione del malware potete utilizzare le due utility sopra menzionate (TDSSKiller e HijackThis) scaricandole mediante un altro computer e portandole sul sistema infetto mediante una chiavetta USB che, ad operazioni concluse, verificherete sull’eventuale presenza di malware. Di recente si sta diffondendo una nuova tipologia di malware denominata ransomware: al malcapitato utente, infatti, viene richiesto un riscatto in denaro per ottenere la pulizia del sistema oppure viene proposto un finto messaggio della Guardia di Finanza. In tal caso non cedete al ricatto o al panico e tentate la pulizia con gli strumenti citati o rivolgendovi ad una persona esperta o ad un centro di assistenza specializzato.

Certo che se avete seguito il mio consiglio di effettuare un’immagine periodica del sistema e avete puntualmente effettuato il salvataggio dei vostri dati personali, allora ripartire sarà molto più facile e veloce. In bocca al lupo!

Ettore Guarnaccia

UNICA Italiana è un’associazione sindacale di categoria che accoglie imprenditori, artigiani, commercianti, agricoltori e professionisti con l’obiettivo di rappresentare e tutelare gli interessi dei soggetti associati nei confronti delle istituzioni, delle amministrazioni pubbliche, delle organizzazioni economiche, politiche, sociali e culturali, favorendo l’instaurazione di rapporti di scambio tecnico, scientifico, economico e di mutualità fra gli associati, attraverso la costituzione di consorzi e altre forme di aggregazione.

Committente: Associazione U.N.I.C.A. Italiana (associazione sindacale di categoria)

Anno di realizzazione: 2012

Indirizzo URL del sito: www.unicaitaliana.it

Servizio di hosting: IlTuoHosting.it by VHosting Solution LLC

Piattaforma: Server Linux, web server Apache2, PHP5, MySQL5, CMS WordPress3

Linguaggi utilizzati: HTML, JavaScript, CSS3, PHP5

Plugin utilizzati: Vari

Servizi realizzati:

• Individuazione dei colori sociali
• Disegno del logo sociale
• Definizione dell’intestazione sociale
• Selezione servizio di hosting
• Allestimento dell’architettura dei servizi web
• Registrazione dominio web
• Configurazione servizio DNS
• Installazione e configurazione CMS
• Personalizzazione grafica e CMS
• Sistema di gestione SEO
• Modulo di contatto via web
• Messa in sicurezza del CMS
• Sistemi di salvataggio e ripristino
• Sistemi di monitoraggio
• Funzionalità di commento, sondaggio e rating
• Funzionalità di visualizzazione contenuti in formato stampabile
• Creazione e configurazione delle caselle e-mail e della webmail
• Creazione e configurazione servizi di posta elettronica certificata (PEC)
• Selezione e personalizzazione tema grafico
• Modifica codice sorgente PHP5 e CSS3
• Attivazione e configurazione statistiche web
• Visualizzazione contenuti più votati e più letti
• Sistema di controllo delle revisioni
• Sistema di controllo sul funzionamento dei link
• Sistema di protezione antispam e moderazione preventiva dei commenti
• Pagina ufficiale su Facebook
• Account ufficiale su Twitter
• Profilo ufficiale su LinkedIn
• Funzionalità di mailing list e newsletter ufficiale

Funzionalità offerte:

• Slideshow di presentazione
• Contenuti evidenziati in prima pagina
• Integrazione con i più diffusi social media (share & like)
• Sistema di ranking di articoli e commenti
• Integrazione video YouTube
• Feed RSS avanzati
• Moduli di contatto
• Visualizzazione articoli correlati
• Funzione di stampa articoli

Stato: online

Logo sociale

Branding

Layout

In quell’occasione citai il film “Die Hard – Vivere o Morire” (Len Wiseman, 2007) e non a caso.

Die Hard – Vivere o Morire

Nel film, un gruppo di cyber criminali recluta alcuni hacker per ottenere l’accesso alle principali infrastrutture critiche statunitensi, con l’obiettivo di mettere in ginocchio l’intera nazione e prelevarne digitalmente le finanze. Dapprima assumendo il controllo dei sistemi di trasporto e segnalazione stradale, delle ferrovie e dell’aviazione civile, poi arrestando i servizi economici e finanziari del paese a partire dalla NYSE. L’ultima fase dell’attacco comporta l’arresto dei servizi primari, in particolare dall’erogazione dell’energia elettrica con conseguente black out generale.

La sceneggiatura del film prevede anche una serie di diversivi, come l’intrusione informatica e il falso allarme antrace nel quartier generale dell’FBI, nonché una forte componente psicologica fornita dal filmato di propaganda. Inevitabilmente l’intero paese cade in preda al caos e al panico con un enorme ingorgo automobilistico e l’arresto totale dei trasporti e dei sistemi di controllo, mentre le autorità federali e militari brancolano nel buio. Alla fine l’eroe John McClane risolve la situazione, grazie alla preziosa collaborazione dell’hacker etico Matt Farrell.

Il film è molto spettacolare e diverse volte travalica abbondantemente i limiti di credibilità dell’azione, sebbene sia proprio questo che attrae gli amanti del genere, me compreso. Nel leggere i commenti degli spettatori, infatti, emerge un sentimento generale di scetticismo misto ad incredulità sulla trama. Condivisibile, ma fino ad un certo punto.

Nel corso del film Farrell cita più volte i “saldi per incendio”, un termine che sta ad indicare una complessa operazione organizzata in tre fasi che consente di arrestare completamente l’economia e i servizi di un’intera nazione. “Si chiama saldi per incendio perché, dopo, tutto è da buttare via” afferma Farrell nel tentare di spiegare al pensionando McClane la gravità della situazione. Quest’ultimo sostiene che “il governo sarà preparato per cose del genere”, ma Farrell lo smonta rispondendo “si, continua a sognare!”.

Non va sottovalutato, a mio parere, il messaggio che lo scaltro Wiseman ha inequivocabilmente voluto lanciare all’opinione pubblica: tutto questo può succedere e non è così remota la possibilità che una situazione da “saldi per incendio” accada sul serio e si torni tutti istantaneamente all’età della pietra.

Saldi per incendio

Fire Sale, tradotto in italiano “saldi per incendio”, sta ad indicare la vendita di beni e merci a prezzi estremamente ridotti che avviene quando un imprenditore affronta la bancarotta o subisce un incidente, tipicamente un incendio, che mina irrimediabilmente la prosecuzione dell’attività commerciale. In ambito sportivo il medesimo termine indica la vendita sul mercato di tutti i giocatori più validi e più retribuiti di una società a causa di problemi finanziari.

Nell’ambito della cyber security, invece, questo termine è stato adottato per indicare un attacco organizzato e strutturato alle infrastrutture critiche di una nazione. L’intenzione dell’attaccante è quella di arrestare la rete dei trasporti, i servizi economici e finanziari, nonché i servizi primari e lasciare governo, istituzioni e forze militari e di polizia nella più completa impotenza.

L’attacco è tipicamente strutturato in tre fasi per ciascuna delle quali cerco di tracciare uno scenario di massima e le possibili conseguenze:

• Fase 1 – Compromissione e controllo della rete dei trasporti: treni, autostrade, segnaletica stradale, sistemi di controllo del traffico aereo e della movimentazione aeroportuale, ferrovie, metropolitane e infrastrutture portuali e marittime. Nel breve termine si ottiene una situazione di grande caos, di ingorghi e incidenti stradali, di impossibilità di movimento e un forte rischio di incidenti ferroviari, navali e aerei. Successivamente, l’arresto dei trasporti causa la mancata consegna dei beni di prima necessità, dei medicinali urgenti e del carburante, nonché l’impossibilità per diverse persone di raggiungere il posto di lavoro. Inizia il caos e il panico fra la popolazione.
• Fase 2 – Compromissione dei servizi economici e finanziari: arresto dei sistemi che regolano gli scambi in borsa e le reti interbancarie nazionali e internazionali. Nel breve termine si ottiene la paralisi dell’intero sistema: le carte di debito e credito non funzionano più, i servizi di Internet Banking non sono disponibili, gli sportelli ATM e i terminali POS vanno fuori linea rendendo impossibili prelievi di denaro e pagamenti telematici. In poco tempo la gente esaurisce il contante e non può ottenerne altro, di conseguenza aumenta ulteriormente lo stato di confusione e paura generale.
• Fase 3 – Arresto dei servizi primari: energia elettrica, acqua, gas, rete fognaria e telecomunicazioni. Black out, indisponibilità di acqua corrente e gas, impossibilità di contattare i servizi di emergenza sanitaria o le forze di polizia in caso di necessità. I generatori di emergenza di cui sono dotate le grandi aziende erogano energia elettrica fino al completo esaurimento del combustibile a disposizione che avviene più o meno entro le 72 ore. L’indisponibilità delle comunicazioni telefoniche, satellitari e della rete Internet impedisce alla popolazione di comprendere l’entità del fenomeno e acuisce ulteriormente la già grave situazione di panico e terrore. La prolungata indisponibilità dei servizi primari causa gravi interruzioni di servizio negli ospedali, dove i reparti più critici devono registrare gli inevitabili decessi dei pazienti meccanicamente o elettronicamente assistiti. Successivamente si fanno strada gravi problemi di sicurezza nelle industrie petrolchimiche e nelle centrali nucleari, dove non è più possibile assicurare i fondamentali servizi di protezione e contenimento.

Milioni di persone per strada o chiuse in casa nella più totale impotenza, senza poter comunicare, senza potersi procurare alimenti di prima necessità e senza sapere come gestire la situazione. Penso sia abbastanza facile immaginare quali conseguenze in termini di terrore, rabbia, isteria, panico e caos possono configurarsi in caso di un attacco di questa portata e vi assicuro che la possibilità di registrare decessi di massa non è poi così remota. Terrificante, vero?

La negazione

Come spesso avviene quando il rischio è talmente elevato da risultare inimmaginabile, la reazione della massa è di etichettare l’eventualità come surreale e irrealizzabile. Questa reazione in psicologia viene definita “negazione” e consiste in una spessa corazza protettiva che ci impedisce di guardare in faccia qualcosa che non saremmo in grado di accettare o gestire.

Spesso, quando un individuo sente che un certo argomento lo porta verso una conclusione non gradita, alza questa barriera di rifiuto, solida e impenetrabile, anche a costo di apparire ridicolo. Un meccanismo tanto facile da riconoscere negli altri quanto invisibile in noi stessi, ma che non va né deriso né disprezzato: è una preziosa valvola di sicurezza che consente all’individuo di non impazzire e di non cadere nel disorientamento che gli comporterebbe un’eventualità così difficile da contemplare. È già successo a tutti noi.

Una reazione più che comprensibile per la gente comune, ma non consentita ad un professionista di sicurezza delle informazioni: chiudere gli occhi o voltare la testa dall’altra parte non risolve il problema, perciò non resta che guardarlo in faccia, comprenderlo appieno e adottare le necessarie misure di protezione e prevenzione.

Le infrastrutture critiche nazionali

Al giorno d’oggi intere nazioni sono interamente basate sui computer e sull’automazione industriale. Le infrastrutture critiche nazionali, ovvero trasporti, finanza e servizi primari, operano per mezzo di sistemi di controllo industriale che sfruttano tecnologie informatiche per il controllo sull’erogazione e per il monitoraggio remoto di apparati e servizi.

I sistemi di controllo industriale sono composti da dispositivi programmabili di controllo logico (PLC) per la gestione dei processi industriali, sistemi di controllo distribuito (DCS) per l’elaborazione e l’acquisizione delle informazioni da apparati distribuiti e da sistemi di controllo di supervisione e acquisizione di dati (SCADA) per il monitoraggio e il controllo dei servizi.

Sistemi che sono stati disegnati, prodotti e messi in funzione dieci, venti anni fa o anche prima, in scenari dove la documentazione e le misure di protezione informatica sono da sempre concetti sconosciuti e dove sistemi operativi obsoleti, non aggiornati e non aggiornabili, interfacce di comunicazione antiquate e rozze, scarsa conoscenza informatica e assenza di documentazione tecnica e architetturale costituiscono la normalità. In impianti vecchi di qualche decennio nessuno è più in grado di sapere con certezza a cosa serve un particolare cavo o quale impatto può avere un qualsiasi evento sull’erogazione dei servizi.

Ebbene, la cosiddetta infrastrutture critiche nazionali sono ormai interamente basate su sistemi come quelli descritti e tutto è regolato e controllato per mezzo dell’informatica. Con l’aggravante costituita dalla forte privatizzazione attuata sulle aziende di servizio, di trasporto e sugli istituti finanziari che ha reso pressoché impotenti i governi, i quali non sono più in grado di imporre adeguate misure di sicurezza a tutela della popolazione, se non per mezzo di opportune leggi che sono però molto lontane a venire.

Una minaccia reale

Stando a diverse fonti specializzate, i sistemi industriali sono vulnerabili a numerose tipologie di attacco a causa della relativa obsolescenza tecnologica, del mancato aggiornamento con le necessarie patch di sicurezza, dell’insufficiente ricorso alla protezione perimetrale e antivirus. Il ricorso ad analisi di sicurezza, vulnerability assessment e penetration test è rarissimo e, nei pochi casi in cui si sceglie di realizzare verifiche di sicurezza, i sistemi più critici non vengono toccati per paura di interruzioni di servizio difficilmente gestibili.

Il dramma è che non serve necessariamente una superpotenza mondiale o un’organizzazione di cyber terroristi preparati e pronti a tutto per portare attacchi a sistemi di controllo industriale. Anzi, attacchi con pesanti conseguenze sull’erogazione dei servizi sono ampiamente alla portata di semplici smanettoni, data la relativa facilità di penetrazione e compromissione. Le notizie sulla scoperta di nuove vulnerabilità dei sistemi ICS si susseguono di continuo e, spesso, gli stessi produttori dei sistemi impattati non sono in grado di fornire le necessarie patch di sicurezza.

Ecco le ultime news internazionali sul tema:

• ICS-CERT: Siemens Scalence S Multiple Vulnerabilities;
• Researcher Uncovers More SCADA Zero-Day Flaws;
• Researchers release new exploits to hijack critical infrastructure;
• Rise of “forever day” bugs in industrial systems threatens critical infrastructure;
• #1 ICS and SCADA Security Myth: Protection by Air Gap;
• Hackers tap SCADA vuln search engine;
• U.S. warns of security holes in Chinese SCADA apps;
• SCADA security just got more serious.

Risulta evidente che va data la massima priorità alla protezione dei sistemi di automazione, come auspicato a gran voce dalla Casa Bianca, dal Pentagono, dall’FBI, dal CERT ICS e dal Dipartimento di Sicurezza Nazionale (DHS) degli Stati Uniti. Si parla addirittura di una possibile Pearl Harbor Cibernetica! Molti ingegneri sono a conoscenza del problema, ma il management delle aziende private raramente ravvisa una minaccia immediata, oppure ignora deliberatamente il problema perché intervenire sugli impianti industriali è molto costoso. Ed è tuttora difficile sradicare l’associazione del concetto di sicurezza all’utilizzo di elmetti e scarpe antinfortunistiche, o all’effettuazione di una corretta manutenzione meccanica. In aggiunta, anche gli ingegneri industriali si oppongono all’introduzione di filtri e misure di sicurezza per paura delle possibili ripercussioni sulla disponibilità e l’integrità dei sistemi.

Negli ultimi anni, però, la proliferazione di interfacce web e di accessi remoti, il raro ricorso alla crittografia, nonché la connessione delle reti di controllo industriale alle reti corporate, agli access point wireless e ad Internet in particolare, hanno aumentato considerevolmente l’entità della minaccia e del conseguente rischio che incombe sulle infrastrutture critiche nazionali. E anche per i professionisti della sicurezza non è semplice approcciare e valutare con esaustività i rischi dei sistemi di controllo industriale, perché solo un numero molto ristretto di esperti è in grado di dominarne gli aspetti tecnici e le verifiche strumentali di sicurezza con cognizione di causa e senza generare danni all’operatività.

Il caso Stuxnet ha dimostrato a tutto il mondo che un attacco mirato ai sistemi di controllo industriale è attuabile e può avere conseguenze disastrose come l’indisponibilità prolungata dei servizi primari erogati e possibili decessi umani. Oggi il codice sorgente del worm Stuxnet è disponibile liberamente sul web e non è così difficile riutilizzarlo per generare, con poche modifiche, nuovi worm per nuovi obiettivi.

Sta già succedendo!

A coloro che, giunti a questo punto, restano tuttora scettici sull’eventualità di un scenario da saldi per incendio, devo purtroppo dare un brutta notizia: sta già succedendo. I casi di compromissione e intrusione nei sistemi di controllo industriale sono numerosi e, recentemente, l’attenzione dei cyber criminali si sta progressivamente spostando anche su questo specifico settore.

Di seguito i casi di attacco ad infrastrutture critiche nazionali recentemente diffusi dai media:

• Attacco al Gwinnett Medical Center in Georgia;
• Attacco ai sistemi SCADA in tre diverse città statunitensi;
• Attacco al sistema idrico di Springfield in Illinois;
• Attacco alla segnaletica stradale in Michigan;
• Attacchi alle reti telefoniche aziendali;
• Attacco alla rete elettrica statunitense.

Ed ecco alcune fra le numerose denunce pubbliche in merito alle minacce che incombono sui sistemi ICS:

• Servizi idrici e di energia costantemente sotto attacco (DHS);
• Sempre più infrastrutture critiche sotto attacco (FBI);
• FBI sempre più preoccupata dalla manomissione dei contatori elettrici;
• Obama dichiara il mese della protezione delle infrastrutture critiche;
• Sistemi di controllo degli scambi ferroviari non protetti;
• I rischi nella gestione delle reti intelligenti di erogazione dell’energia elettrica (smart grid);
• I rischi per la segnaletica a pannello variabile delle autostrade;
• Reti ospedaliere a rischio di attacco informatico;
• Sistemi di controllo aereo a rischio di attacco informatico.

Infine, ecco qualche esempio di attacco gentilmente offerto da Max, un giovane cracker olandese che si diletta nell’interagire con sistemi di automazione e PLC organizzando una serie di scherzetti, fortunatamente innocui.

Il video è in lingua olandese, ma sul canale YouTube “maxcornelisse” è possibile consultare diversi filmati singoli con sottotitoli in lingua inglese. Non sono assolutamente certo della genuinità ed affidabilità delle intrusioni presentate, ma esse contribuiscono a rendere l’idea di cosa è possibile fare controllando qualche dispositivo PLC in giro per il mondo.

Conclusioni

Non abbiamo ancora sperimentato un “fire sale attack” perché finora è mancato un insieme organizzato e strutturato di attacchi posti nella corretta sequenza ma, presi singolarmente, praticamente tutti i sistemi di automazione e controllo sono più o meno vulnerabili e possono pertanto contribuire efficacemente alla realizzazione di un simile, tragico, scenario.

I governi sono pressoché impotenti nell’imporre onerose misure di sicurezza ad aziende private concentrate sul massimo profitto e generalmente poco interessate al tema sicurezza. Per quanti sforzi possano fare l’esercito e le forze di polizia, un’efficace gestione di un evento di questa portata è assolutamente impossibile, sia per la vastità che per la variabilità dei possibili scenari d’attacco. L’unica soluzione è investire sulla prevenzione. A partire dai produttori dei sistemi ICS, passando per le aziende che gestiscono infrastrutture NCI, fino all’attuazione di opportune verifiche sul campo da parte delle istituzioni governative di controllo.

Le conseguenze più gravi di uno scenario da saldi per incendio si ripercuoterebbero sulla popolazione, sulla gente comune, soprattutto sui soggetti più vulnerabili: malati gravi, anziani e bambini. Provate ad immaginare un’assenza prolungata per più settimane dei mezzi di trasporto, dei mezzi di comunicazione, di Internet, del denaro contante, della possibilità di reperire alimenti e beni di prima necessità, dell’erogazione di energia elettrica, gas e acqua corrente. Una società fortemente dipendente da questi servizi avrebbe enormi difficoltà nell’affrontare un simile scenario e dubito che nel mondo reale esista un John McClane pronto a risolvere la situazione.

A coloro che volessero approcciare la sicurezza e la protezione dei sistemi di controllo e automazione industriale consiglio vivamente di scaricare il Quaderno Clusit “Introduzione alla protezione di reti e sistemi di controllo e automazione (DCS, SCADA, PLC, ecc.)” scritto nel 2007 dall’esperto del settore Enzo M. Tieghi.

Ettore Guarnaccia

Immagina: con le mani completamente libere, guardi un palazzo dall’esterno e, in corrispondenza di ogni piano, puoi vedere in sovrimpressione quali negozi o quali aziende esso ospita. Oppure sei in un centro commerciale o fai una passeggiata in centro città e vuoi trovare un negozio di libri? Ecco che magicamente appaiono davanti ai tuoi occhi le istruzioni del navigatore per raggiungerlo secondo la strada più breve. Ricevi un SMS? Lo puoi leggere al volo e rispondere semplicemente dettando il messaggio a voce. Passeggi e, nel frattempo, ricevi e consulti le ultime notizie in tempo reale, interagisci coni social network, controlli le previsioni meteo e scatti fotografie o fai un filmato di ciò che trovi interessante lungo il tragitto senza dover infilare la mano in tasca e tirare fuori lo smartphone o la macchina fotografica.

Sono solo alcuni esempi di come potrebbe essere il futuro prossimo grazie ad un interessante progetto di sviluppo avviato da Google e già in fase di test on the road.  Un progetto di realtà aumentata, ovvero l’interazione con il mondo circostante in una maniera del tutto nuova, piena di funzionalità e informazioni, sempre più personalizzate in base al contesto in cui ci si trova. Grazie ad un paio di occhiali speciali, dotati di chipset Motorola, sistema operativo Android e motori Google Search e Google Maps, tanto per citare i più famosi prodotti di Google.

L’azienda di Mountain View sta per lanciare un prodotto in grado di surclassare decisamente il concetto di dispositivo mobile grazie all’introduzione del dispositivo indossabile con interazione prettamente vocale e connettività continua mediante diverse tecnologie. Certamente qualcuno storcerà il naso pensando ai numerosi pericoli per la salute che l’uso prolungato del cellulare e del WiFi comporta, stando all’OMS e a diverse ricerche mediche, e vedendosi proporre un dispositivo che può essere addirittura indossato a stretto contatto con il cervello per l’intera giornata (sebbene per alcuni potenziali acquirenti il cervello non costituisca organo vitale).

Ma è innegabile che abbiamo di fronte un’opportunità veramente interessante: SMS con dettatura vocale, videochiamate con prospettiva POV (l’interlocutore vede ciò che io vedo in soggettiva), news in tempo reale, aggiornamenti di stato e interazione con i social media, indicazioni stradali e pedonali, previsioni meteo, fotografie e filmati al volo, tutto con le mani completamente libere, senza appesantire le tasche e senza dover utilizzare tastiere con tasti sempre più piccoli o quei fastidiosissimi schermi touch che richiedono una vista da adolescente, dita da pianista e mira da cecchino.

Le voci sul possibile lancio dei Google Goggles (uno dei probabili nomi) sono al momento discordanti, ma ci sono buone possibilità che esso avvenga entro il 2012. Il prezzo? Variabile da 250 a 600 dollari, ma sufficiente a rendere l’acquisto di un Apple iPad3, un iPhone 4S o un Samsung Galaxy S II un pessimo investimento in prospettiva futura.

L’offerta di Google andrà ad affiancarsi a quella già disponibile di Epson: è già possibile acquistare, per poco più di 600 euro, il visore multimediale indossabile con lenti trasparenti Moverio BT-100, anch’esso dotato di Android e connettività wireless ma i cui handicap stanno nel design decisamente ingombrante e molto poco cool rispetto al futuro concorrente e nella presenza di un controller manuale che impegna comunque almeno una mano dell’utente. Il look proposto da Google, invece, è veramente minimale e handsfree senza compromessi.

Ma bando alle ciance: non resta che guardare il primo filmato messo in rete da Google e girato in soggettiva per rendere al meglio l’esperienza d’uso e farvi assaggiare un pezzettino di futuro.

Google ritiene che “la tecnologia dovrebbe funzionare per noi, essere presente quando ne abbiamo bisogno e sparire quando non serve”, un concetto più che condivisibile. Se avete delle idee per includere ulteriori funzionalità o indirizzare al meglio lo sviluppo è possibile collaborare con i membri del Google X, il laboratorio (non più tanto segreto) responsabile della ricerca. Quale sarà il prossimo passo? Lenti a contatto con microprocessore o apparati oculari bionici con connessione wireless e display retina? Staremo a vedere…

Ah, quasi dimenticavo di citare l’eyePhone di Futurama…

Shut up, and take my money!

Ettore Guarnaccia

Qualche dato: almeno 10 miliardi di dollari l’anno è il frutto dei crimini informatici per le reti internazionali e transnazionali di cybercrime, mentre i danni indotti alle malcapitate vittime vengono stimati in circa 400 milioni di dollari. Quella dei crimini informatici è ormai diventata un’industria, con veri e propri investitori e diverse organizzazioni interamente dedite a questa nuova tipologia di facile profitto. Ed è sempre più difficile individuare con certezza i reali confini fra cybercrime organizzato, cyber espionage e warfare, hacktivisti e singoli cracker a causa dei limiti intrinseci di tracciabilità e attribuzione propri della rete Internet.

Nuovi obiettivi, ma sempre le solite vulnerabilità

Un dato molto interessante che emerge dal report Clusit è la classifica degli obiettivi di attacchi informatici che vede al primo posto le istituzioni governative, militari, di polizia e di intelligence e non più banche e istituzioni finanziarie come si è indotti a credere. Di certo l’alto volume degli attacchi a questo tipo di obiettivi è dovuta all’esplosione del fenomeno degli hacktivisti avvenuta nel corso del 2011 con i gruppi Anonymous e LulzSec e che ha contributo decisamente al repentino aumento degli attacchi da meno di 10 al mese fino ad oltre 100.

In Italia gli obiettivi prediletti dagli attaccanti rispecchiano la classifica globale: in testa troviamo istituzioni governative, università e organizzazioni politiche, con istituti bancari e finanziari relegati al settimo posto. Ciò che dovrebbe far inorridire qualsiasi professionista della sicurezza è la classifica delle tipologie di attacco: SQL Injection, malware e sfruttamento di vulnerabilità arcinote ed errate configurazioni dei sistemi sono in testa a confermare, qualora ne avessimo necessità, che il problema principale è lo scarso livello di protezione generale.

Inconsapevoli e arretrati

Un dato che mi ha colpito e sul quale concordo pienamente è la generale assenza della necessaria consapevolezza. Mentre i criminali informatici sono sempre un passo avanti alle forze di polizia e agli organi di controllo, le aziende sono nettamente indietro sul fronte delle misure di sicurezza e protezione. Istituzioni, multinazionali, banche e aziende di servizio espongono siti web afflitti da un numero impressionante di vulnerabilità ormai note da anni, un comportamento che al giorno d’oggi è difficilmente giustificabile.

Alla mentalità arretrata di molti dirigenti, che vedono ancora la sicurezza come una grossa voce di costo, si aggiunge la scarsa preparazione del middle management sui processi di gestione delle tecnologie e della sicurezza, nonché la superficialità e la scarsa motivazione degli amministratori di sistema e degli addetti alla sicurezza che restano all’oscuro dei più basilari principi. Gli standard di settore sono scarsamente  compresi ed adottati, le certificazioni professionali sono una rarità e la formazione sulla sicurezza fatica enormemente a prendere piede, salvo qualche eccezione dovuta agli adempimenti in tema di privacy, safety e responsabilità amministrativa.

Il problema è essenzialmente di origine culturale: quando si acquista un dispositivo elettronico è raro che il manuale d’uso venga letto con attenzione per acquisire la giusta consapevolezza nell’utilizzo dello strumento e delle sue funzionalità, né si pensa di dedicare un po’ di tempo ad individuare ed approfondire i rischi che derivano dal suo uso.

Secondo il report del Clusit, il numero degli account Twitter italiani ha già raggiunto quota 2 milioni a fine 2011 e il numero degli smartphone è ormai oltre i 20 milioni di dispositivi. A questa grande corsa all’adozione di funzionalità e tecnologie all’avanguardia non corrisponde un’adeguata cultura di sicurezza né la consapevolezza dei rischi che ne derivano. In Italia solo il 2% degli utenti Internet avrebbe la piena consapevolezza dei rischi e sarebbe in possesso delle conoscenze necessarie per proteggersi adeguatamente, mentre ben il 71% ne è privo e continua ad adottare comportamenti imprudenti diventando facile preda per truffe di vario tipo.

In azienda la situazione è analoga

Se ciò avviene a casa, perché non dovrebbe avvenire sul posto di lavoro? In generale c’è poca voglia di approfondire, di studiare, di verificare, di collegare gli eventi e di imparare dalle esperienze pregresse. Gli errori, anche i più madornali, vengono ripetuti in più occasioni e l’attuazione di opportune misure correttive è spesso un miraggio. Gli adempimenti di legge, che dovrebbero servire come driver abilitanti per introdurre importanti concetti di sicurezza in azienda, sono visti come seccature e vengono spesso largamente interpretati in maniera alquanto discutibile ed utilitaristica.

Chi è chiamato ad amministrare sistemi e applicazioni lo fa spesso con sufficienza ed approssimazione, mentre quei pochi professionisti che hanno ottenuto con fatica un certo grado di consapevolezza e cercano in tutti i modi di diffonderla rimangono spesso inascoltati, talvolta addirittura derisi per il troppo catastrofismo. Lo sviluppo sicuro è una chimera, i disegni architetturali sono antiquati, le tecniche di hardening sono una leggenda e si è tuttora convinti che la protezione perimetrale consista solo in firewall L3 e sonde IDS. Gran parte dei dirigenti, infine, coloro che dovrebbero guidare e verificare l’implementazione delle misure di sicurezza, è rimasta ai concetti di sicurezza reattiva in voga vent’anni fa.

Più consapevolezza, focalizzandosi sugli utenti

In tutto questo, altro errore madornale è il mettere al centro solamente gli interessi aziendali e non i diritti della clientela. La condotta irresponsabile di coloro che hanno il compito di proteggere il patrimonio informativo aziendale si ripercuote spesso nei confronti degli utenti che affidano le proprie informazioni ai servizi online e che, a loro volta, sono scarsamente a conoscenza dei rischi connessi, dei propri diritti e dei relativi doveri.

Anche i media non sono esenti dalla mancanza di consapevolezza: viene dato molto più risalto al defacement o al DDoS verso un sito governativo rispetto ad eventi molto più importanti come il furto o la cancellazione di dati personali sensibili o l’arresto di servizi di prima necessità.

Il rapporto del Clusit traccia con chiarezza la giusta strada da seguire: pianificare difese ed investimenti in modo consapevole e trasparente, pesando correttamente tutti i fattori di rischio e ponendo al centro della strategia l’utente del servizio. Chi fornisce servizi online deve considerare il diritto alla privacy degli utenti e il consenso informato sui rischi come un dovere da trattare con la dovuta attenzione. Allo stesso modo, l’utente deve essere consapevole dei diritti di cui gode nell’utilizzo dei servizi e delle annesse responsabilità.

Il Rapporto Clusit 2012 sulla Sicurezza ICT in Italia può essere richiesto sul sito ufficiale del Clusit.

Ettore Guarnaccia

Questo standard settoriale si sta dimostrando sempre più un buon driver per la sicurezza delle aziende coinvolte nei sistemi di pagamento, grazie anche al progressivo aumento della pressione dei circuiti per la sua adozione e relativa certificazione per i soggetti a cui è richiesta. Ma il PCI DSS, da solo, è sufficiente a garantire alle aziende il conseguimento di un sufficiente livello di sicurezza e, soprattutto, a prevenire efficacemente le violazioni? La risposta, in estrema sintesi, è NO.

Conformità e sicurezza non sono la stessa cosa

Esiste un’enorme differenza fra conformità e sicurezza. Le ottiche sono nettamente differenti, così come l’estensione, e spesso le aziende attribuiscono le rispettive responsabilità a strutture organizzative differenti. In breve, mentre l’ottenimento di un adeguato livello di sicurezza richiede un approccio programmatico a 360 gradi su tutti i processi amministrativi, operativi e tecnici di un’azienda, la conformità è orientata alla puntuale soddisfazione dei soli requisiti previsti dalle norme di legge e da regolamentazioni e standard cui l’azienda è soggetta, niente di più. Le validazioni di conformità e le certificazioni, inoltre, avvengono in un preciso istante della vita aziendale e non tengono conto delle successive evoluzioni e modificazioni dell’azienda.

I limiti dello standard PCI

Va premesso che la sicurezza totale non esiste, neanche nei sogni più spinti dei professionisti della sicurezza. Il sistema sicuro, la rete sicura o l’infrastruttura sicura non esistono e chiunque affermi che la sua azienda è completamente sicura è un folle o uno stolto. Generalmente un’azienda può proteggersi contro vulnerabilità e vettori d’attacco conosciuti, ma le tecnologie e la criminalità sono in costante ed esponenziale evoluzione e nuovi esposizioni di sicurezza potrebbero non essere mitigate dai controlli finora previsti.

Lo standard PCI prevede un insieme ridotto di requisiti di sicurezza rispetto all’intero scibile di sicurezza o ad altri standard di settore più esaustivi, perché è focalizzato sulla protezione dei dati dei possessori di carte di pagamento e su un perimetro specifico identificato da sistemi, reti, applicazioni e database coinvolti nei processi delle carte di pagamento. Non sono pertanto contemplate altre tipologie di processo, sebbene i requisiti previsti dal PCI siano comunque applicabili in generale.

Le aziende sono entità complesse ed in costante cambiamento, pertanto i controlli PCI vanno intesi come adeguati per una media azienda qualunque, ma potrebbero essere insufficienti per le esigenze di sicurezza delle aziende più grosse, complesse, distribuite o maggiormente specializzate in uno specifico settore.

Il falso senso di sicurezza

La certificazione PCI DSS è basata unicamente sull’opinione del QSA, la cui capacità di giudizio dipende molto dalla sua preparazione e dall’esperienza, pertanto certificatori inesperti potrebbero non essere pienamente in grado di condurre un esame esaustivo e pertinente. A ciò si aggiunge il rischio di un condizionamento dovuto alle eventuali pressioni dell’azienda esaminata volte a far accettare soluzioni non idonee o non completamente realizzate. Il risultato è che infrastrutture non sufficientemente sicure possono essere comunque certificate come conformi allo standard.

Anche nei casi ideali in cui la certificazione venga rilasciata a ragion veduta, il pericolo maggiore è il falso senso di sicurezza che l’ottenimento della piena conformità può indurre nel management aziendale e che va a sommarsi all’intrinseca incompletezza dello standard PCI.

Gli assessment sono fotografie della postura di sicurezza dell’azienda in un preciso momento, ma abbiamo già detto che le tecnologie, le minacce e gli attacchi sono in costante evoluzione, perciò bisogna tenere sempre presente che ciò che può essere considerato sufficientemente sicuro oggi, potrebbe non esserlo più domani. Ogni qualvolta una nuova vulnerabilità viene scoperta o un nuovo tipo di attacco viene inaugurato, infatti, cambiano inevitabilmente i termini di riferimento della sicurezza.

In aggiunta, il falso senso di sicurezza può indurre l’azienda ad un certo rilassamento che facilmente può produrre errori nel tempo, creando esposizioni e nuove opportunità per un incidente di sicurezza, intaccando la postura di sicurezza aziendale.

Lo standard PCI deve essere opportunamente integrato

Lo standard PCI, pur essendo un buon driver di sicurezza, in particolare per le aziende più digiune di protezione, non è sufficiente a garantire un sufficiente livello di sicurezza, ma può costituire comunque un’ottima base dalla quale partire. Per rendere esaustive le misure di sicurezza è altamente consigliabile integrare i requisiti PCI con altri standard di sicurezza più comprensivi come la famiglia di standard ISO/IEC 27000, gli standard di sicurezza del NIST e il framework COBIT, ma anche con best practice e standard più specifici come quelli relativi alle misure di sviluppo sicuro delle applicazioni, di hardening dei sistemi o di defense-in-depth giusto per citarne alcuni.

Le aziende sono in forte ritardo

Il Payment Card Industry Compliance Report 2011 di Verizon evidenzia che le aziende stanno ancora sperimentando molte difficoltà nel soddisfare i requisiti di conformità allo standard PCI, nonostante la crescente pressione da parte di circuiti, partner e clientela. Soltanto il 21% delle aziende coinvolte nel settore delle carte di pagamento risulta conforme allo standard PCI, con conseguenti rischi di perdita delle informazioni sensibili dei clienti e di frode, contro il 22% del Report 2010.

La situazione tuttora deludente del settore comporta quindi serie preoccupazioni per i possessori di carte di pagamento, dato che la mancata conformità continua ad essere legata principalmente alla violazione dei dati. Le cause sono da ricercarsi soprattutto nella troppa sicurezza delle aziende riguardo alle proprie infrastrutture tecnologiche, piuttosto che nella compiacenza o nella necessità di focalizzare gli sforzi su altre problematiche prioritarie. I requisiti più ostici da rispettare sono quelli inerenti la protezione dei dati dei titolari di carta, il monitoraggio degli accessi, la verifica periodica dei livelli di sicurezza e le politiche di sicurezza.

Concludo riprendendo uno slogan citato nel report: “compliance doesn’t equal security!”, ovvero non è detto che se un’azienda è pienamente conforme e certificata ai requisiti PCI DSS, sia adeguatamente protetta contro tutte le minacce che incombono su essa giorno dopo giorno.

Ettore Guarnaccia

Riferimenti normativi di legge, impianto organizzativo della sicurezza, le figure della sicurezza, gestione della sicurezza, strumenti di supporto, misure di sicurezza, piano di emergenza, primo soccorso, documentazione tecnica salute e sicurezza.

Responsabilità civile e penale del datore di lavoro, dirigenti e delegati funzionali in materia di sicurezza del lavoro. I soggetti della sicurezza, la delega delle funzioni, adempimenti non delegabili del datore di lavoro, estensione della responsabilità degli enti ai delitti in materia di sicurezza e salute sul lavoro (articoli 589 e 590 c.p.), adozione del modello organizzativo nel rispetto del D.Lgs. 231/2001.

Corso erogato dal Servizio di Formazione MPS

Data del corso: 28 marzo 2012

Nel seminario di disegno e sviluppo sicuro delle applicazioni, con esposizione delle linee di guida di sicurezza da tenere in considerazione, e di come migliorare il proprio programma di Application Security per fronteggiare la forte asimmetria che contraddistingue la guerra al cybercrime. Si valutano anche soluzioni Open Source per il mantenimento della propria sicurezza applicativa e si tratta il complesso argomento del Vulnerability Management in ambito Application Security.

Data del seminario: 20 marzo 2012

Link al seminario: https://isc2.brighttalk.com/node/967

Programma del seminario:

• First Things First: AppSec Design and Development Guidelines;
• Asymmetric Warfare and Improving Your Application Security Program;
• Maintaining Application Security While Leveraging the use of Open Source Software;
• Application Security Vulnerability Management.

Esito del quiz CPE: Passato