conneXioni

In OUCH! di aprile 2012 si parla di Metadati

noreply@blogger.com (Stefano) — Thu, 05 Apr 2012 14:20:00 +0000

Ogni giorno i nostri computer condividono foto, documenti, fogli di calcolo, presentazioni, file audio e altri tipi di contenuti digitali con persone di ogni parte del globo. Ciò che sfugge a molti è che questi file possono contenere informazioni private o sensibili sul nostro conto o sulla nostra azienda: informazioni sotto forma di metadati. Per aiutarvi a mantenere la vostra privacy e la vostra sicurezza, in questo numero di OUCH! illustreremo il significato dei metadati, i metodi per individuarli e rimuoverli, nonché alcuni accorgimenti per una maggiore protezione.

Potete trovare il nuovo OUCH! in italiano su http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201204_it.pdf

PER SAPERNE DI PIÙ

Abbonatevi a OUCH!, la newsletter mensile sulla sicurezza informatica, consultate i suoi archivi e approfondite le soluzioni di sicurezza di SANS visitando http://www.securingthehuman.org.

VERSIONE IN ITALIANO

La versione in italiano è curata da Advanction S.A., un’azienda impegnata nella Sicurezza, nel Risk Management Operativo e nella Security Awareness. Seguila su http://www.advanction.com / twitter: @advanction

In OUCH! di marzo si parla di cose da fare e cose da non fare con l'email

noreply@blogger.com (Stefano) — Fri, 09 Mar 2012 08:00:00 +0000

La email è diventata uno dei modi principali utilizzati per comunicare, sia per scopi professionali che personali. Il suo utilizzo può però portare a commettere errori che possono danneggiare voi o l’azienda per cui lavorate: spesso, infatti, nell’utilizzo della email, il peggior nemico siamo proprio noi stessi. In questo numero spiegheremo gli errori più comuni e come evitarli nella vita di tutti i giorni.

Nel numero di Ouch! di marzo 2012, Fred Kerby ci darà preziosi consigli che ci aiuteranno a gestire meglio l'email e a non commettere quegli errori che potrebbero avere conseguenze negative sul nostro lavoro o nel rapporto con gli altri.

Il numero di OUCH! in italiano è disponibile qui: http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201203_it.pdf

Dati sottratti alla Sarasin e dimissioni alla Banca Centrale Svizzera

noreply@blogger.com (Stefano) — Thu, 19 Jan 2012 07:39:00 +0000

Philipp Hildebrand, governatore della Banca Centrale Svizzera (Snb) ha annunciato il 9 gennaio scorso le sue dimissioni, a seguito di uno scandalo valutario causato da un movimento di denaro condotto dalla moglie che ha voluto trarre vantaggio attraverso un'operazione di cambio valuta pochi giorni prima che il tasso minimo di cambio franco svizzero/Euro fosse fissato a 1,20.

Ebbene, l'informazione sull'operazione sarebbe stata sottratta alla Banca Sarasin, istituto finanziario presso il quale Hildebrand ha un conto bancario, da un dipendente (ora ex-) che l'ha poi inviata a due avvocati che l'hanno in seguito divulgata.
Secondo quanto riporta ieri il Blick (nell'articolo del Corriere del Ticino), l'estratto conto bancario della famiglia di Philipp Hildebrand sarebbe stato manipolato: il documento pubblicato dalla «Weltwoche» sarebbe infatti una combinazione di diversi documenti.
L'ipotesi più accreditata è che, quindi, il documento sia il risultato di un "copia & incolla" di documenti di diversa provenienza, alcuni di essi catturati attraverso funzioni di cattura dello schermo.

Stando a quanto dichiarato in precedenza, il tecnico informatico nel frattempo licenziato dall'istituto si era appropriato dei dati attraverso cosiddetti «screenshots», ossia immagini della visualizzazione sullo schermo di un monitor.

Corriere del Ticino, 18 gennaio 2012

La soluzione Screen Capture Manager, sviluppata da Advanction, viene in aiuto in queste situazioni.
I dati aziendali possono essere sottratti, infatti, con varie modalità. Esistono soluzioni in grado di monitorare il flusso di dati in uscita, ma la cattura dello schermo rimane ancora un modo semplice e accessibile a chiunque per impossessarsi di dati confidenziali.
Screen Capture Manager permette di gestire, in modo centralizzato, le funzionalità della cattura schermo (Stampa Schermo e Strumento di cattura - Snipping tool) in modo che possano essere disabilitate sui PC degli utenti.
Qualora le funzioni di cattura schermo vengano abilitate, SCM permette di avere una copia delle schermate catturate.
Una delle caratteristiche salienti della soluzione é di consentire una configurazione per utente e non per sistema: l'amministratore della sicurezza può quindi abilitare l'utente X e disabilitare l'utente Y, anche se lavorano sullo stesso computer.
Trovate maggiori informazioni sulle funzionalità di Screen Capture Manager sul sito www.screencapturemanager.com

Rendere sicura la rete wi-fi di casa, su Ouch! di gennaio 2012

noreply@blogger.com (Stefano) — Fri, 13 Jan 2012 08:30:00 +0000

Il primo numero di Ouch! del 2012 si focalizza sulla sicurezza delle reti wi-fi casalinghe.
Le reti Wi-Fi permettono di connettere a Internet dispositivi wireless, come laptop, smartphone, tablet e console di gioco e, dal momento che sono semplici da configurare, vengono spesso installate anche nelle abitazioni private.
Molte delle reti casalinghe sono però configurate in modo non sicuro, permettendo a estranei o a persone non autorizzate di abusare anonimamente del collegamento a Internet.
In questo numero troverete alcuni semplici passi che potete seguire per rendere sicura e protetta la vostra rete Wi-Fi di casa.

Questo numero è stato realizzato con la collaborazione di Raul Siles, fondatore e Senior Security Analyst di Taddong
(www.taddong.com), nonchè autore e istruttore di corsi SANS.
La versione in italiano è curata da Advanction S.A., un’azienda impegnata nella Sicurezza, nel Risk Management Operativo e nella Security Awareness.
Seguila su www.advanction.com e su twitter.com/advanction

Phishing e frodi nella email sono il tema di OUCH! di dicembre 2011

noreply@blogger.com (Stefano) — Mon, 19 Dec 2011 08:00:00 +0000

L’Email è diventato uno dei modi principali che utilizziamo per comunicare. Non la usiamo solo quotidianamente per lavoro, ma anche per rimanere in contatto con parenti e amici. La posta elettronica è anche il modo con cui le aziende forniscono prodotti e servizi, come la conferma di un acquisto online o le comunicazioni da parte della nostra banca. Dal momento che così tante persone nel mondo dipendono da essa, l’email è diventato purtroppo anche uno dei metodi principali utilizzato dai criminali informatici.

Nel numero di dicembre di OUCH! illustreremo questi tipi di minacce e le azioni che potete intraprendere per proteggervi.

OUCH! è disponibile all'indirizzo sul sito del programma Securing the Human, del SANS Institute.

PER SAPERNE DI PIÙ

Abbonatevi a OUCH!, la newsletter mensile sulla sicurezza informatica, consultate i suoi archivi e approfondite le soluzioni di sicurezza di SANS visitando http://www.securingthehuman.org.

VERSIONE IN ITALIANO

Sicurezza e privacy nei browser, sono il tema di OUCH! di novembre 2011

noreply@blogger.com (Stefano) — Mon, 14 Nov 2011 07:19:00 +0000

Il browser, che si tratti di Internet Explorer, Firefox, Chrome o Safari, costituisce uno degli strumenti primari per utilizzare Internet: i criminali informatici ne sono consapevoli e per questo motivo costituisce uno dei loro obiettivi principali. Il browser raccoglie una grande quantità di informazioni personali senza che voi ve ne rendiate conto.
In questa newsletter, grazie alla collaborazione di Mike Poor, senior instructor del SANS Institute, illustreremo i passi da seguire per proteggere il vostro computer e la vostra privacy.

Il numero di OUCH! di novembre 2011 é disponibile in PDF sul sito del programma Securing the Human, del SANS Institute.

OUCH! è la newsletter mensile sulla sicurezza informatica prodotta dal SANS Institute e disponibile in 11 lingue, tra cui l'italiano.
L'adattamento in italiano di OUCH! é curato dallo staff di Advanction.

Gestione centralizzata di Stampa Schermo e Strumento di cattura con Screen Capture Manager

noreply@blogger.com (Stefano) — Tue, 08 Nov 2011 11:36:00 +0000

Informazioni confidenziali, proprietà intellettuale, dati dei clienti, dati sanitari: queste sono le tipologie di informazioni aziendali più soggette a sottrazione di dati.
Anche attraverso una semplice funzione come il tasto Stampa schermo (Print Screen) o lo Strumento di cattura (Snipping Tool) diventa possibile catturare informazioni sensibili da esportare fuori dall'azienda.

La nuova soluzione di Advanction per mitigare questa minaccia è Screen Capture Manager (SCM), la soluzione di endpoint security che vi permette di gestire, da una console centrale, il comportamento del tasto "Stampa Schermo" e dello "Strumento di cattura" su ogni PC della rete aziendale.

Questa soluzione è il giusto complemento di tutte le soluzioni di sicurezza esistenti dedicate alla prevenzione e all'individuazione delle fughe di informazioni sensibili, personali e confidenziali.

Come funziona

Una volta installato sulla rete aziendale, Screen Capture Manager permette di:

configurare le funzioni del tasto “Stampa schermo” e del programma “Strumento di cattura” in modo che possano essere:

abilitati;
disabilitati;
abilitati con la funzione di shadowing, in modo che ogni immagine catturata da un utente monitorato venga inviata all’application server e conservata quindi in una cartella protetta.

gestire la configurazione degli utenti da una console
centrale;
connettersi ad Active Directory per recuperare la lista degli utenti e dei computer;
installare remotamente gli agenti sui PC della rete;
disabilitare ogni combinazione di chiavi che comprenda il tasto “Stampa schermo” associato ai tasti Alt, Ctrl, Shift, Windows.

La configurazione delle funzionalità avviene per singolo utente. Non c'è necessità di far ripartire il sistema dopo aver installato l'agente.

La funzione di shadowing

Lo shadowing è una funzionalità che consente al responsabile della sicurezza di tener traccia di ogni immagine catturata dall’utente sulla sua postazione di lavoro.
Le immagini catturate vengono salvate in una cartella centrale, suddivise per utente.

Bassissimo impatto sulle attività di utenti e amministratori

Screen Capture Manager è stato progettato per avere un bassissimo impatto sull'attività di utenti e amministratori di sistema:

la possibilità di catturare le schermate può essere modificata in tempo reale, senza la necessità di far ripartire il computer dell'utente o di uscire e rientrare dalla sessione;
nessuna necessità di far ripartire il PC client dopo l'installazione dell'agente;
gli agenti remoti possono essere installati dalla console di gestione, direttamente sul PC client, utilizzando Group Policy o altri strumenti di deployment.

Reportistica e amministrazione

Ogni operazione di configurazione e deployment degli agenti di SCM viene tracciata all’interno di un audit log, visualizzabile in un report.
È infine possibile configurare ulteriori utenti amministrativi, per delegare l’uso di SCM ad altri componentidel team di audit.

In questo video vi spieghiamo come funziona e che vantaggi offre Screen Capture Manager.

Visitate il sito www.screencapturemanager.com, guardate il video e scaricate le brochure, in italiano e in inglese.

Gli aggiornamenti software sono il tema di OUCH! di agosto

noreply@blogger.com (Stefano) — Fri, 19 Aug 2011 06:39:00 +0000

Il periodo di vacanza non ferma di certo i criminali informatici e quindi il team di OUCH!, di cui anche Advanction fa parte, lavora costantemente per aiutare le persone a capire come proteggersi al meglio dagli attacchi informatici ai propri computer.
Questo mese cercheremo di capire perché è essenziale aggiornare il sistema operativo, le applicazioni e i
componenti aggiuntivi del browser al fine di conservare la privacy e migliorare la sicurezza. Forniremo inoltre degli strumenti e delle tecniche per aiutarvi a mantenere il software sempre aggiornato e sicuro.
Ogni giorno, purtroppo, vengono scoperte nuove vulnerabilità nei software, ovvero lacune o debolezze
applicative che i criminali informatici possono sfruttare a loro vantaggio: i produttori di software, come Microsoft e Apple, pubblicano regolarmente aggiornamenti (o patch) per correggerle. L’aggiornamento è quindi un passo fondamentale per la protezione dei vostri sistemi.

Trovate l'ultima edizione di OUCH! all'URL presso il sito del progetto Securing the Human di SANS:
http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201108_it.pdf

OUCH! è inoltre disponibile in varie altre lingue: http://www.securingthehuman.org/resources/newsletters/ouch

Proteggere le attività online dei nostri figli, nel numero di giugno di OUCH!

noreply@blogger.com (Stefano) — Mon, 20 Jun 2011 15:33:00 +0000

Il numero di giugno 2011 di OUCH!, la newsletter mensile di suggerimenti sulla sicurezza informatica, parlerà di come proteggere le attività online dei nostri figli.
Nel mondo di oggi, bambini e ragazzi devono essere messi in grado di comprendere la tecnologia non solo per trarne vantaggio nel campo dell’educazione e della crescita, ma anche, in molti casi, per sviluppare e mantenere una vita sociale attiva. Purtroppo, a queste interessanti possibilità si accompagnano anche dei rischi che spesso non vengono percepiti o verso cui i nostri figli si trovano impreparati. In quanto genitori, il nostro compito è di garantire che i bambini comprendano che i rischi esistono, ma che vi sono anche modalità per proteggersi adeguatamente.
In questa newsletter spiegheremo le tre minacce principali e i metodi con cui aiutare i nostri piccoli a fruire dei servizi Internet in modo protetto.
Trovate l'ultimo numero di OUCH! a questo indirizzo:
http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201106_it.pdf

8 giugno 2011: il giorno dell'IPv6

noreply@blogger.com (Stefano) — Tue, 07 Jun 2011 20:10:00 +0000

L'8 giugno 2011 è la data fissata per il test della Internet mondiale al passaggio dallo "storico" protocollo IPv4 al più moderno IPv6.
http://punto-informatico.it/3182404/PI/News/ipv6-giorno-della-consapevolezza.aspx

La sicurezza delle password è il tema del numero di maggio di OUCH!

noreply@blogger.com (Stefano) — Sat, 21 May 2011 08:08:00 +0000

Nel numero di maggio di OUCH!, la newsletter mensile di suggerimenti sulla sicurezza informatica, ci focalizziamo sulla creazione e il mantenimento di password forti.
Grazie all'articolo di Eric Cole mostreremo come creare password complesse semplici da ricordare per poi passare ai passi che ognuno dovrebbe seguire per proteggere al meglio le proprie password.
La complessità delle password può far poco nel caso cadiate vittima di phishing, se condividete le password con qualcun'altro o se il vostro computer è stato infettato da malware in grado di catturare ciò che digitate.
Trovate l'ultimo numero di OUCH! a questo indirizzo:
http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201105_it.pdf
Buona lettura!

Sicurezza online anche in viaggio, nel numero di aprile 2011 di OUCH!

noreply@blogger.com (Stefano) — Wed, 13 Apr 2011 12:17:00 +0000

Il numero di aprile 2011 di OUCH!, la newsletter sulla Security Awareness di SANS disponibile ora anche in italiano, verte sul tema della sicurezza dei servizi in rete al di fuori dei nostri consueti ambiti di lavoro o di abitazione.
Quando ci troviamo in viaggio o in vacanza, accedere a Internet può diventare una vera sfida:
i collegamenti possono, non solo essere più lenti, ma anche con molti più rischi, specialmente quando ci colleghiamo a reti o computer pubblici. La chiave per utilizzare Internet in modo sicuro anche durante i viaggi sta nel comprendere questi rischi ulteriori, adottare una maggior cautela per non farsi cogliere impreparati.

Il nuovo numero è disponibile sul sito del SANS, dove potrete trovare anche l'archivio dei numeri precedenti.
Nel blog "Privacy e Sicurezza" troverete anche un post con alcuni link di corredo ad articoli in italiano.

Ogni numero di OUCH! viene redatto dal gruppo del SANS Institute dedicato al programma Securing the Human, un progetto che ha l'obiettivo di fornire soluzioni alle necessità di ogni azienda di migliorare il livello di sicurezza di dipendenti, consulenti, staff IT e management.
Tradotto in italiano dallo staff di Advanction, OUCH! è distribuita con licenza Creative Commons BY‐NC‐ND 3.0: vi invitiamo quindi a diffonderla all'interno della vostra azienda e a condividerla con altri. Se desiderate distribuire OUCH! a tutti i vostri utenti, potete sottoscriverla attraverso un indirizzo singolo corrispondente a una lista di distribuzione interna.
Il SANS Institute
SANS è l'organizzazione più importante e riconosciuta nell'ambito della formazione e nella certificazione nel campo della sicurezza delle informazioni. Inoltre, sviluppa, mantiene e rende disponibile la più grande collezione di documenti inerenti i vari aspetti della sicurezza.
SANS gestisce inoltre l'Internet Storm Center, un sistema di early warning sulle minacce presenti sulla rete.
SANS (acronimo per SysAdmin, Audit, Network, Security) è stato fondato nel 1989come organizzazione cooperativa per la ricerca e l'educazione. I suoi programmi hanno visto coinvolti più di 350.000 professionisti della sicurezza, auditor, amministratori di sistema e di rete, Responsabili della sicurezza e CIO, che hanno voluto condividere le proprie esperienze e trovare congiuntamente delle soluzioni alle sfide che si sono trovati ad affrontare. Il cuore di SANS è costituito da molti professionisti di agenzie governative, aziende e università in tutto il mondo che investono centinaia di ore all'anno nella ricerca e nella formazione per aiutare il mondo dell'Information Security.

OUCH! è tradotto in italiano dallo staff di Advanction.

RSA: sicurezza violata. SecurID non è più così "secure"

noreply@blogger.com (Stefano) — Fri, 18 Mar 2011 12:41:00 +0000

RSA, azienda leader nella produzione di soluzioni di sicurezza e crittografia, è caduta vittima di un attacco in cui sono stati sottratti dati dai suoi server.
Art Coviello, CEO dell'azienda americana, ha pubblicato un comunicato stampa in cui si afferma che parte dei dati sottratti riguardava la tecnologia dei prodotti SecurID, la cui sicurezza, sempre secondo il comunicato, è ora messa a rischio
La famiglia SecurID è una delle soluzioni più consolidate per l'autenticazione a due fattori: utilizzata da più di 40 milioni di utenti in tutto il mondo, viene spesso associata al token hardware che genera una one-time password (OTP) ogni 60 secondi.
Sebbene RSA affermi che i dati sottratti possono ridurre l'efficacia dell'implementazione dell'attuale autenticazione a due fattori, non è stata specificata la natura delle informazioni
Diventa facile quindi speculare che gli attaccanti si sono impadroniti del codice sorgente o dei seed utilizzati nel processo crittografico (le chiavi utilizzate per generare la one-time-password).
RSA ha allegato al report una serie di raccomandazioni, peraltro piuttosto ovvie per chi si occupa di sicurezza...

Overall Recommendations:
RSA strongly urges customers to follow both these overall recommendations and the
• We recommend customers increase their focus on security for social media applications and recommendations available in the best practices guides linked to this
note.the use of those applications and websites by anyone
with access to their critical networks.
• We recommend customers enforce strong password and pin policies.
• We recommend customers follow the rule of least privilege when assigning roles and responsibilities to security administrators

E' ancora presto per disquisire di quali dati siano venuti in possesso gli autori della violazione, certo é che se gli hacker si fossero impadroniti delle chiavi crittografiche (seed) installate sui token SecurID , con un po' di tempo e di potenza di calcolo, la sicurezza dei token potrebbe venire davvero compromessa.
Questa notizia fa però scalpore anche per altri elementi distintivi. Eccoli:

RSA è un'azienda leader nelle soluzioni di sicurezza;
RSA produce sistemi di Data Leakage Prevention classificati come leader dalle principali società di ricerca;
SecurID é forse il più diffuso sistema di autenticazione a due fattori.

C'è qualcosa che non vi torna? Maligni...
Io, in questi casi, mi chiedo se il vettore di attacco sia completamente esterno o se non ci sia qualcuno di interno che ci ha mezzo lo zampino, volontariamente o no.
Indipendentemente da come sia avvenuto l'attacco, credo che sia indispensabile, a fronte di soluzioni che si supporrebbero solide (il doppio condizionale è d'obbligo), dotare l'azienda di robuste policy e procedure di sicurezza, ad esempio, per classificare le informazioni e usare il principio del privilegio minimo per l'accesso, e quindi anche del need-to-know (accedere soltanto a ciò a cui si deve accedere per svolgere il proprio lavoro).
Se poi, invece, i processi sono inossidabili, ma hanno sbagliato i software... "that's a different kettle of fish."

Approfondimenti: CIO / The Register

Zeus ancora all'attacco dell'autenticazione a due fattori via SMS

noreply@blogger.com (Stefano) — Tue, 22 Feb 2011 09:52:00 +0000

Questo è già il secondo esempio di come il trojan per e-banking Zeus si sia evoluto per impadronirsi anche dei dati della seconda autenticazione.
Una sua variante prende ora di mira gli utenti di telefoni cellulari che fanno utilizzo del secondo fattore autenticativo al momento del login all'e-banking e il primo caso si é verificato alla ING Bank Slaski in Polonia.
L'attacco, di tipo man-in-the-mobile, è simile a quello apparso lo scorso settembre in Spagna, affermano i ricercatori di F-Secure. Entrambi gli attacchi cercano di impadronirsi del mTAN (mobile transaction authentication numbers) ovvero il secondo fattore di autenticazione che molti servizi online hanno implementato: la one-time-password, che viene inviata via SMS, è utilizzata dall'utente per confermare l'accesso al servizio.
Il nuovo malware inietta un campo nelle pagine web che chiedono all'utente il numero di telefono e il tipo di cellulare utilizzato: il criminale invia poi un SMS all'utente contenente un link a un malware customizzato per il sistema operativo del suo telefono (al momento pare sia solo disponibile per Symbian e Blackberry e non ancora per iPhone o Android). Il malware invierà poi automaticamente tutti gli mTAN ricevuti dal cellulare all'operatore Zeus.

Da: The Register

La password più comune? 123456. CVD

noreply@blogger.com (Stefano) — Thu, 16 Dec 2010 13:32:00 +0000

Come ben sapranno i professionisti della sicurezza lettori di questo blog, nei giorni scorsi si è verificata una fuga di informazioni dal gruppo Gawker media, che pubblica tra gli altri i blog Gizmodo, IO9 e Lifehacker.
Le informazioni riguardavano i dati di circa 1.300.000 utenti, dati tra cui erano presenti anche le password, codificare con l'algoritmo DES (mah!, n.d.r.)
Ebbene, gli esperti di Duo Security si sono presi la briga di decodificare 400.000 di queste password e hanno trovato i seguenti risultati:

123456 è la password più diffusa, essendo presente più di 2500 volte;
password è la seconda in classifica, essendo la scelta di 2200 utenti;
12345678 buona terza, con 1200 utenti;
qwerty, abc123, 12345, monkey, 111111, consumer, letmein, 1234 seguono a breve distanza.

Sebbene la protezione di un account Gawker possa non essere considerata strategica da molti dei suoi utenti, il vero pericolo risiede nella possibilità che la stessa password utilizzata per entrare in Lifehacker o Gizmodo possa essere utilizzata anche per accedere servizi più sensibili per l'utente, come la email, l'e-banking e altro ancora.
Con un database come quello divulgato, contenente anche gli indirizzi e-mail, diventa semplice entrare in possesso dell'identità di un utente:

il db contiene password e indirizzo e-mail;
ottenuta una password di accesso a Gawker, la si prova per l'accesso alla e-mail;
nel caso fortuito che le due password coincidano, acceduta l'e-mail, si leggono i messaggi per identificare eventuali servizi sensibili a cui l'utente è iscritto, tipo l'e-banking;
si prova ad accedere all'e-banking con le stesse credenziali e, nel caso che la password sia diversa, si segue la procedura di cambio password, che normalmente prevede l'invio di un messaggio alla e-mail.

Sebbene il soddisfacimento di questi passaggi non sia esaustivo per ottenere le informazioni di accesso e uso di un servizio di e-banking, ci consente di arrivare molto vicino: un hacker con la volontà di malversare avrebbe già una buona base di partenza.
Va da sé che, quindi, sebbene le tecnologie moderne di sicurezza ci permettano di proteggerci con mezzi ulteriori, una buona password è e rimane un punto fondamentale per mitigare i rischi di accesso ai nostri servizi da partedi ospiti indesiderati.

Per qualche ulteriore suggerimento su come creare buone password, leggete il nostro nuovo blog Sicurezza e Privacy (ancora in beta).
Se, inoltre, volete dilettarvi a scoprire quanto è sicura la vostra password, provate lo strumento disponibile su http://howsecureismypassword.net/ che, attraverso un calcolo effettuato da un javascript in locale al vostro browser, vi dirà quanto tempo ci vuole per cracckare la vostra password con un programma su un comune PC.

Perchè Wikileaks fa bene alla sicurezza

noreply@blogger.com (Stefano) — Tue, 30 Nov 2010 09:00:00 +0000

Al di là delle valutazioni di merito sull'operato dell'organizzazione guidata da Assange, su quanto siano giuste o no le sue azioni di divulgazione, e al di là delle considerazioni sui contenuti dei dispacci pubblicati, che peraltro sembrano in molti casi dimostrare con chiarezza dei concetti che implicitamente erano già dominio o del pubblico o dei governi, dal punto di vista di un operatore dell'Information Security, Wikileaks non può che condurre a risvolti positivi.
Quale migliore opera di Security Awareness della divulgazione di documenti secretati su ogni giornale, televisione e sito di news? Quale migliore dimostrazione dell'insicurezza di quella di un mito dell'opinione pubblica come il Dipartimento della Difesa degli Stati Uniti d'America, ormai protagonista delle discussioni nei social network, nei forum e nel bar sotto casa?

C'è quindi da chiedersi come mai è stato possibile aggregare ben 1.6 GB di documenti dal database di SIPRNet, la rete del Dipartimento della Difesa statunitense.
Quello che si può supporre è che i controlli siano un poco laschi, per varie ragioni, tra cui quella di permettere un accesso ai documenti più accessibile (sono supposizioni, naturalmente).
Vediamo allora qualche numero:

251.297: è il numero totale dei documenti in corso di divulgazione da Wikileaks;
133.887 i documenti non classificati o per solo uso "ufficiale";
101.748 sono i documenti confidenziali;
15.662 sono i documenti classificati come "segreti".

Anche se il numero di documenti segreti è 1/16 del totale, 15.662 documenti segreti costituiscono una fuga di informazioni impressionante.

E' lecito a questo punto porsi alcune domande:

davvero i documenti segreti erano gestiti in un database insiema a tutti gli altri?
qual è il livello di protezione richiesto per i vari livelli di questi documenti?
esiste un controllo dell'accesso in base al ruolo (RBAC - role base access control)?
perchè i documenti non sono stati crittografati?

Alla fine dei conti, è fin troppo facile accusare Wikileaks di essere responsabile di sconvolgimenti diplomatici (peraltro, ho molte riserve sulla possibilità che questo si realizzi).
Anche in questo caso si tratta di un concorso di colpe: se il controllo dell'accesso ai documenti o la loro classificazione fosse stata più efficace, forse questa fuga di informazioni non avrebbe avuto luogo. Esistono procedure e strumenti per mettere in opera una classificazione delle informazioni veramente efficace nonché un controllo accessi efficiente.
Per illustrarvi come potrebbe aver avuto luogo la fuga di informazioni, vi faccio un paragone: un'ipotetica agenzia di una banca ha un sistema di sicurezza tale per cui, quando dei rapinatori riescono ad accedere all'interno degli uffici, vengono bloccate tutte le porte di accesso. Ad eccezione di una, perché è sfuggita in sede di analisi, o perché il cavo elettrico è staccato, o perché, ancora, erano finiti i soldi in fase di realizzazione, e l'ufficio dei Servizi Generali ha detto:"Ma sì, è una porta sola, e pure nascosta. Figurati se la useranno mai." I rapinatori, che hanno un basista all'interno della banca, lo sapevano e scappano da lì.
Le frodi e le fughe di informazioni avvengono anche (se non soprattutto) in questo modo: per disattenzione o incuria di chi deve controllare.
E quindi, dove sta la colpa?

Il DOS di Wikileaks

noreply@blogger.com (Stefano) — Tue, 30 Nov 2010 07:27:00 +0000

Dario miha fatto notare che la momentanea indisponibilità di Wikileaks è stata causata dagli attacchi dell'hacktivist th3j35t3r.
Di questo hacker se ne sente parlare da qualche mese, da quando cioé è salito alla ribalta delle cronache per aver portato al takedown diversi siti islamici sospettati di arruolare nuove leve alla causa fondamentalista.
La particolarità dei suoi attacchi sta nelle tecniche che utilizza (secondo me, nel caso di Wikileaks, non usa un Distributed DOS, ma solo un DOS ben realizzato) e che sono illustrate in questo video.
Di nuove tecniche miste di attacco si sta parlando recentemente nel mondo della sicurezza: forse il nostro hacktivista sta usando tecniche di evasione, scoperte recentemente da StoneSoft e contro cui ancora poco si riesce a fare.

Nota: Wikileaks costituisce un'interessante inversione di tendenza nella divulgazione dei fatti e th3j35t3r vuol costituire un'inversione di tendenza nelle attività di antiterrorismo (e qui forse abuso di questo termine, ma è giusto per amor dell'iperbole).
L'antiterrorismo, per natura delle attività che va a contrastare, è un insieme di azioni che normalmente devono essere nascoste, in copertura.
Ma in questo caso, contro un'entità come wikileaks che agisce - in parte - allo scoperto, quale arma migliore dell'agire allo scoperto anche nell'attaccarla?
E' un'interessante evoluzione quella a cui stiamo assistendo: non importa che si tratti di un hacker veramente bravo, oppure di un'unità della CIA composta da hacker veramente bravi, che si sono costruiti una finta identità digitale molto realistica.
Quello che conta è che è si possono condurre azioni che un tempo era impensabile solo concepire, agendo allo scoperto, ma utilizzando reti di anonimizzatori (come TOR) per preservare la propria identità.
Quale sarà il prossimo step? Un trojan per la rete TOR scritto da hacker di una nazione teocratica che consentirà di ricostruire il percorso completo di collegamento e di risalire al responsabile di un attacco DOS? Pubblicando in tempo reale la mappa degli attacchi con le lucine che si accendono in corrispondenza dei vari router in giro per il mondo? Oppure un virus progettato da una nazione democratica fatto apposta per colpire determinati sistemi ospitati da un determinato provider in una determinata nazione scandinava?

VERIS: un database anonimo di incidenti di sicurezza

noreply@blogger.com (Stefano) — Fri, 12 Nov 2010 10:25:00 +0000

Ogni giorno molte aziende cadono vittima di attacchi alla sicurezza, di violazioni di database, di social engineering, di attacchi da hacker, ma quasi nessuno di questi viene divulgato. Le ragioni sono ovvie e risiedono nel timore delle aziende o dei propri dipendenti di intaccare la propria reputazione, di essere sottoposti all'umiliazione pubblica e di un calo di fiducia nei loro confronti.
A differenza, quindi, delle minacce esterne, di cui vi è fortunatamente un'ampia e sempre in crescita conoscenza perchè tutto il mondo ne parla, delle violazioni interne si parla molto poco e non esiste molta conoscenza per costituire un po' di accademia (a eccezione dello sforzo del progetto Insider Threat della Carnegie Mellon University).
Finalmente Verizon Business ha lanciato oggi pubblicamente un servizio dedicato al reporting degli incidenti di sicurezza per costruire un database che possa costituire una fonte di informazioni per le analisi dei problemi afferenti.
Nel sito Veris, i professionisti della sicurezza possono fornire informazioni dettagliate sugli incidenti e avere report dettagliati per confrontare la gestione dell'incidente con quelle di situazioni similari.

Attraverso il riempimento di un questionario anonimo con i dettagli dell'incidente e di alcuni dettagli dell'azienda, per determinarne il contesto merceologico, la dimensione, il numero di addetti alla sicurezza, ecc, sarà possibile descrivere le modalità di gestione dell'incidente come ad esempio il tempo impiegato per individuarlo, per contenerlo, come poteva essere evitato e quanti tempo, risorse e denaro sono stati spesi a causa della violazione.
Al termine dell'inserimento dei dati si avrà a disposizione un report che descrive l'incidente e lo confronta con incidenti similari già presenti nel database.

Il database attualmente contiene già le informazioni sugli incidenti collezionate durante gli ultimi anni sia da Verizon sia dallo U.S. Secret Servicee costituisce un valido supporto sia per raccogliere e diffondere la conoscenza, sia come strumento di tracciamento degli incidenti nella propria azienda utilizzando una metodologia strutturata allo scopo.

Apps con falle di sicurezza per iPad, iPhone e Android

noreply@blogger.com (Stefano) — Mon, 08 Nov 2010 07:33:00 +0000

Il Wall Street Journal riporta un'analisi della società viaForensics che ha analizzato le apps per accedere ai servizi di E-banking di alcune tra le maggiori banche americane, individuando alcune falle di sicurezza presenti nelle applicazioni di E-banking che potrebbero permettere a un malware di ottenere dati sensibili come i dati di autenticazione o informazioni finanziarie.

Il problema viene creato dalla modalità in cui le apps memorizzano le informazioni dell'utente nella memoria del telefono: nell'applicazione di Wells Fargo, ad esempio, l'utente e la password vengono memorizzate sul telefono semplicemente come testo. L'applicazione salva inoltre altre informazioni sensibili riguardanti i dettagli della situazione bancaria del cliente.

Anche altre applicazioni salvano informazioni di dettaglio dei clienti in formato testo, mentre altre conservano in una cache le pagine di E-banking che ha visitato il cliente, incluse quelle con le informazioni sullo stato del suo conto corrente.

Il trend di sviluppo delle apps per accedere ai servizi di E-banking dai telefoni cellulari è decisamente in aumento e questa analisi ha mostrato come ci siano ancora delle evidenti falle nel processo di sviluppo di questi programmi, che spesso devono essere sviluppati e lanciati sul mercato al più presto possibile per attirare l'interesse di clienti vecchi o nuovi, senza però considerarne la sicurezza, fattore questo che potrebbe avere l'effetto contrario da quello desiderato dai dipartimenti marketing delle banche.

Privacy: come eliminare il tracciamento della pubblicità comportamentale

noreply@blogger.com (Stefano) — Fri, 29 Oct 2010 10:08:00 +0000

Ho appreso stamane da New Blog Times che la Network Advertising Initiative, l'associazione di 60 delle principali reti pubblicitarie che abitualmente tracciano le abitudini Internet degli internauti,ha messo a disposizione degli internauti la possibilità di eseguire un opt out, ovvero di uscita, dal tracciamento dai vari circuiti che propongono pubblicità sulla base delle abitudini di navigazione.
Incuriosito, sono andato a provarlo qui.

Come avviene l'opt-out
Attraverso il rilascio di un cookie contenente un codice da ognuno dei siti dei circuiti di tracciamento.

Come verificare che venga rilasciato il cookie
Ho dapprima cancellato tutti i cookie del mio browser, ho poi richiamato la pagina di cancellazione rimuovendomi da ogni circuito e ho poi verificato il contenuto dei cookie di Firefox.
Effettivamente appaiono dei nuovi cookie i cui codici fanno sembrare che l'optout sia stato richiesto.
Verificherò nei prossimi giorni se tali cookie vengono mantenuti e se non ne vengono aggiunti altri.

Il vantaggio dell'opt-out sulla cancellazione completa dei cookie
La cancellazione completa dei cookie rimuove ogni possibilità di collegamento con la storia pregressa dal momento della rimozione in poi, ma, una volta iniziato a navigare normalmente, quando si capita su un sito che aderisce a un circuito di behavioral advertising verrà comunque rilasciato un cookie per il tracciamento che vi seguirà nella navigazione.
Inserendo invece un cookie di opt-out, anche qualora visitaste un sito che potrebbe tracciarvi, non vi verrà rilasciato nessun nuovo cookie, e nessun cookie verrà aggiornato.

Se decidete di aderire all'opt-out globale, come misura precauzionale, consiglio comunque di ritornare spesso sulla pagina di verifica dell'opt-out per deselezionare i circuiti di cui non vi aggrada far parte (io li ho rimossi totalmente).

Le fotocopiartici Canon non stampano documenti sensibili!

noreply@blogger.com (Stefano) — Fri, 15 Oct 2010 07:42:00 +0000

Non si tratta di uno slogan pubblicitario, ma di una tecnologia recentemente presentata dall'azienda giapponese produttrice di tecnologie elettroniche.

La nuova versione di Uniflow, il sistema di gestione di documenti utilizzato da stampanti, scanner e fotocopiatrici della Canon, è in grado di impedire la stampa o la copia di documenti contenenti specifiche parole chiave.

Uniflow è un sistema di gestione dei documenti che permette la gestione centralizzata di stampanti, scanner, fotocopiatrici e device multifunzione, in modo da tener traccia di quanti documenti sono stati stampati e da chi, facilitando così i processi di fatturazione sia per clienti esterni, sia per i dipartimenti di un'azienda.
La nuova versione di UNiflow consente di prevenire la stampa di un documento se esso contiene parole chiave riferibili a informazioni confidenziali che non devono essere riprodotte (nomi di clienti, numeri di carte di credito o di conto corrente, codici fiscali, ecc).
Il sistema è in grado di inviare a un responsabile del controllo una copia PDF del documento in questione ed eventualmente può informare l'utente che il suo tentativo è stato bloccato.
Uniflow utilizza la tecnologia OCR (optical character recognition) dell'azienda belga Iris.
Questo tipo di strumento va a braccetto con strumenti di DLP (Data Leakage Prevention) che compiono funzioni similari e che sono già impiegati per impedire che informazioni confidenziali escano dall'azienda attraverso email, internet o dispositivi rimovibili.

(Da Andrea Rui su Linkedin in Italian Information Security Professional)

Meglio una colonscopia o la computer security? Ovvero, perchè le persone non si curano della sicurezza

noreply@blogger.com (Stefano) — Thu, 07 Oct 2010 06:52:00 +0000

Devo ammettere che trovo sempre meno interessanti le analisi, i sondaggi, le survey che ultimamente vengono condotte nell'ambito della sicurezza.
L'ultima di cui mi è giunta notizia, però, è veramente bizzarra: più di un americano su 10 preferisce farsi fare una colonscopia che impiegare il proprio tempo a occuparsi della sicurezza del proprio PC.
Ma come?!?! O, per dirla all'americana, WTF ?!?!?
E' quanto emerge da un sondaggio denominato Keep Internet Security Simple (KISS) e condotto da PC Tools, l'azienda americana specializzata in sicurezza.
I risultati dell'analisi dicono che c'è un forte desiderio da parte degli americani (io aggiungo: e non solo) di essere costantemente collegati, in qualsiasi momento della giornata, durante qualsiasi situazione (o quasi).

Vi risparmierò le interessanti indicazioni emerse a riguardo di quando e come gli americani vogliono essere connessi con PC, PDA o sSmartPhone, per focalizzarmi invece su cosa essi desiderano a proposito della loro privacy e sicurezza:

il 79% vuole mantenere file e documenti sul computer fuori dalle grinfie degli altri, ivi compresi i figli, i genitori, i consorti, i colleghi e gli amici;

il 45% degli americani si sentirebbe imbarazzato se amici o famiglia vedessero "certi" file contenuti in PC, PDA o SmartPhone;
nonostante il clamore intorno a sicurezza, virus, worm, cybercrime, il 32% degli americani potrebbero scaricare del malware visitando un sito sospetto.

E qui arriva la parte più interessante: sebbene il 93% degli intervistati possegga un computer, il 76% preferirebbe fare i lavori di casa o altre attività meno piacevoli piuttosto che provvedere a ottimizzare il proprio sistema, sia in termini di sicurezza, sia in termini di stabilità. Tra le attività meno piacevoli vengono annoverate: fare il bucato (54%), cambiare il pannolino a un neonato (43%), andare dal dentista (34%), aspettare in cosa alla motorizzazione civile(20%), rimanere imbottigliato nel traffico (19%), farsi fare una colonscopia (12%).
E questo la dice lunga su come viene percepito dalla maggioranza delle persone l'approccio con i tecniciscmi dell'informatica: difficile, lungo, noioso, pedante, fastidioso, e chi più ne ha, più ne metta.
E nelle aziende la percezione non cambia: spesso mi sono trovato in difficoltà a trovare la cooperazione dei dipendenti sui temi della sicurezza. Non si capisce cosa non funzioni in queste persone. Sebbene la sicurezza sia fondamentale, non agiscono come dovrebbero.
Quello che però scordiamo è uno degli aspetti fondamentali della psiche umana: le persone non reagiscono alla realtà. Reagiscono alla loro percezione della realtà.
Si tratta di un punto critico da considerare quando cerchiamo di affiancare le necessità di sicurezza al comportamento umano.
La sicurezza è importante, ma fino a che le persone in un'azienda non lo comprendono, fino a che non introiettano questo concetto, non agiranno di conseguenza.
Può darsi che i vostri requisiti e le vostre procedure siano state sviluppate con estrema cura, siano adeguate al contesto e necessarie all'azienda, ma fino a che il personale non comprenderà che queste procedure sono necessarie, non le seguirà. Anche di fronte alla presenza di una reale minaccia, se le persone non la percepiscono come tale, non agiranno di conseguenza.
E' necessario quindi un impegno preciso mirato a far cambiare la mentalità della gente: un programma di formazione sulla sicurezza che conduca a una security awareness diffusa deve quindi tener conto di elementi motivanti e di componenti che facciano capire il reale vantaggio, anche personale (perché è il fattore più motivante in assoluto), che si può avere da una maggior sensibilità verso questi temi.

Google implementa l'autenticazione a due fattori sulle Google Apps

noreply@blogger.com (Stefano) — Tue, 21 Sep 2010 11:11:00 +0000

Fino a oggi, Google ha permesso di accedere agli account delle Google Apps attraverso un'autenticazione tradizionale mediante nome utente e password.
L'utilizzo sempre maggiore che viene fatto delle applicazioni di Google anche a livello professionale ha spinto il gigante della ricerca-e-non-solo a implementare un'autenticazione a due fattori, completamente gratuita e in grado di utilizzare un mezzo che tutti ormai hanno a disposizione: il telefono cellulare.
A differenza però di vari sistemi già adottati, ad esempio dai servizi di online banking, Google permetterà sia di ricevere una one-time-password via SMS, sia di installare una app sul proprio smartphone in grado di generarla.
Il codice di verifica generato o ricevuto dovrà essere inserito successivamente al nome utente e password.

Disponibile al momento solo negli Stati Uniti e solo nella versione a pagamento delle Google Apps, tra pochi mesi verrà rilasciato nella versione standard aperta a tutto il pubblico.
L'implementazione di Google è basata su uno standard aperto e l'app sarà open source, integrabile eventualmente con tecnologie di autenticazione di altri vendor e adattabile a svariate esigenze.

L'introduzione di un'autenticazione più efficace rimuove uno degli ostacoli che vengono percepiti dalle aziende circa l'adozione del cloud computing: la sicurezza. In questo modo Google si afferma sempre più come un fornitore di suite di produttività per le aziende

Inoltre, l'autenticazione a due fattori è stata da sempre una funzionalità cruciale e ciò che Google sta facendo è senza dubbio fondamentale perché sta aumentando il livello di attenzione nei confronti della sicurezza, affermando su scala planetaria che l'autenticazione a due fattori è una funzione ormai necessaria.
Se ce l'ha Google, devono averla anche le aziende che forniscono servizi più critici al pubblico!
Che ne pensate?

La formazione dei dipendenti in ambito sicurezza deve fare ancora molta strada

noreply@blogger.com (Stefano) — Fri, 17 Sep 2010 09:30:00 +0000

Social-Engineer.Org, un'organizzazione che ha lo scopo di aiutare le aziende a comprendere le minacce inerenti le tecniche di social engineering ha annunciato ieri la pubblicazione del rapporto finale sui risultati di una recente competizione tenutasi durante lo scorso Defcon 18 a Las Vegas. Scopo della gara era la raccolta di informazioni dalle aziende utilizzando tecniche di social engineering.
Tra le 15 aziende obiettivo di questo contest figuravano BP, Shell, Apple, Google, Microsoft, Cisco Systems, Proctor and Gamble, Pepsi, Coca-Cola, Symantec, Phillip Morris, Walmart, Mcafee e Ford.
Il rapporto pubblicato sul sito di Social-Engineer.Org rivela interessanti e al contempo allarmanti dati.
Ad esempio che non è necessario essere un esperto navigato in social engineering per penetrare con successo un'azienda: un attaccante senza esperienza ha comunque un facile accesso a risorse gratuite come Facebook, LinkedIn, Twitter, Google Search e Google Street View, risorse che, congiuntamente ai call center e agli uffici di customer service, costituiscono un'ottima fonte di informazioni da molte delle aziende obiettivo.
Per cercare di carpire informazioni dalle aziende "più tenaci" si è ricorsi a varie tecniche tra cui l'uso di pretesti credibili quali i sondaggi sulla soddisfazione dei dipendenti, camuffarsi da clienti inetti o da agenzie di collocamento per intervistare quegli impiegati che avevano pubblicato il curriculum vitae in un sito di ricerca lavoro.
L'obiettivo non era di raccogliere informazioni sensibili, ma di catturare delle "bandiere" corrispondenti a informazioni che possono costituire le basi per approntare un vettore di attacco successivo.
Ecco alcuni esempi di dati da raccogliere:

esistenza di una rete wireless aziendale;
il nome della rete wireless;
l'apertura di un URL;
le versioni di browser, lettore PDF, di sistema operativo con service pack, del software antivirusm del client email;
l'utilizzo di VPN;
come vengono smaltiti i documenti;
come viene smaltita la spazzatura;
il tipo di sistema telefonico;
il corriere utilizzato;
il processo di assunzione e licenziamento.

I risultati dell'analisi hanno mostrato che l'impiegato medio di un call center non ha avuto un adeguato training sulla sicurezza e, per questo motivo, non riesce a individuare un potenziale pericolo nella condivisione di informazioni che lui percepisce come insignificanti. Con le informazioni corrette, ovvero grazie alle bandiere citate sopra, un social engineer può fingersi un dipendente guadagnando così la fiducia delle persone chiave che in azienda possono portarlo alla compromissione di informazioni sensibili o confidenziali.
La grande sfida che devono affrontare le aziende che vogliono difendersi da minacce di questo tipo è di inserire in maniera adeguata un training anti ingegneria sociale all'interno del piano di formazione del personale.
Perché un piano di formazione sia veramente efficace, è necessario che coinvolga tutte le persone in azienda: i call center sono uno degli anelli deboli della catena perchè spesso non sono stati sottoposti a un programma di security awareness. Questo si può tradurre in fughe di informazioni e in incremento del rischio in azienda.
Ma il call center è solo la tradizionale punta dell'iceberg, la parte più evidente del sistema.
La dimostrazione dell'inefficacia del training (o della sua inesistenza) è stata riscontrata nella mancanza di resistenza degli impiegati alle domande loro poste: quando non esistono linee guida chiare per affrontare determinate situazioni, essi agiscono come il loro ruolo richiede, ovvero essere utili alla persona che chiama.
Le aziende devono anche agire nei confronti dei social network: questi strumenti costituiscono un vettore di informazioni notevole, ma ancora questa realtà non viene percepita dalle aziende che, sebbene ne possano gestire l'accesso con sistemi tecnologici, non danno direttive su come il singolo dipendente si debba comportare nei confronti della divulgazione di informazioni aziendali.

Nasce rischioblog, per segnalare violazioni della sicurezza aziendale, fughe di dati, frodi, crimini aziendali.

noreply@blogger.com (Stefano) — Thu, 09 Sep 2010 09:40:00 +0000

Nei giorni scorsi abbiamo tenuto a battesimo rischioblog, un contenitore di notizie provenienti da tutto il mondo e riguardanti violazioni della sicurezza aziendale, fughe di dati, frodi, crimini aziendali.
Trovano spazio in questo blog le violazioni e le frodi che avrebbero potuto essere evitate o mitigate attraverso adeguati strumenti di controllo, tecnologici e procedurali.
Un estratto dalla presentazione del progetto:

Lo scopo di rischioblog è di alzare il livello di attenzione sul tema delle minacce interne all'azienda che spesso hanno conseguenze più pericolose di quelle originate all'esterno, ma che, per la loro natura più "silenziosa" non godono di un pari e adeguato trattamento.
Quando esaminiamo il mondo della sicurezza, risulta chiaro che la gestione delle minacce più “rumorose” riceve molta più attenzione e investimenti di quella rivolta alle minacce “silenziose”. Ancora oggi, gli investimenti in sicurezza si focalizzano sul “perimetro”, ovvero qualla frontiera immaginaria che separa gli utenti e i sistemi interni all’azienda dal mondo esterno.
Negli ultimi anni l’utilizzo dei sistemi e dei dati è cambiato: abbiamo reso l’informazione più accessibile dai browser, aumentato gli accessi remoti e ci stiamo sempre più affidando ai servizi distribuiti. Parallelemente, anche i rischi si sono evoluti: accanto a quelli già presenti relativi alle minacce interne, si sono affacciati nuovi rischi derivati dal nuovo modo di accesso ai dati.
Si è venuto a creare un divario nella distribuzione delle risorse di sicurezza: le minacce al perimetro aziendale sono tuttora costantemente tangibili, e da tempo ormai tutte le aziende si sono dotate di protezioni come i firewall; ma nuove minacce alle nostre informazioni richiedono diversi controlli di sicurezza.
È quindi corretto e opportuno adottare misure di sicurezza preventive e contenitive, ma non sempre l’investimento viene approvato, per diverse motivazioni. Il budget annuale prevede che vengano rinnovate le manutenzioni dei prodotti che già sono stati implementati, più altri (pochi) investimenti che normalmente devono essere messi in ordine di priorità. Delle varie misure di mitigazione dei rischi, solo quelle più ad alta priorità possono concorrere per trovare la giusta messa in opera.
Le minacce silenziose godono di considerazione negli investimenti solo successivamente a un grave incidente, o quando vengono promulgate nuove leggi o normative industriali. In questo modo spendiamo molto di più (in capitali, tempo e risorse) cercando di rendere sicuri i nostri sistemi e le nostre reti, piuttosto che il patrimonio informativo che costituisce il vero motore del nostro business.
...continua

Qualora aveste segnalazioni di casi che ritenete possano essere pubblicati, scrivete a rischioblog (a) advanction.com (sostituire @ alla (a) ).