SicurezzaInformatica

Infrastrutture critiche: poca attenzione alla cybersecurity?

2012-05-17T18:34:00+02:00

Un rapporto del Carnegie Mellon CyLab evidenzia come i CdA e i manager non pongano la sicurezza informatica fra i loro problemi principali.

The survey probed whether senior executives and board members were undertaking basic cyber governance activities, such as reviewing privacy and security budgets and top-level policies, establishing key roles and responsibilities for privacy and security, and reviewing security program assessments. It also asked whether the board was receiving information critical to the management of cyber risks, such as regular reports on breaches and the loss of data.

Il 75% degli intervistati opera nelle infrastrutture critiche. Fra questi, chi opera nel settore energetico e delle utilities ha ottenuto i risultati più bassi.

Ne parla su Forbes l'autrice dello studio.

Se colleghiamo i risultati di questo studio alla notizia di qualche giorno fa (Stati Uniti, infrastrutture critiche nel mirino) il quadro che ne esce non è dei più confortanti.

Qui si possono leggere i risultati della ricerca (pdf).

Network mutanti per aumentare la sicurezza

2012-05-16T18:20:00+02:00

Due ricercatori della Kansas State University hanno ricevuto 1 milione di dollari dall'aeronautica USA per effettuare ricerche su reti che cambiano continuamente la loro configurazione per rendere più difficili gli attacchi.

Da Computerworld:

[...] "network automatically and periodically randomizes its configuration through various methods -- such as changing the addresses of software applications on the network; switching between instances of the applications; and changing the location of critical system data." This makes it a moving-target defense. "The key is to make the network appear to an attacker that it is changing chaotically while to an authorized user the system operates normally."

Mi chiedo se oltre agli hacker questo non renderà la vita più difficile anche a chi quel network lo deve usare.

Stati Uniti, infrastrutture critiche nel mirino

2012-05-10T18:00:00+02:00

Da qualche mese i dipendenti di alcune aziende che gestiscono la distribuzione del gas naturale negli Stati Uniti sono oggetto di attacchi di "spear phishing". Lo riporta l'Agence France Presse in questa nota: US probing cyber attacks on gas pipelines

Lo spear phishing è un attacco di social engineering leggermente differente dal phishing in quanto personalizzato verso un numero limitato di soggetti. Questa "personalizzazione" del messaggio aumenta le probabilità che gli interessati cadano vittima dell'attacco.

In poche parole, chi ha tentato lo spear phishing verso queste organizzazioni sapeva bene quali soggetti stava attaccando, per questo tutta la vicenda assume toni preoccupanti. Si stanno pianificando attacchi informatici alle infrastrutture critiche statunitensi e di altri Paesi?

Joe Weiss, managing partner for the security firm Applied Control Solutions, said the latest attacks highlight the vulnerability of so-called critical infrastructure systems.He said control systems vulnerabilities can be found in the electrical grid, water utilities and others as well as pipeline operators."Once you get to those systems, really bad things happen," he said. "That's where people die."

Cyber-armi USA al servizio dei regimi

2012-05-04T18:00:00+02:00

C'è un interessante articolo di MacKinnon su Foreign Affairs che approfondisce il tema delle dittature che usano tecnologie a stelle e strisce per opprimere la loro popolazione.

A Clunky Cyberstragtegy

Facebook, Youtube, le app e la nostra privacy

2012-02-27T14:04:03+01:00

Un articolo del Sunday Times di Londra, ripreso da Fox News, riporta che l'app di Facebook per smartphone Android avrebbe accesso agli SMS che inviamo e riceviamo.

" Facebook admitted reading text messages belonging to smartphone users who downloaded the social-networking app [...] "

Inoltre, l'app di Youtube per smartphone e tablet Android avrebbe i permessi per accedere alla fotocamera del dispositivo per scattare fotografie e prendere video "in qualsiasi momento".

" [...] others, such as YouTube, are capable of remotely accessing and operating users' smartphone cameras to take photographs or videos at any time. "

Facebook ha risposto a un articolo simile di Business Insider spiegando che la possibilità in lettura e scrittura degli SMS è necessaria solo per alcuni test che l'azienda ha eseguito (non con il pubblico).

" The reason it is on there is because we have done some testing (not with the general public) of products that require the SMS part of the phone to talk to the Facebook App. "

Al Sunday Times Facebook ha dichiarato che, in sostanza, il permesso di leggere e scrivere SMS l'app se lo è preso ma che non lo userà.

" However, other than some very limited testing, we haven't launched anything yet so we're not using the permission. "

Il problema se queste aziende usino o meno i permessi accordati alle loro applicazioni è importante ma non è l'unico. Quante altre app, installate sui dispositivi mobili, hanno accesso a telefonate, SMS, fotocamera e microfono senza chiamarsi Youtube o Facebook, e quindi senza dover rendere conto al Sunday Times e agli altri organi di stampa?

Credo anzitutto che il "furto" di immagini, video e audio da parte di tablet e smartphone apra degli scenari molto preoccupanti. Una qualsiasi app che abbia il controllo della fotocamera potrebbe catturare immagini e conversazioni (il microfono viene attivato durante i video) a insaputa dell'utente.

Spesso si danno molte responsabilità agli utenti, come ad esempio quella di controllare bene i permessi richiesti da un'app prima di installarla. Benché questa sia una buona pratica, non è sempre possibile per un utente prevedere comportamenti malevoli nelle applicazioni. Del resto per molti è normale che l'app di Youtube chieda accesso alla fotocamera, quindi non ci si fa troppi problemi a concedergliela. Come fare per proteggersi in questi casi?

Io vedo tre soluzioni che l'industria dovrebbe adottare, dove l'una non esclude l'altra:

Il produttori di dispositivi mobili dovrebbero trovare delle soluzioni hardware per "allertare" gli utenti quando un'app prende il controllo di elementi sensibili come la fotocamera, ad esempio con una spia luminosa - non intercettabile dal software - posta vicino all'obiettivo che si accende non appena quest'ultimo viene attivato.
Il sistema dei permessi dovrebbe essere più granulare, dove con un segno di spunta l'utente abbia la facoltà di consentire o negare specifici accessi dell'app. Facebook ha dichiarato che l'accesso agli SMS è lì solo per questioni di test? Bene, allora in quel caso l'utente che installa l'app dovrebbe avere la facoltà di autorizzare Facebook ad avere solo gli accessi che necessita, negandogli invece l'accesso agli SMS che tanto non usa. Oggi invece è o tutto o niente.
Vorrei vedere più applicazioni di sicurezza che eseguano un "audit" del sistema e che monitorino determinate risorse del dispositivo, allertando l'utente quando una qualsiasi di queste risorse viene attivata. Mettiamo ad esempio che il microfono si attivi quando l'utente non sta utilizzando il dispositivo. La nostra ipotetica app di sicurezza dovrebbe essere abbastanza intelligente da "capire" che un'altra applicazione sta accedendo al microfono in maniera "sospetta" e dovrebbe quindi allertare l'utente. Lo stesso vale ovviamente per la fotocamera, per gli SMS, e per qualsiasi altra area del dispositivo che l'utente considera "sensibile".

Smartphone e tablet sono entrati nelle nostre vite e nelle nostre case. Hanno accesso diretto alla nostra privacy, anche quando non ce ne rendiamo conto. Il sistema che regola la pubblicazione e l'uso delle app è ancora acerbo, e in questo "far west" è normale che si nasconda qualche bandito. Tenere gli occhi aperti purtroppo non basta più, c'è bisogno di più sicurezza e questa deve provenire dall'industria.

Aumentare la privacy durante la navigazione web

2012-02-23T13:44:02+01:00

Lifehacker propone una semplice guida, specifica per ogni browser, su come aumentare la privacy della navigazione web.

Everyone’s Trying to Track What You Do on the Web: Here’s How to Stop Them

Il Giappone si dota di nuove cyber-armi

2012-01-16T13:32:54+01:00

Il Giappone starebbe sviluppando un malware in grado di risalire alle fonti di una botnet. La realizzazione del codice sarebbe stata appaltata alla Fujitsu, che tuttavia non conferma.

"According to the sources, the program can identify the source of a cyber-attack to a high degree of accuracy for distributed denial of service (DDoS) attacks, as well as some attacks aimed at stealing information stored in target computers."

Fonte: The Daily Yomiuri

Un bug di iOS5 mette a rischio la privacy delle immagini

2012-01-05T13:03:19+01:00

In determinate circostanze è possibile, con l'iPhone bloccato, accedere alle immagini contenute nello smartphone.

Per prevenire indesiderati accessi alla galleria che contiene le immagini scattate dalla fotocamera è possibile utilizzare un codice di blocco che impedisce di visualizzare gli scatti e richiede di sbloccare il device inserendo il codice numerico. Il sistema appena descritto funziona bene, ma in determinate circostanze potrebbe rivelare alcune debolezze.

La nuova falla nella sicurezza di iOS 5 spiegherebbe i suoi effetti tutte le volte in cui la data dello smartphone è portata ad un periodo precedente. Tale evento può verificarsi per impostazioni errate dell’utente o quando si cambia fuso orario.

Maggiori informazioni su Apple.HDblog.

Il vostro smartphone è sotto controllo?

2011-12-01T13:56:44+01:00

Trevor Eckhart, un sysadmin e programmatore statunitense, ha trovato nel suo smartphone Android un rootkit (un programma che tenta di nascondere la sua presenza nel sistema) chiamato Carrier IQ. Questo software, stando alla ricerca di Eckhart, arriva già preinstallato sui telefoni e tiene sotto controllo un gran numero di attività, incluse le chiamate, la pressione dei tasti, gli sms (compreso il testo dei messaggi).

L'omonima azienda produttrice del software afferma che esso è installato su oltre 150 milioni di dispositivi in tutto il mondo. Scopo dichiarato del programma è quello di consentire alle aziende di telefonia di analizzare le cause di problemi come l'interruzione delle chiamate, problemi alle connessioni dati, ecc.

In questo video è possibile vedere Carrier IQ all'opera:

Serve un antivirus per cellulari?

2011-11-23T14:02:56+01:00

Oggi che vediamo le prime soluzioni di sicurezza per dispositivi mobili affacciarsi sul mercato, noto il tipico scetticismo che ha sempre accompagnato il lancio dei prodotti di sicurezza in un nuovo settore. Ricordo come già alla fine degli anni '80 e all'inizio dei '90 fosse ancora diffusa la convinzione che i virus del PC non esistessero, o che colpissero solo i computer degli altri.

Purtroppo, venti anni dopo, questo errore si sta ripetendo nel mondo degli smartphone. Solo perché pochissimi di noi hanno avuto a che fare con il malware per cellulari, non vuol dire che il problema non esista o non sia destinato a espandersi.

Un antivirus da solo non serve, è ovvio, perché il malware per cellulari non ha ancora una diffusione preoccupante. Serve quindi un programma di sicurezza a tutto tondo, con molteplici funzionalità, compresa la protezione dei dati in caso di smarrimento o furto dello smartphone.

A inizio mese sono stato intervistato da Wired su questo argomento: Antivirus per smartphone, servono davvero?

Mentre ieri un articolo su Lifehacker sostiene le ragioni di chi, come me, crede che le app di sicurezza siano utili: Do Android Antivirus Apps Actually Do Anything?

L'articolo chiude con un monito che sottoscrivo in pieno e che ricordo a ogni occasione: "Still, keep in mind that no mobile security app is a replacement for common sense."