conneXioni

Dati sottratti alla Sarasin e dimissioni alla Banca Centrale Svizzera

2012-01-19T08:39:00.001+01:00

Philipp Hildebrand, governatore della Banca Centrale Svizzera (Snb) ha annunciato il 9 gennaio scorso le sue dimissioni, a seguito di uno scandalo valutario causato da un movimento di denaro condotto dalla moglie che ha voluto trarre vantaggio attraverso un'operazione di cambio valuta pochi giorni prima che il tasso minimo di cambio franco svizzero/Euro fosse fissato a 1,20.

Ebbene, l'informazione sull'operazione sarebbe stata sottratta alla Banca Sarasin, istituto finanziario presso il quale Hildebrand ha un conto bancario, da un dipendente (ora ex-) che l'ha poi inviata a due avvocati che l'hanno in seguito divulgata.
Secondo quanto riporta ieri il Blick (nell'articolo del Corriere del Ticino), l'estratto conto bancario della famiglia di Philipp Hildebrand sarebbe stato manipolato: il documento pubblicato dalla «Weltwoche» sarebbe infatti una combinazione di diversi documenti.
L'ipotesi più accreditata è che, quindi, il documento sia il risultato di un "copia & incolla" di documenti di diversa provenienza, alcuni di essi catturati attraverso funzioni di cattura dello schermo.

Stando a quanto dichiarato in precedenza, il tecnico informatico nel frattempo licenziato dall'istituto si era appropriato dei dati attraverso cosiddetti «screenshots», ossia immagini della visualizzazione sullo schermo di un monitor.

Corriere del Ticino, 18 gennaio 2012

La soluzione Screen Capture Manager, sviluppata da Advanction, viene in aiuto in queste situazioni.
I dati aziendali possono essere sottratti, infatti, con varie modalità. Esistono soluzioni in grado di monitorare il flusso di dati in uscita, ma la cattura dello schermo rimane ancora un modo semplice e accessibile a chiunque per impossessarsi di dati confidenziali.
Screen Capture Manager permette di gestire, in modo centralizzato, le funzionalità della cattura schermo (Stampa Schermo e Strumento di cattura - Snipping tool) in modo che possano essere disabilitate sui PC degli utenti.
Qualora le funzioni di cattura schermo vengano abilitate, SCM permette di avere una copia delle schermate catturate.
Una delle caratteristiche salienti della soluzione é di consentire una configurazione per utente e non per sistema: l'amministratore della sicurezza può quindi abilitare l'utente X e disabilitare l'utente Y, anche se lavorano sullo stesso computer.
Trovate maggiori informazioni sulle funzionalità di Screen Capture Manager sul sito www.screencapturemanager.com

Rendere sicura la rete wi-fi di casa, su Ouch! di gennaio 2012

2012-01-13T09:30:00.000+01:00

Il primo numero di Ouch! del 2012 si focalizza sulla sicurezza delle reti wi-fi casalinghe.
Le reti Wi-Fi permettono di connettere a Internet dispositivi wireless, come laptop, smartphone, tablet e console di gioco e, dal momento che sono semplici da configurare, vengono spesso installate anche nelle abitazioni private.
Molte delle reti casalinghe sono però configurate in modo non sicuro, permettendo a estranei o a persone non autorizzate di abusare anonimamente del collegamento a Internet.
In questo numero troverete alcuni semplici passi che potete seguire per rendere sicura e protetta la vostra rete Wi-Fi di casa.

Questo numero è stato realizzato con la collaborazione di Raul Siles, fondatore e Senior Security Analyst di Taddong
(www.taddong.com), nonchè autore e istruttore di corsi SANS.
La versione in italiano è curata da Advanction S.A., un’azienda impegnata nella Sicurezza, nel Risk Management Operativo e nella Security Awareness.
Seguila su www.advanction.com e su twitter.com/advanction

Phishing e frodi nella email sono il tema di OUCH! di dicembre 2011

2011-12-19T09:00:00.000+01:00

L’Email è diventato uno dei modi principali che utilizziamo per comunicare. Non la usiamo solo quotidianamente per lavoro, ma anche per rimanere in contatto con parenti e amici. La posta elettronica è anche il modo con cui le aziende forniscono prodotti e servizi, come la conferma di un acquisto online o le comunicazioni da parte della nostra banca. Dal momento che così tante persone nel mondo dipendono da essa, l’email è diventato purtroppo anche uno dei metodi principali utilizzato dai criminali informatici.

Nel numero di dicembre di OUCH! illustreremo questi tipi di minacce e le azioni che potete intraprendere per proteggervi.

OUCH! è disponibile all'indirizzo sul sito del programma Securing the Human, del SANS Institute.

PER SAPERNE DI PIÙ

Abbonatevi a OUCH!, la newsletter mensile sulla sicurezza informatica, consultate i suoi archivi e approfondite le soluzioni di sicurezza di SANS visitando http://www.securingthehuman.org.

VERSIONE IN ITALIANO

La versione in italiano è curata da Advanction S.A., un’azienda impegnata nella Sicurezza, nel Risk Management Operativo e nella Security Awareness. Seguila su http://www.advanction.com, su twitter @advanction e @insider_risk

Sicurezza e privacy nei browser, sono il tema di OUCH! di novembre 2011

2011-11-14T08:19:00.001+01:00

Il browser, che si tratti di Internet Explorer, Firefox, Chrome o Safari, costituisce uno degli strumenti primari per utilizzare Internet: i criminali informatici ne sono consapevoli e per questo motivo costituisce uno dei loro obiettivi principali. Il browser raccoglie una grande quantità di informazioni personali senza che voi ve ne rendiate conto.
In questa newsletter, grazie alla collaborazione di Mike Poor, senior instructor del SANS Institute, illustreremo i passi da seguire per proteggere il vostro computer e la vostra privacy.

Il numero di OUCH! di novembre 2011 é disponibile in PDF sul sito del programma Securing the Human, del SANS Institute.

OUCH! è la newsletter mensile sulla sicurezza informatica prodotta dal SANS Institute e disponibile in 11 lingue, tra cui l'italiano.
L'adattamento in italiano di OUCH! é curato dallo staff di Advanction.

Gestione centralizzata di Stampa Schermo e Strumento di cattura con Screen Capture Manager

2011-11-08T12:36:00.000+01:00

Informazioni confidenziali, proprietà intellettuale, dati dei clienti, dati sanitari: queste sono le tipologie di informazioni aziendali più soggette a sottrazione di dati.
Anche attraverso una semplice funzione come il tasto Stampa schermo (Print Screen) o lo Strumento di cattura (Snipping Tool) diventa possibile catturare informazioni sensibili da esportare fuori dall'azienda.

La nuova soluzione di Advanction per mitigare questa minaccia è Screen Capture Manager (SCM), la soluzione di endpoint security che vi permette di gestire, da una console centrale, il comportamento del tasto "Stampa Schermo" e dello "Strumento di cattura" su ogni PC della rete aziendale.

Questa soluzione è il giusto complemento di tutte le soluzioni di sicurezza esistenti dedicate alla prevenzione e all'individuazione delle fughe di informazioni sensibili, personali e confidenziali.

Come funziona

Una volta installato sulla rete aziendale, Screen Capture Manager permette di:

configurare le funzioni del tasto “Stampa schermo” e del programma “Strumento di cattura” in modo che possano essere:

abilitati;
disabilitati;
abilitati con la funzione di shadowing, in modo che ogni immagine catturata da un utente monitorato venga inviata all’application server e conservata quindi in una cartella protetta.

gestire la configurazione degli utenti da una console
centrale;
connettersi ad Active Directory per recuperare la lista degli utenti e dei computer;
installare remotamente gli agenti sui PC della rete;
disabilitare ogni combinazione di chiavi che comprenda il tasto “Stampa schermo” associato ai tasti Alt, Ctrl, Shift, Windows.

La configurazione delle funzionalità avviene per singolo utente. Non c'è necessità di far ripartire il sistema dopo aver installato l'agente.

La funzione di shadowing

Lo shadowing è una funzionalità che consente al responsabile della sicurezza di tener traccia di ogni immagine catturata dall’utente sulla sua postazione di lavoro.
Le immagini catturate vengono salvate in una cartella centrale, suddivise per utente.

Bassissimo impatto sulle attività di utenti e amministratori

Screen Capture Manager è stato progettato per avere un bassissimo impatto sull'attività di utenti e amministratori di sistema:

la possibilità di catturare le schermate può essere modificata in tempo reale, senza la necessità di far ripartire il computer dell'utente o di uscire e rientrare dalla sessione;
nessuna necessità di far ripartire il PC client dopo l'installazione dell'agente;
gli agenti remoti possono essere installati dalla console di gestione, direttamente sul PC client, utilizzando Group Policy o altri strumenti di deployment.

Reportistica e amministrazione

Ogni operazione di configurazione e deployment degli agenti di SCM viene tracciata all’interno di un audit log, visualizzabile in un report.
È infine possibile configurare ulteriori utenti amministrativi, per delegare l’uso di SCM ad altri componentidel team di audit.

In questo video vi spieghiamo come funziona e che vantaggi offre Screen Capture Manager.

Visitate il sito www.screencapturemanager.com, guardate il video e scaricate le brochure, in italiano e in inglese.

Gli aggiornamenti software sono il tema di OUCH! di agosto

2011-08-19T08:39:00.000+02:00

Il periodo di vacanza non ferma di certo i criminali informatici e quindi il team di OUCH!, di cui anche Advanction fa parte, lavora costantemente per aiutare le persone a capire come proteggersi al meglio dagli attacchi informatici ai propri computer.
Questo mese cercheremo di capire perché è essenziale aggiornare il sistema operativo, le applicazioni e i
componenti aggiuntivi del browser al fine di conservare la privacy e migliorare la sicurezza. Forniremo inoltre degli strumenti e delle tecniche per aiutarvi a mantenere il software sempre aggiornato e sicuro.
Ogni giorno, purtroppo, vengono scoperte nuove vulnerabilità nei software, ovvero lacune o debolezze
applicative che i criminali informatici possono sfruttare a loro vantaggio: i produttori di software, come Microsoft e Apple, pubblicano regolarmente aggiornamenti (o patch) per correggerle. L’aggiornamento è quindi un passo fondamentale per la protezione dei vostri sistemi.

Trovate l'ultima edizione di OUCH! all'URL presso il sito del progetto Securing the Human di SANS:
http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201108_it.pdf

OUCH! è inoltre disponibile in varie altre lingue: http://www.securingthehuman.org/resources/newsletters/ouch

Proteggere le attività online dei nostri figli, nel numero di giugno di OUCH!

2011-06-20T17:33:00.000+02:00

Il numero di giugno 2011 di OUCH!, la newsletter mensile di suggerimenti sulla sicurezza informatica, parlerà di come proteggere le attività online dei nostri figli.
Nel mondo di oggi, bambini e ragazzi devono essere messi in grado di comprendere la tecnologia non solo per trarne vantaggio nel campo dell’educazione e della crescita, ma anche, in molti casi, per sviluppare e mantenere una vita sociale attiva. Purtroppo, a queste interessanti possibilità si accompagnano anche dei rischi che spesso non vengono percepiti o verso cui i nostri figli si trovano impreparati. In quanto genitori, il nostro compito è di garantire che i bambini comprendano che i rischi esistono, ma che vi sono anche modalità per proteggersi adeguatamente.
In questa newsletter spiegheremo le tre minacce principali e i metodi con cui aiutare i nostri piccoli a fruire dei servizi Internet in modo protetto.
Trovate l'ultimo numero di OUCH! a questo indirizzo:
http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201106_it.pdf

8 giugno 2011: il giorno dell'IPv6

2011-06-07T22:10:00.001+02:00

L'8 giugno 2011 è la data fissata per il test della Internet mondiale al passaggio dallo "storico" protocollo IPv4 al più moderno IPv6.
http://punto-informatico.it/3182404/PI/News/ipv6-giorno-della-consapevolezza.aspx

La sicurezza delle password è il tema del numero di maggio di OUCH!

2011-05-21T10:08:00.000+02:00

Nel numero di maggio di OUCH!, la newsletter mensile di suggerimenti sulla sicurezza informatica, ci focalizziamo sulla creazione e il mantenimento di password forti.
Grazie all'articolo di Eric Cole mostreremo come creare password complesse semplici da ricordare per poi passare ai passi che ognuno dovrebbe seguire per proteggere al meglio le proprie password.
La complessità delle password può far poco nel caso cadiate vittima di phishing, se condividete le password con qualcun'altro o se il vostro computer è stato infettato da malware in grado di catturare ciò che digitate.
Trovate l'ultimo numero di OUCH! a questo indirizzo:
http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201105_it.pdf
Buona lettura!

Sicurezza online anche in viaggio, nel numero di aprile 2011 di OUCH!

2011-04-13T14:17:00.004+02:00

Il numero di aprile 2011 di OUCH!, la newsletter sulla Security Awareness di SANS disponibile ora anche in italiano, verte sul tema della sicurezza dei servizi in rete al di fuori dei nostri consueti ambiti di lavoro o di abitazione.
Quando ci troviamo in viaggio o in vacanza, accedere a Internet può diventare una vera sfida:
i collegamenti possono, non solo essere più lenti, ma anche con molti più rischi, specialmente quando ci colleghiamo a reti o computer pubblici. La chiave per utilizzare Internet in modo sicuro anche durante i viaggi sta nel comprendere questi rischi ulteriori, adottare una maggior cautela per non farsi cogliere impreparati.

Il nuovo numero è disponibile sul sito del SANS, dove potrete trovare anche l'archivio dei numeri precedenti.
Nel blog "Privacy e Sicurezza" troverete anche un post con alcuni link di corredo ad articoli in italiano.

Ogni numero di OUCH! viene redatto dal gruppo del SANS Institute dedicato al programma Securing the Human, un progetto che ha l'obiettivo di fornire soluzioni alle necessità di ogni azienda di migliorare il livello di sicurezza di dipendenti, consulenti, staff IT e management.
Tradotto in italiano dallo staff di Advanction, OUCH! è distribuita con licenza Creative Commons BY‐NC‐ND 3.0: vi invitiamo quindi a diffonderla all'interno della vostra azienda e a condividerla con altri. Se desiderate distribuire OUCH! a tutti i vostri utenti, potete sottoscriverla attraverso un indirizzo singolo corrispondente a una lista di distribuzione interna.
Il SANS Institute
SANS è l'organizzazione più importante e riconosciuta nell'ambito della formazione e nella certificazione nel campo della sicurezza delle informazioni. Inoltre, sviluppa, mantiene e rende disponibile la più grande collezione di documenti inerenti i vari aspetti della sicurezza.
SANS gestisce inoltre l'Internet Storm Center, un sistema di early warning sulle minacce presenti sulla rete.
SANS (acronimo per SysAdmin, Audit, Network, Security) è stato fondato nel 1989come organizzazione cooperativa per la ricerca e l'educazione. I suoi programmi hanno visto coinvolti più di 350.000 professionisti della sicurezza, auditor, amministratori di sistema e di rete, Responsabili della sicurezza e CIO, che hanno voluto condividere le proprie esperienze e trovare congiuntamente delle soluzioni alle sfide che si sono trovati ad affrontare. Il cuore di SANS è costituito da molti professionisti di agenzie governative, aziende e università in tutto il mondo che investono centinaia di ore all'anno nella ricerca e nella formazione per aiutare il mondo dell'Information Security.

OUCH! è tradotto in italiano dallo staff di Advanction.

RSA: sicurezza violata. SecurID non è più così "secure"

2011-03-18T13:41:00.005+01:00

RSA, azienda leader nella produzione di soluzioni di sicurezza e crittografia, è caduta vittima di un attacco in cui sono stati sottratti dati dai suoi server.
Art Coviello, CEO dell'azienda americana, ha pubblicato un comunicato stampa in cui si afferma che parte dei dati sottratti riguardava la tecnologia dei prodotti SecurID, la cui sicurezza, sempre secondo il comunicato, è ora messa a rischio
La famiglia SecurID è una delle soluzioni più consolidate per l'autenticazione a due fattori: utilizzata da più di 40 milioni di utenti in tutto il mondo, viene spesso associata al token hardware che genera una one-time password (OTP) ogni 60 secondi.
Sebbene RSA affermi che i dati sottratti possono ridurre l'efficacia dell'implementazione dell'attuale autenticazione a due fattori, non è stata specificata la natura delle informazioni
Diventa facile quindi speculare che gli attaccanti si sono impadroniti del codice sorgente o dei seed utilizzati nel processo crittografico (le chiavi utilizzate per generare la one-time-password).
RSA ha allegato al report una serie di raccomandazioni, peraltro piuttosto ovvie per chi si occupa di sicurezza...

Overall Recommendations:
RSA strongly urges customers to follow both these overall recommendations and the
• We recommend customers increase their focus on security for social media applications and recommendations available in the best practices guides linked to this
note.the use of those applications and websites by anyone
with access to their critical networks.
• We recommend customers enforce strong password and pin policies.
• We recommend customers follow the rule of least privilege when assigning roles and responsibilities to security administrators

E' ancora presto per disquisire di quali dati siano venuti in possesso gli autori della violazione, certo é che se gli hacker si fossero impadroniti delle chiavi crittografiche (seed) installate sui token SecurID , con un po' di tempo e di potenza di calcolo, la sicurezza dei token potrebbe venire davvero compromessa.
Questa notizia fa però scalpore anche per altri elementi distintivi. Eccoli:

RSA è un'azienda leader nelle soluzioni di sicurezza;
RSA produce sistemi di Data Leakage Prevention classificati come leader dalle principali società di ricerca;
SecurID é forse il più diffuso sistema di autenticazione a due fattori.

C'è qualcosa che non vi torna? Maligni...
Io, in questi casi, mi chiedo se il vettore di attacco sia completamente esterno o se non ci sia qualcuno di interno che ci ha mezzo lo zampino, volontariamente o no.
Indipendentemente da come sia avvenuto l'attacco, credo che sia indispensabile, a fronte di soluzioni che si supporrebbero solide (il doppio condizionale è d'obbligo), dotare l'azienda di robuste policy e procedure di sicurezza, ad esempio, per classificare le informazioni e usare il principio del privilegio minimo per l'accesso, e quindi anche del need-to-know (accedere soltanto a ciò a cui si deve accedere per svolgere il proprio lavoro).
Se poi, invece, i processi sono inossidabili, ma hanno sbagliato i software... "that's a different kettle of fish."

Approfondimenti: CIO / The Register

Zeus ancora all'attacco dell'autenticazione a due fattori via SMS

2011-02-22T10:52:00.000+01:00

Questo è già il secondo esempio di come il trojan per e-banking Zeus si sia evoluto per impadronirsi anche dei dati della seconda autenticazione.
Una sua variante prende ora di mira gli utenti di telefoni cellulari che fanno utilizzo del secondo fattore autenticativo al momento del login all'e-banking e il primo caso si é verificato alla ING Bank Slaski in Polonia.
L'attacco, di tipo man-in-the-mobile, è simile a quello apparso lo scorso settembre in Spagna, affermano i ricercatori di F-Secure. Entrambi gli attacchi cercano di impadronirsi del mTAN (mobile transaction authentication numbers) ovvero il secondo fattore di autenticazione che molti servizi online hanno implementato: la one-time-password, che viene inviata via SMS, è utilizzata dall'utente per confermare l'accesso al servizio.
Il nuovo malware inietta un campo nelle pagine web che chiedono all'utente il numero di telefono e il tipo di cellulare utilizzato: il criminale invia poi un SMS all'utente contenente un link a un malware customizzato per il sistema operativo del suo telefono (al momento pare sia solo disponibile per Symbian e Blackberry e non ancora per iPhone o Android). Il malware invierà poi automaticamente tutti gli mTAN ricevuti dal cellulare all'operatore Zeus.

Da: The Register

La password più comune? 123456. CVD

2010-12-16T14:32:00.000+01:00

Come ben sapranno i professionisti della sicurezza lettori di questo blog, nei giorni scorsi si è verificata una fuga di informazioni dal gruppo Gawker media, che pubblica tra gli altri i blog Gizmodo, IO9 e Lifehacker.
Le informazioni riguardavano i dati di circa 1.300.000 utenti, dati tra cui erano presenti anche le password, codificare con l'algoritmo DES (mah!, n.d.r.)
Ebbene, gli esperti di Duo Security si sono presi la briga di decodificare 400.000 di queste password e hanno trovato i seguenti risultati:

123456 è la password più diffusa, essendo presente più di 2500 volte;
password è la seconda in classifica, essendo la scelta di 2200 utenti;
12345678 buona terza, con 1200 utenti;
qwerty, abc123, 12345, monkey, 111111, consumer, letmein, 1234 seguono a breve distanza.

Sebbene la protezione di un account Gawker possa non essere considerata strategica da molti dei suoi utenti, il vero pericolo risiede nella possibilità che la stessa password utilizzata per entrare in Lifehacker o Gizmodo possa essere utilizzata anche per accedere servizi più sensibili per l'utente, come la email, l'e-banking e altro ancora.
Con un database come quello divulgato, contenente anche gli indirizzi e-mail, diventa semplice entrare in possesso dell'identità di un utente:

il db contiene password e indirizzo e-mail;
ottenuta una password di accesso a Gawker, la si prova per l'accesso alla e-mail;
nel caso fortuito che le due password coincidano, acceduta l'e-mail, si leggono i messaggi per identificare eventuali servizi sensibili a cui l'utente è iscritto, tipo l'e-banking;
si prova ad accedere all'e-banking con le stesse credenziali e, nel caso che la password sia diversa, si segue la procedura di cambio password, che normalmente prevede l'invio di un messaggio alla e-mail.

Sebbene il soddisfacimento di questi passaggi non sia esaustivo per ottenere le informazioni di accesso e uso di un servizio di e-banking, ci consente di arrivare molto vicino: un hacker con la volontà di malversare avrebbe già una buona base di partenza.
Va da sé che, quindi, sebbene le tecnologie moderne di sicurezza ci permettano di proteggerci con mezzi ulteriori, una buona password è e rimane un punto fondamentale per mitigare i rischi di accesso ai nostri servizi da partedi ospiti indesiderati.

Per qualche ulteriore suggerimento su come creare buone password, leggete il nostro nuovo blog Sicurezza e Privacy (ancora in beta).
Se, inoltre, volete dilettarvi a scoprire quanto è sicura la vostra password, provate lo strumento disponibile su http://howsecureismypassword.net/ che, attraverso un calcolo effettuato da un javascript in locale al vostro browser, vi dirà quanto tempo ci vuole per cracckare la vostra password con un programma su un comune PC.

Perchè Wikileaks fa bene alla sicurezza

2010-11-30T10:00:00.003+01:00

Al di là delle valutazioni di merito sull'operato dell'organizzazione guidata da Assange, su quanto siano giuste o no le sue azioni di divulgazione, e al di là delle considerazioni sui contenuti dei dispacci pubblicati, che peraltro sembrano in molti casi dimostrare con chiarezza dei concetti che implicitamente erano già dominio o del pubblico o dei governi, dal punto di vista di un operatore dell'Information Security, Wikileaks non può che condurre a risvolti positivi.
Quale migliore opera di Security Awareness della divulgazione di documenti secretati su ogni giornale, televisione e sito di news? Quale migliore dimostrazione dell'insicurezza di quella di un mito dell'opinione pubblica come il Dipartimento della Difesa degli Stati Uniti d'America, ormai protagonista delle discussioni nei social network, nei forum e nel bar sotto casa?

C'è quindi da chiedersi come mai è stato possibile aggregare ben 1.6 GB di documenti dal database di SIPRNet, la rete del Dipartimento della Difesa statunitense.
Quello che si può supporre è che i controlli siano un poco laschi, per varie ragioni, tra cui quella di permettere un accesso ai documenti più accessibile (sono supposizioni, naturalmente).
Vediamo allora qualche numero:

251.297: è il numero totale dei documenti in corso di divulgazione da Wikileaks;
133.887 i documenti non classificati o per solo uso "ufficiale";
101.748 sono i documenti confidenziali;
15.662 sono i documenti classificati come "segreti".

Anche se il numero di documenti segreti è 1/16 del totale, 15.662 documenti segreti costituiscono una fuga di informazioni impressionante.

E' lecito a questo punto porsi alcune domande:

davvero i documenti segreti erano gestiti in un database insiema a tutti gli altri?
qual è il livello di protezione richiesto per i vari livelli di questi documenti?
esiste un controllo dell'accesso in base al ruolo (RBAC - role base access control)?
perchè i documenti non sono stati crittografati?

Alla fine dei conti, è fin troppo facile accusare Wikileaks di essere responsabile di sconvolgimenti diplomatici (peraltro, ho molte riserve sulla possibilità che questo si realizzi).
Anche in questo caso si tratta di un concorso di colpe: se il controllo dell'accesso ai documenti o la loro classificazione fosse stata più efficace, forse questa fuga di informazioni non avrebbe avuto luogo. Esistono procedure e strumenti per mettere in opera una classificazione delle informazioni veramente efficace nonché un controllo accessi efficiente.
Per illustrarvi come potrebbe aver avuto luogo la fuga di informazioni, vi faccio un paragone: un'ipotetica agenzia di una banca ha un sistema di sicurezza tale per cui, quando dei rapinatori riescono ad accedere all'interno degli uffici, vengono bloccate tutte le porte di accesso. Ad eccezione di una, perché è sfuggita in sede di analisi, o perché il cavo elettrico è staccato, o perché, ancora, erano finiti i soldi in fase di realizzazione, e l'ufficio dei Servizi Generali ha detto:"Ma sì, è una porta sola, e pure nascosta. Figurati se la useranno mai." I rapinatori, che hanno un basista all'interno della banca, lo sapevano e scappano da lì.
Le frodi e le fughe di informazioni avvengono anche (se non soprattutto) in questo modo: per disattenzione o incuria di chi deve controllare.
E quindi, dove sta la colpa?

Il DOS di Wikileaks

2010-11-30T08:27:00.003+01:00

Dario miha fatto notare che la momentanea indisponibilità di Wikileaks è stata causata dagli attacchi dell'hacktivist th3j35t3r.
Di questo hacker se ne sente parlare da qualche mese, da quando cioé è salito alla ribalta delle cronache per aver portato al takedown diversi siti islamici sospettati di arruolare nuove leve alla causa fondamentalista.
La particolarità dei suoi attacchi sta nelle tecniche che utilizza (secondo me, nel caso di Wikileaks, non usa un Distributed DOS, ma solo un DOS ben realizzato) e che sono illustrate in questo video.
Di nuove tecniche miste di attacco si sta parlando recentemente nel mondo della sicurezza: forse il nostro hacktivista sta usando tecniche di evasione, scoperte recentemente da StoneSoft e contro cui ancora poco si riesce a fare.

Nota: Wikileaks costituisce un'interessante inversione di tendenza nella divulgazione dei fatti e th3j35t3r vuol costituire un'inversione di tendenza nelle attività di antiterrorismo (e qui forse abuso di questo termine, ma è giusto per amor dell'iperbole).
L'antiterrorismo, per natura delle attività che va a contrastare, è un insieme di azioni che normalmente devono essere nascoste, in copertura.
Ma in questo caso, contro un'entità come wikileaks che agisce - in parte - allo scoperto, quale arma migliore dell'agire allo scoperto anche nell'attaccarla?
E' un'interessante evoluzione quella a cui stiamo assistendo: non importa che si tratti di un hacker veramente bravo, oppure di un'unità della CIA composta da hacker veramente bravi, che si sono costruiti una finta identità digitale molto realistica.
Quello che conta è che è si possono condurre azioni che un tempo era impensabile solo concepire, agendo allo scoperto, ma utilizzando reti di anonimizzatori (come TOR) per preservare la propria identità.
Quale sarà il prossimo step? Un trojan per la rete TOR scritto da hacker di una nazione teocratica che consentirà di ricostruire il percorso completo di collegamento e di risalire al responsabile di un attacco DOS? Pubblicando in tempo reale la mappa degli attacchi con le lucine che si accendono in corrispondenza dei vari router in giro per il mondo? Oppure un virus progettato da una nazione democratica fatto apposta per colpire determinati sistemi ospitati da un determinato provider in una determinata nazione scandinava?

VERIS: un database anonimo di incidenti di sicurezza

2010-11-12T11:25:00.002+01:00

Ogni giorno molte aziende cadono vittima di attacchi alla sicurezza, di violazioni di database, di social engineering, di attacchi da hacker, ma quasi nessuno di questi viene divulgato. Le ragioni sono ovvie e risiedono nel timore delle aziende o dei propri dipendenti di intaccare la propria reputazione, di essere sottoposti all'umiliazione pubblica e di un calo di fiducia nei loro confronti.
A differenza, quindi, delle minacce esterne, di cui vi è fortunatamente un'ampia e sempre in crescita conoscenza perchè tutto il mondo ne parla, delle violazioni interne si parla molto poco e non esiste molta conoscenza per costituire un po' di accademia (a eccezione dello sforzo del progetto Insider Threat della Carnegie Mellon University).
Finalmente Verizon Business ha lanciato oggi pubblicamente un servizio dedicato al reporting degli incidenti di sicurezza per costruire un database che possa costituire una fonte di informazioni per le analisi dei problemi afferenti.
Nel sito Veris, i professionisti della sicurezza possono fornire informazioni dettagliate sugli incidenti e avere report dettagliati per confrontare la gestione dell'incidente con quelle di situazioni similari.

Attraverso il riempimento di un questionario anonimo con i dettagli dell'incidente e di alcuni dettagli dell'azienda, per determinarne il contesto merceologico, la dimensione, il numero di addetti alla sicurezza, ecc, sarà possibile descrivere le modalità di gestione dell'incidente come ad esempio il tempo impiegato per individuarlo, per contenerlo, come poteva essere evitato e quanti tempo, risorse e denaro sono stati spesi a causa della violazione.
Al termine dell'inserimento dei dati si avrà a disposizione un report che descrive l'incidente e lo confronta con incidenti similari già presenti nel database.

Il database attualmente contiene già le informazioni sugli incidenti collezionate durante gli ultimi anni sia da Verizon sia dallo U.S. Secret Servicee costituisce un valido supporto sia per raccogliere e diffondere la conoscenza, sia come strumento di tracciamento degli incidenti nella propria azienda utilizzando una metodologia strutturata allo scopo.

Apps con falle di sicurezza per iPad, iPhone e Android

2010-11-08T08:33:00.002+01:00

Il Wall Street Journal riporta un'analisi della società viaForensics che ha analizzato le apps per accedere ai servizi di E-banking di alcune tra le maggiori banche americane, individuando alcune falle di sicurezza presenti nelle applicazioni di E-banking che potrebbero permettere a un malware di ottenere dati sensibili come i dati di autenticazione o informazioni finanziarie.

Il problema viene creato dalla modalità in cui le apps memorizzano le informazioni dell'utente nella memoria del telefono: nell'applicazione di Wells Fargo, ad esempio, l'utente e la password vengono memorizzate sul telefono semplicemente come testo. L'applicazione salva inoltre altre informazioni sensibili riguardanti i dettagli della situazione bancaria del cliente.

Anche altre applicazioni salvano informazioni di dettaglio dei clienti in formato testo, mentre altre conservano in una cache le pagine di E-banking che ha visitato il cliente, incluse quelle con le informazioni sullo stato del suo conto corrente.

Il trend di sviluppo delle apps per accedere ai servizi di E-banking dai telefoni cellulari è decisamente in aumento e questa analisi ha mostrato come ci siano ancora delle evidenti falle nel processo di sviluppo di questi programmi, che spesso devono essere sviluppati e lanciati sul mercato al più presto possibile per attirare l'interesse di clienti vecchi o nuovi, senza però considerarne la sicurezza, fattore questo che potrebbe avere l'effetto contrario da quello desiderato dai dipartimenti marketing delle banche.

Privacy: come eliminare il tracciamento della pubblicità comportamentale

2010-10-29T12:08:00.000+02:00

Ho appreso stamane da New Blog Times che la Network Advertising Initiative, l'associazione di 60 delle principali reti pubblicitarie che abitualmente tracciano le abitudini Internet degli internauti,ha messo a disposizione degli internauti la possibilità di eseguire un opt out, ovvero di uscita, dal tracciamento dai vari circuiti che propongono pubblicità sulla base delle abitudini di navigazione.
Incuriosito, sono andato a provarlo qui.

Come avviene l'opt-out
Attraverso il rilascio di un cookie contenente un codice da ognuno dei siti dei circuiti di tracciamento.

Come verificare che venga rilasciato il cookie
Ho dapprima cancellato tutti i cookie del mio browser, ho poi richiamato la pagina di cancellazione rimuovendomi da ogni circuito e ho poi verificato il contenuto dei cookie di Firefox.
Effettivamente appaiono dei nuovi cookie i cui codici fanno sembrare che l'optout sia stato richiesto.
Verificherò nei prossimi giorni se tali cookie vengono mantenuti e se non ne vengono aggiunti altri.

Il vantaggio dell'opt-out sulla cancellazione completa dei cookie
La cancellazione completa dei cookie rimuove ogni possibilità di collegamento con la storia pregressa dal momento della rimozione in poi, ma, una volta iniziato a navigare normalmente, quando si capita su un sito che aderisce a un circuito di behavioral advertising verrà comunque rilasciato un cookie per il tracciamento che vi seguirà nella navigazione.
Inserendo invece un cookie di opt-out, anche qualora visitaste un sito che potrebbe tracciarvi, non vi verrà rilasciato nessun nuovo cookie, e nessun cookie verrà aggiornato.

Se decidete di aderire all'opt-out globale, come misura precauzionale, consiglio comunque di ritornare spesso sulla pagina di verifica dell'opt-out per deselezionare i circuiti di cui non vi aggrada far parte (io li ho rimossi totalmente).

Le fotocopiartici Canon non stampano documenti sensibili!

2010-10-15T09:42:00.000+02:00

Non si tratta di uno slogan pubblicitario, ma di una tecnologia recentemente presentata dall'azienda giapponese produttrice di tecnologie elettroniche.

La nuova versione di Uniflow, il sistema di gestione di documenti utilizzato da stampanti, scanner e fotocopiatrici della Canon, è in grado di impedire la stampa o la copia di documenti contenenti specifiche parole chiave.

Uniflow è un sistema di gestione dei documenti che permette la gestione centralizzata di stampanti, scanner, fotocopiatrici e device multifunzione, in modo da tener traccia di quanti documenti sono stati stampati e da chi, facilitando così i processi di fatturazione sia per clienti esterni, sia per i dipartimenti di un'azienda.
La nuova versione di UNiflow consente di prevenire la stampa di un documento se esso contiene parole chiave riferibili a informazioni confidenziali che non devono essere riprodotte (nomi di clienti, numeri di carte di credito o di conto corrente, codici fiscali, ecc).
Il sistema è in grado di inviare a un responsabile del controllo una copia PDF del documento in questione ed eventualmente può informare l'utente che il suo tentativo è stato bloccato.
Uniflow utilizza la tecnologia OCR (optical character recognition) dell'azienda belga Iris.
Questo tipo di strumento va a braccetto con strumenti di DLP (Data Leakage Prevention) che compiono funzioni similari e che sono già impiegati per impedire che informazioni confidenziali escano dall'azienda attraverso email, internet o dispositivi rimovibili.

(Da Andrea Rui su Linkedin in Italian Information Security Professional)

Meglio una colonscopia o la computer security? Ovvero, perchè le persone non si curano della sicurezza

2010-10-07T08:52:00.000+02:00

Devo ammettere che trovo sempre meno interessanti le analisi, i sondaggi, le survey che ultimamente vengono condotte nell'ambito della sicurezza.
L'ultima di cui mi è giunta notizia, però, è veramente bizzarra: più di un americano su 10 preferisce farsi fare una colonscopia che impiegare il proprio tempo a occuparsi della sicurezza del proprio PC.
Ma come?!?! O, per dirla all'americana, WTF ?!?!?
E' quanto emerge da un sondaggio denominato Keep Internet Security Simple (KISS) e condotto da PC Tools, l'azienda americana specializzata in sicurezza.
I risultati dell'analisi dicono che c'è un forte desiderio da parte degli americani (io aggiungo: e non solo) di essere costantemente collegati, in qualsiasi momento della giornata, durante qualsiasi situazione (o quasi).

Vi risparmierò le interessanti indicazioni emerse a riguardo di quando e come gli americani vogliono essere connessi con PC, PDA o sSmartPhone, per focalizzarmi invece su cosa essi desiderano a proposito della loro privacy e sicurezza:

il 79% vuole mantenere file e documenti sul computer fuori dalle grinfie degli altri, ivi compresi i figli, i genitori, i consorti, i colleghi e gli amici;

il 45% degli americani si sentirebbe imbarazzato se amici o famiglia vedessero "certi" file contenuti in PC, PDA o SmartPhone;
nonostante il clamore intorno a sicurezza, virus, worm, cybercrime, il 32% degli americani potrebbero scaricare del malware visitando un sito sospetto.

E qui arriva la parte più interessante: sebbene il 93% degli intervistati possegga un computer, il 76% preferirebbe fare i lavori di casa o altre attività meno piacevoli piuttosto che provvedere a ottimizzare il proprio sistema, sia in termini di sicurezza, sia in termini di stabilità. Tra le attività meno piacevoli vengono annoverate: fare il bucato (54%), cambiare il pannolino a un neonato (43%), andare dal dentista (34%), aspettare in cosa alla motorizzazione civile(20%), rimanere imbottigliato nel traffico (19%), farsi fare una colonscopia (12%).
E questo la dice lunga su come viene percepito dalla maggioranza delle persone l'approccio con i tecniciscmi dell'informatica: difficile, lungo, noioso, pedante, fastidioso, e chi più ne ha, più ne metta.
E nelle aziende la percezione non cambia: spesso mi sono trovato in difficoltà a trovare la cooperazione dei dipendenti sui temi della sicurezza. Non si capisce cosa non funzioni in queste persone. Sebbene la sicurezza sia fondamentale, non agiscono come dovrebbero.
Quello che però scordiamo è uno degli aspetti fondamentali della psiche umana: le persone non reagiscono alla realtà. Reagiscono alla loro percezione della realtà.
Si tratta di un punto critico da considerare quando cerchiamo di affiancare le necessità di sicurezza al comportamento umano.
La sicurezza è importante, ma fino a che le persone in un'azienda non lo comprendono, fino a che non introiettano questo concetto, non agiranno di conseguenza.
Può darsi che i vostri requisiti e le vostre procedure siano state sviluppate con estrema cura, siano adeguate al contesto e necessarie all'azienda, ma fino a che il personale non comprenderà che queste procedure sono necessarie, non le seguirà. Anche di fronte alla presenza di una reale minaccia, se le persone non la percepiscono come tale, non agiranno di conseguenza.
E' necessario quindi un impegno preciso mirato a far cambiare la mentalità della gente: un programma di formazione sulla sicurezza che conduca a una security awareness diffusa deve quindi tener conto di elementi motivanti e di componenti che facciano capire il reale vantaggio, anche personale (perché è il fattore più motivante in assoluto), che si può avere da una maggior sensibilità verso questi temi.

Google implementa l'autenticazione a due fattori sulle Google Apps

2010-09-21T13:11:00.004+02:00

Fino a oggi, Google ha permesso di accedere agli account delle Google Apps attraverso un'autenticazione tradizionale mediante nome utente e password.
L'utilizzo sempre maggiore che viene fatto delle applicazioni di Google anche a livello professionale ha spinto il gigante della ricerca-e-non-solo a implementare un'autenticazione a due fattori, completamente gratuita e in grado di utilizzare un mezzo che tutti ormai hanno a disposizione: il telefono cellulare.
A differenza però di vari sistemi già adottati, ad esempio dai servizi di online banking, Google permetterà sia di ricevere una one-time-password via SMS, sia di installare una app sul proprio smartphone in grado di generarla.
Il codice di verifica generato o ricevuto dovrà essere inserito successivamente al nome utente e password.

Disponibile al momento solo negli Stati Uniti e solo nella versione a pagamento delle Google Apps, tra pochi mesi verrà rilasciato nella versione standard aperta a tutto il pubblico.
L'implementazione di Google è basata su uno standard aperto e l'app sarà open source, integrabile eventualmente con tecnologie di autenticazione di altri vendor e adattabile a svariate esigenze.

L'introduzione di un'autenticazione più efficace rimuove uno degli ostacoli che vengono percepiti dalle aziende circa l'adozione del cloud computing: la sicurezza. In questo modo Google si afferma sempre più come un fornitore di suite di produttività per le aziende

Inoltre, l'autenticazione a due fattori è stata da sempre una funzionalità cruciale e ciò che Google sta facendo è senza dubbio fondamentale perché sta aumentando il livello di attenzione nei confronti della sicurezza, affermando su scala planetaria che l'autenticazione a due fattori è una funzione ormai necessaria.
Se ce l'ha Google, devono averla anche le aziende che forniscono servizi più critici al pubblico!
Che ne pensate?

La formazione dei dipendenti in ambito sicurezza deve fare ancora molta strada

2010-09-17T11:30:00.001+02:00

Social-Engineer.Org, un'organizzazione che ha lo scopo di aiutare le aziende a comprendere le minacce inerenti le tecniche di social engineering ha annunciato ieri la pubblicazione del rapporto finale sui risultati di una recente competizione tenutasi durante lo scorso Defcon 18 a Las Vegas. Scopo della gara era la raccolta di informazioni dalle aziende utilizzando tecniche di social engineering.
Tra le 15 aziende obiettivo di questo contest figuravano BP, Shell, Apple, Google, Microsoft, Cisco Systems, Proctor and Gamble, Pepsi, Coca-Cola, Symantec, Phillip Morris, Walmart, Mcafee e Ford.
Il rapporto pubblicato sul sito di Social-Engineer.Org rivela interessanti e al contempo allarmanti dati.
Ad esempio che non è necessario essere un esperto navigato in social engineering per penetrare con successo un'azienda: un attaccante senza esperienza ha comunque un facile accesso a risorse gratuite come Facebook, LinkedIn, Twitter, Google Search e Google Street View, risorse che, congiuntamente ai call center e agli uffici di customer service, costituiscono un'ottima fonte di informazioni da molte delle aziende obiettivo.
Per cercare di carpire informazioni dalle aziende "più tenaci" si è ricorsi a varie tecniche tra cui l'uso di pretesti credibili quali i sondaggi sulla soddisfazione dei dipendenti, camuffarsi da clienti inetti o da agenzie di collocamento per intervistare quegli impiegati che avevano pubblicato il curriculum vitae in un sito di ricerca lavoro.
L'obiettivo non era di raccogliere informazioni sensibili, ma di catturare delle "bandiere" corrispondenti a informazioni che possono costituire le basi per approntare un vettore di attacco successivo.
Ecco alcuni esempi di dati da raccogliere:

esistenza di una rete wireless aziendale;
il nome della rete wireless;
l'apertura di un URL;
le versioni di browser, lettore PDF, di sistema operativo con service pack, del software antivirusm del client email;
l'utilizzo di VPN;
come vengono smaltiti i documenti;
come viene smaltita la spazzatura;
il tipo di sistema telefonico;
il corriere utilizzato;
il processo di assunzione e licenziamento.

I risultati dell'analisi hanno mostrato che l'impiegato medio di un call center non ha avuto un adeguato training sulla sicurezza e, per questo motivo, non riesce a individuare un potenziale pericolo nella condivisione di informazioni che lui percepisce come insignificanti. Con le informazioni corrette, ovvero grazie alle bandiere citate sopra, un social engineer può fingersi un dipendente guadagnando così la fiducia delle persone chiave che in azienda possono portarlo alla compromissione di informazioni sensibili o confidenziali.
La grande sfida che devono affrontare le aziende che vogliono difendersi da minacce di questo tipo è di inserire in maniera adeguata un training anti ingegneria sociale all'interno del piano di formazione del personale.
Perché un piano di formazione sia veramente efficace, è necessario che coinvolga tutte le persone in azienda: i call center sono uno degli anelli deboli della catena perchè spesso non sono stati sottoposti a un programma di security awareness. Questo si può tradurre in fughe di informazioni e in incremento del rischio in azienda.
Ma il call center è solo la tradizionale punta dell'iceberg, la parte più evidente del sistema.
La dimostrazione dell'inefficacia del training (o della sua inesistenza) è stata riscontrata nella mancanza di resistenza degli impiegati alle domande loro poste: quando non esistono linee guida chiare per affrontare determinate situazioni, essi agiscono come il loro ruolo richiede, ovvero essere utili alla persona che chiama.
Le aziende devono anche agire nei confronti dei social network: questi strumenti costituiscono un vettore di informazioni notevole, ma ancora questa realtà non viene percepita dalle aziende che, sebbene ne possano gestire l'accesso con sistemi tecnologici, non danno direttive su come il singolo dipendente si debba comportare nei confronti della divulgazione di informazioni aziendali.

Nasce rischioblog, per segnalare violazioni della sicurezza aziendale, fughe di dati, frodi, crimini aziendali.

2010-09-09T11:40:00.005+02:00

Nei giorni scorsi abbiamo tenuto a battesimo rischioblog, un contenitore di notizie provenienti da tutto il mondo e riguardanti violazioni della sicurezza aziendale, fughe di dati, frodi, crimini aziendali.
Trovano spazio in questo blog le violazioni e le frodi che avrebbero potuto essere evitate o mitigate attraverso adeguati strumenti di controllo, tecnologici e procedurali.
Un estratto dalla presentazione del progetto:

Lo scopo di rischioblog è di alzare il livello di attenzione sul tema delle minacce interne all'azienda che spesso hanno conseguenze più pericolose di quelle originate all'esterno, ma che, per la loro natura più "silenziosa" non godono di un pari e adeguato trattamento.
Quando esaminiamo il mondo della sicurezza, risulta chiaro che la gestione delle minacce più “rumorose” riceve molta più attenzione e investimenti di quella rivolta alle minacce “silenziose”. Ancora oggi, gli investimenti in sicurezza si focalizzano sul “perimetro”, ovvero qualla frontiera immaginaria che separa gli utenti e i sistemi interni all’azienda dal mondo esterno.
Negli ultimi anni l’utilizzo dei sistemi e dei dati è cambiato: abbiamo reso l’informazione più accessibile dai browser, aumentato gli accessi remoti e ci stiamo sempre più affidando ai servizi distribuiti. Parallelemente, anche i rischi si sono evoluti: accanto a quelli già presenti relativi alle minacce interne, si sono affacciati nuovi rischi derivati dal nuovo modo di accesso ai dati.
Si è venuto a creare un divario nella distribuzione delle risorse di sicurezza: le minacce al perimetro aziendale sono tuttora costantemente tangibili, e da tempo ormai tutte le aziende si sono dotate di protezioni come i firewall; ma nuove minacce alle nostre informazioni richiedono diversi controlli di sicurezza.
È quindi corretto e opportuno adottare misure di sicurezza preventive e contenitive, ma non sempre l’investimento viene approvato, per diverse motivazioni. Il budget annuale prevede che vengano rinnovate le manutenzioni dei prodotti che già sono stati implementati, più altri (pochi) investimenti che normalmente devono essere messi in ordine di priorità. Delle varie misure di mitigazione dei rischi, solo quelle più ad alta priorità possono concorrere per trovare la giusta messa in opera.
Le minacce silenziose godono di considerazione negli investimenti solo successivamente a un grave incidente, o quando vengono promulgate nuove leggi o normative industriali. In questo modo spendiamo molto di più (in capitali, tempo e risorse) cercando di rendere sicuri i nostri sistemi e le nostre reti, piuttosto che il patrimonio informativo che costituisce il vero motore del nostro business.
...continua

Qualora aveste segnalazioni di casi che ritenete possano essere pubblicati, scrivete a rischioblog (a) advanction.com (sostituire @ alla (a) ).

Come migliorare gli investimenti in sicurezza

2010-09-07T16:40:00.001+02:00

Gli investimenti nella sicurezza sono spesso guidati dalla percezione
Quando il Direttore Generale di un’azienda si vede recapitare centinaia di messaggi spam alla settimana, sarà di certo più propenso ad approvare un’investimento in un sistema antispam.
E' qualcosa di tangibile che ha un effetto immediato sulla nostra percezione e interferendo con la nostra possibilità di lavorare: chiamiamo questa una minaccia "rumorosa", che si discosta dall'altro tipo di minaccia, ovvero quella "silenziosa" in grado di causare danni sostanziali, anche senza influire sullo svolgimento del nostro lavoro.
Nel primo insieme ricadono le minacce più conosciute, quelle di cui tutti parlano e quelle per cui è più semplice individuare soluzioni: parlo di virus, worm, spam, ovvero di quei pericolosi e noiosi fattori che giornalmente influenzano la nostra produttività.
La loro visibilità da parte non solo dei vertici aziendali, ma anche dei rispettivi consorti, di figli, amici e parenti tutti, rende più facilmente affrontabili e giustificabili gli investimenti per le contromisure da adottare.
Le minacce più silenziose, quelle che riguardano, ad esempio, la sottrazione di dati, sono molto più insidiose e agiscono con passo felpato. Spesso, quando accadono, risulta difficile dimostrarne l’impatto, e, a fronte di questo, è più arduo richiedere un investimento al proprio management quando non è possibile quantificare una perdita nei profitti o nei propri asset (intesi come elementi del proprio patrimonio).
Purtroppo, come ben afferma Bruce Schneier nel Saggio “Psicologia della sicurezza”, la sicurezza ha due facce: è sia una sensazione sia qualcosa di reale.
La faccia della realtà presenta una sicurezza che utilizza il calcolo delle probabilità per determinare quanto un rischio si possa verificare e come potervi far fronte con adeguate contromisure, data una quantità di informazioni necessaria e sufficiente in grado di supportare l’analisi.
La faccia della sensazione invece riguarda la percezione che noi abbiamo nei confronti delle minacce e delle relative contromisure: queste due facce, sebbene abbiano diversi punti in comune, non coincideranno mai
Le scienze psicologiche e cognitive considerano il “rischio come sensazione” un’importante vestigia del nostro viaggio evolutivo (http://dccps.nci.nih.gov/brp/presentations/slovic.pdf), sostenendo che la sensazione intuitiva è ancora il metodo predominante con cui l’essere umano valuta i rischi.
Un altra motivazione per cui è difficile sostenere un investimento di sicurezza e ottenerne l’approvazione è la visione negativa dell’argomento “rischio”.
Per chi non vi lavora direttamente, e voglio quindi parlare della stragrande maggioranza degli esseri umani, la sicurezza ha una connotazione negativa perché è legata al rischio, elemento di fronte al quale il cervello dell’essere umano, nel processo valutativo di una determinata attività, tende a fare una smorfia di fastidio e a darvi quindi un’importanza inferiore rispetto alle finalità ultime dell'attività (e ai suoi eventuali vantaggi).
Nella tabella seguente (prosaicamente realistica) ho cercato di evidenziare alcune caratteristiche valutative che concorrono alla decisione sull'investimento, comparando una soluzione antispam e un processo/soluzione anti-frode/fuga di dati.

Spam	Frode/fuga di dati
Caratteristiche salienti	Caratteristiche salienti
pericoloso	pericolosa
fastidioso	costosa
originato dall’esterno (grado di fiducia nell’attore: basso)	originata dall’interno (grado di fiducia nell’attore: medio/alto)

Effetti dell’introduzione di un antispam	Effetti dell’introduzione di una soluzione/processo antifrode
Aumento della produttività	Tracciamento dei flussi informativi/delle attività dei dipendenti
Diminuzione del malware in azienda	Allarmi su movimenti sospetti di dati
Il direttore ha la percezione (reale) di lavorare meglio... e quindi ...i dipendenti lavorano meglio	Individuazione
	Prevenzione

È indubbio che il grande clamore intorno ai pericoli di attacchi causati da malware condizioni fortemente gli investimenti in sicurezza per prevenirne gli effetti. Ma una volta che l’azienda viene protetta maggiormente mediante le relative soluzioni anti-, è opportuno che si focalizzi anche sugli altri problemi, quelli che al momento fanno meno rumore.
Forse una soluzione sta nell’aumentare il rumore di fondo che questo tipo di problemi comporta. Un aiuto viene, negli Stati Uniti e nel Regno Unito, da una serie di normative emanate negli ultimi anni che obbligano le aziende a denunciare ogni incidente di sicurezza che abbia avuto una qualche influenza sui fattori di Confidenzialità, Integrità e Disponibilità dei dati dei privati cittadini. The Breach Blog tiene traccia di questi incidenti dandone notizia non appena divulgati.
Le cause di incidenti che vanno per la maggiore sono le perdite di laptop, di CD/DVD o di chiavi USB, la sottrazione di dati di carte di credito, le fughe di dati in genere, l’errore umano nella gestione di dati sensibili o confidenziali.
Da parte nostra ci impegneremo affinché la conoscenza e le notizie vengano diffuse il più possibile, allo scopo di modificare la frase “Gli investimenti in sicurezza sono spesso guidati dalla necessità di adeguamento a normative o regolamentazioni (compliance).” in “Gli investimenti in sicurezza sono guidati dall’effettiva necessità di protezione delle informazioni in azienda.”

La sicurezza interna e la gestione di fotocopiatrici, scanner, stampanti, ecc ecc

2010-09-03T09:28:00.015+02:00

Qualche settimana fa abbiamo constatato come delle fotocopiatrici non adeguatamente configurate possono trasformarsi in un potenziale forziere di informazioni che una volta lasciata l’azienda può avere destini tra i più svariati (vedi articolo).
Oggi ci colleghiamo all'articolo precedente, riparlando di strumenti di gestione documentale "fisica" e quindi non solo di fotocopiatrici ma anche dei cugini scanner e stampanti.
Ebbene, ultimamente si è consolidato il costume di collegare in rete anche quei dispositivi di business automation che una volta erano relegati di fianco alle scrivanie o nei corridoi: sto parlando di fotocopiatrici (ancora), stampanti, scanner, ecc.
Grazie alla connettività di rete e alla presenza di un web server interno (embedded), tali strumenti possono essere monitorati con maggiore efficacia in modo da rispondere con tempestività a problematiche di toner esaurito, vassoio della carta vuoto, ecc.Alcuni di questi strumenti sono da qualche anno dotati anche di disco interno che permette di mantenere una copia dei documenti copiati o stampati, in modo da poterli recuperare successivamente per chi avesse distrutto o restituito l’originale, o smarrito il file sorgente.A fianco di questi ovvi vantaggi per l’attività di ufficio, si innestano altrettanto ovvie problematiche di sicurezza, ovvero: una volta che la mia stampante è in rete e mantiene copie dei documenti sul suo disco interno, essi possono essere raggiunti con più facilita da un insider.Un esempio è mostrato dalle due immagini qui sotto: grazie a Google, è stato semplice individuare una fotocopiatrice Konica Minolta che espone il suo server web di gestione al pubblico.

In questo caso, sebbene sia presente un disco fisso interno, fortunatamente non ci sono file memorizzati nell’area pubblica.

Così come la fotocopiatrice dell’esempio, altre marche e modelli potrebbero essere facilmente raggiungibili da un normale browser all'interno di una rete aziendale.

Un altro esempio riguarda gli scanner HP: prendendo spunto da un articolo di net-security.org (Corporate espionage for dummies: HP scanners), ho cercato in rete alcuni scanner del produttore americano collegati a domini aziendali, e in questo caso l’analisi si è rivelata più fruttuosa.
Grazie alla funzione Webscan, è possibile “la scansione di foto e documenti dalla periferica sul computer utilizzando un browser Web, anche se si decide di non installare il software della periferica sul computer.”

Questo permette, come ha constatato l’autore dell’articolo sopra citato, di recuperare documenti dimenticati negli scanner collegati in rete.
E' altresì immaginabile un ufficio in cui un impiegato ripone un documento nello scanner per digitalizzarlo e un collega (insider) che ne è a conoscenza lancia il processo di cattura via rete.
Semplice e molto poco rischioso.
Poco più difficile, invece, realizzare uno script che permetta l’automatizzazione del monitoraggio degli scanner di rete, per recuperare.
Infine, attenzione ai dispositivi non protetti da password o a quelli con password impostata dal produttore. Qui sotto uno dei casi reperibili direttamente da Google.

Suggerimenti

Ecco alcune semplici regole che vi consentiranno di abbassare il grado di rischio di questi dispositivi. Naturalmente sono da inserite in ogni specifico contesto, ma la prima di esse è introduttiva alle seguenti:

effettuare un risk assessment di questi dispositivi e definire, dipendentemente da come si desidera gestire il rischio, le contromisure da adottare;
contromisura obbligatoria: cambiare la password di Administrator di default;
evitare di memorizzare sul disco fisso interno della fotocopiatrice le copie dei documenti. E' davvero così indispensabile questa funzione? Probabilmente il 98% degli utenti non ne è nemmeno a conoscenza. Ed é una cifra ottimistica;
nelle fotocopiatrici, se proprio è indispensabile memorizzare dei documenti sul disco fisso, esistono dei moduli del sistema operativo della fotocopiatrice che consentono la crittografia dei documenti.