Lo smart working non può fare a meno della cyber security

In Italia il lavoro è sempre più smart! In un mercato del lavoro sempre più diversificato e in evoluzione, sono raddoppiati in soli tre anni i cosiddetti “lavoratori agili” o smart worker.

 

Lo smart working è rivolto alle professioni impiegatizie che sono caratterizzate da un’intensa attività lavorativa sui dispositivi mobili, quali ad esempio laptop, tablet e smartphone. La sfida lanciata dallo smart working alle aziende italiane è proprio quella di cogliere le opportunità di un cambiamento organizzativo del mondo del lavoro, fronteggiando da un lato la tutela del lavoratore e dall’altro le esigenze di protezione informatica.

L’azienda deve quindi garantire la protezione dei dati e nel contempo adottare le misure di sicurezza ritenute più idonee per evitare la perdita, la distruzione, la diffusione di dati personali trattati dal dipendente in tale modalità lavorativa. Il lavoratore dal conto suo, invece, è responsabile della custodia degli strumenti lavorativi e della riservatezza dei dati. In passato si sono avuti casi di furti di laptop aziendali riconducibili alla negligenza dei collaboratori di aziende inglesi e americane, che hanno divulgato in Rete dati e documenti di natura riservata.

Per contrastare questo fenomeno si sono diffuse sono nella prassi lo scambio di credenziali tra colleghi oppure l’utilizzo di dispositivi personali per svolgere anche brevi o occasionali attività lavorative. Tuttavia, rimane controverso non solo autorizzare l’uso dei dispositivi personali (BYOD – Bring Your Own Device), ma anche l’accesso alla banda, ai database e agli applicativi aziendali, poiché non si può tracciare un netto confine tra ciò che è patrimonio aziendale e ciò che è il patrimonio personale del dipendente.

Recenti studi sui cyber-attack hanno però evidenziato come circa il 40% degli attacchi alle aziende sono causati da maldestri insiders, a dimostrazione del fatto che anche i sistemi di sicurezza avanzati non sono sufficienti se non viene preso in considerazione il fattore umano, spesso impreparato e disinformato sui processi necessari al fine di una corretta gestione del patrimonio aziendale di dati.

 

Come possiamo tutelare la sicurezza delle aziende nei progetti di smart working?

Sicuramente il nuovo Regolamento Europeo sulla protezione dei dati è un buon presupposto per il lavoro smart, poiché obbliga il titolare del trattamento a prevedere misure tecniche ed organizzative adeguate per garantire la sicurezza informatica. Mentre, infatti, è teoricamente possibile prevedere ogni tipo di processo, il dipendente costituisce la variabile. Al fine di dimostrare di aver messo in atto tutte le misure organizzative adeguate al principio dell’accountability, la formazione diventa uno strumento dirimente come prova della compliance normativa, dimostrando di aver formato i lavoratori adeguatamente in modo che siano in grado di comprendere quali sono i rischi nella gestione dati evitando così di incorrere in pesanti sanzioni.

Smart deve essere in primo luogo l’organizzazione aziendale, per prevenire i rischi connessi alle vulnerabilità informatiche, gestire la governance della multicanalità di dispositivi diversi interconnessi attraverso il cloud e tutelare nel contempo l’autonomia e la privacy dei lavoratori. Nuove tecnologie, infrastrutture di sicurezza e policy organizzative non saranno, infatti, sufficienti se non corroborate da una efficace formazione dei lavoratori.

 

Dott.ssa Simona Piovano
Digital Forensics Consultant

Sicurezza IT nel finance: le linee del G7

Il G7 ha rilasciato una guida degli elementi fondamentali a garanzia della sicurezza IT nel settore finance.

Se è vero che la sicurezza informatica è una questione di fondamentale importanza per le organizzazioni di ogni settore e dimensione, a maggior ragione lo è per il mondo dei servizi finanziari.

La sicurezza IT nel settore finance è importante sia per l’oggetto di cui si tratta, il denaro, che è uno degli obiettivi principali dei cybercriminali, sia per la competitività che caratterizza questo settore. Le organizzazioni finanziarie si trovano infatti a dover operare in tempo reale garantendo tempi di risposta sempre più celeri; ed è proprio la velocità che spesso costituisce un elemento business criticalnei confronti della sicurezza IT.

Queste considerazioni sono state uno dei temi della discussione avvenuta ai livelli più alti della politica e dell’economia mondiale; solo pochi giorni fa, il G7 ha rilasciato una guida degli elementi fondamentali a garanzia della sicurezza informatica nel settore finanziario. Ecco la nostra checklist:

Rendere sicuri e noti i dispositivi, anche quando arrivano dall’esterno

Tutti i dispositivi, in arrivo dall’esterno o fissi in-house, dovrebbero essere noti e sottoposti ad aggiornamenti regolari di security per evitare falle e problematiche di sistema. Le organizzazioni devono richiedere che i dipendenti adottino password basate sulle best practice più recenti: ovvero più lunghe di 8 caratteri, basate su una combinazione di lettere, numeri e caratteri speciali.

Controllare (e limitare) i privilegi

I dipendenti che non hanno la necessità di avere i diritti per lavorare come amministratori di macchina non devono avere tali credenziali. I team di sicurezza delle organizzazioni finanziarie dovrebbero definire delle regole, sia per i dispositivi di proprietà dell’azienda che per quelli che arrivano dall’esterno.

Educare i dipendenti

L’insufficiente formazione e la disattenzione dei dipendenti è una delle minacce peggiori che tutte le organizzazioni e in special modo quelle finanziarie devono affrontare oggi. I dipendenti che ignorano le policy di sicurezza IT e i rischi informatici in generale possono spalancare le porte della loro azienda alle vulnerabilità e i cybercriminali lo sanno bene! Si dovrebbe investire maggiormente nei programmi di training e di formazione dei dipendenti.

Localizzare gli asset critici

È fondamentale che il team IT abbia consapevolezza di dove si trovano gli asset più importanti e di come questi sono protetti. I dati privati non dovrebbero essere accessibili da un unico canale, inoltre sarebbe auspicabile definire il livello di rischio associato ai diversi livelli, oltre che l’impatto che potrebbe esserci se ci fossero effettivamente delle perdite. Una volta che gli asset e le loro location sono stati identificati, è importante condurre dei penetration test per comprendere quanto sia fattibile per individui non autorizzati ottenere l’accesso.

Definire processi e team dedicati

Tutte le organizzazioni dovrebbero avere al loro interno un team dedicato alla gestione della sicurezza IT, non limitato al supporto o alle riparazioni, ma che definisca policy e processi, e si occupi di implementarli e di testarli. Di questo gruppo dovrebbero far parte elementi qualificati ma non necessariamente accomunati da una formazione tecnica. Sarebbe preferibile, infatti, che avessero una competenza multidisciplinare per avere una visione di insieme, astraendosi dal dettaglio tecnologico.

Questo è il compito della Datamatic DSS: grazie al know-how ed alla specializzazione del proprio team, si pone come partner di riferimento in Italia nel mercato della Sicurezza Informatica e dell’informatica Forense per la protezione del patrimonio dei dati, nell’individuazione di tracce digitali al fine di determinare l’autore, le modalità e i tempi nei quali è stato perpetrato l’attacco informatico. La nostra Società mette a disposizione dei clienti privati, pubblici e di operatori IT le più importanti e innovative tecnologie software e hardware presenti sul mercato; verifica inoltre la Sicurezza ICT delle aziende contribuendo alla formazione degli addetti, rende sicure le infrastrutture e i dati aziendali assicurandoli contro i rischi.

 

 

Dott.ssa Simona Piovano
Digital Forensics Consultant

Digital evidence: la prova d’indagine nell’era digitale

Come è cambiata la strategia difensiva nei moderni procedimenti giudiziari con l’introduzione della digital evidence?

Le strategie difensive nei procedimenti fondati sulla prova digitale: sarà questo il principale tema dell’incontro Processo penale 2.0organizzato dall’Osservatorio Penale che si terrà a Roma il 16 dicembre. La prova digitale negli ultimi anni grazie all’espansione delle tecnologie ha assunto un ruolo sempre più rilevante non solo nell’ambito delle indagini digitali ma, più in generale, nella quasi totalità delle attività investigative, andando spesso a rivestire l’ingrato compito di prova principe nei vari procedimenti.

L’importanza della digital evidence nella risoluzione dei casi

La digital evidence non riguarda esclusivamente i procedimenti riferiti ai reati informatici in senso stretto o ai delitti tradizionali perpetrati attraverso le tecnologie, ma può essere fondamentale per la soluzione di qualsiasi caso. Questo accade perché sempre più spesso gli inquirenti si trovano di fronte ad una scena del crimine virtuale, nella quale si rinvengono e si sequestrano cellulari e computer nella speranza di trovare informazioni utili a sostenere l’accusa.

Numerosi sono i casi della recente cronaca nella quale la prova informatica è stata decisiva, si pensi ad esempio al delitto di Garlasco, ove attraverso l’analisi forense del computer si è cercato di verificare l’alibi fornito dall’imputato. Ancora più spesso la digital evidence si affianca alle risultanze delle indagini tradizionali, fornendo così un ulteriore e decisivo elemento di prova.

Cosa cambia con la Convenzione di Budapest

Va considerato anche un altro aspetto: la tesi accusatoria fondata su elementi di prova digitale limita in parte la difesa, poiché causa un vero e proprio stravolgimento del principio cardine del processo accusatorio.

Di regola, infatti, la prova si forma in dibattimento attraverso il contraddittorio, mentre nei procedimenti fondati su evidenze digitali le informazioni rilevanti ai fini del giudizio vengono “cristallizzate” nella fase delle indagini attraverso la relazione del consulente del Pubblico Ministero.

Questo aspetto è ancora più evidente a seguito delle modifiche apportate nel codice di procedura penale dalla legge n.48 del 2008 che, nel ratificare la Convenzione di Budapest sulla criminalità informatica, ha introdotto norme specifiche in tema di sequestro, perquisizione e ispezione informatica.

Alcune best practice per la difesa

Rimangono comunque ampi spazi di manovra per la difesa, atteso che il legislatore si è soffermato più sul risultato da ottenere, che sul metodo da seguire per acquisire la digital evidence. Vengono richiamate le cosiddette best practice limitandosi ad affermare che il modus operandi, non specificato, deve essere tale da garantire:

  • l’integrità dell’originale;
  • la ripetibilità dell’intervento;
  • l’analisi senza modifica dei dati originali;
  • l’autenticazione del reperto ed immagine acquisita (bitstream image).

Tali variabili, oltre che nella fase delle indagini, possono essere utilizzate anche nel corso del dibattimento: attraverso il controesame dei consulenti del Pubblico Ministero e degli agenti operanti, occorre cercare di porre, dove possibile, il dubbio in ordine a ciascuna delle fasi della catena di custodia e del relativo referto, ovvero in relazione all’acquisizione, all’analisi e alla conservazione del dato.

Sempre sul piano difensivo, segnatamente rispetto ai reati commessi per via telematica, è possibile contestare talvolta la riferibilità della condotta all’imputato, atteso che l’indagine informatica porta solo al computer dal quale è partita la condotta, non identificandone l’autore, e considerato che la stessa identificazione effettuata esclusivamente attraverso IP può essere suscettibile di obiezioni.

Le tecnologie forensi di nuova generazione cercano di rimuovere queste aree di incertezza e garantire sempre più in modo indiscutibile chi ha perpetrato il misfatto identificando in modo indiscutibile chi ha fatto che cosa, come e quando. Chiaramente queste tecnologie richiedono competenza e specializzazione e gli operatori necessitano di una formazione adeguata.

 

Dott.ssa Simona Piovano
Digital Forensics Consultant

Stati europei e cifratura dei dati: ecco le differenti posizioni

Quali sono le posizioni dei Paesi Europei rispetto alla cifratura dei dati nelle indagini criminali? Ecco una panoramica di 12 Stati, tra cui l’Italia.

Le forze dell’ordine e gli inquirenti nel corso delle loro indagini spesso s’imbattono in computer, smartphone e dispositivi cifrati ma ogni Paese europeo rispetto alla crittografia ha una posizione diversa!

Questo quanto emerge dal documento del Consiglio Europeo nel quale sono contenute le differenti posizioni degli Stati europei assunte in relazione alla cifratura dei dati nelle indagini criminali. Grazie alla richiesta di accesso fatta dall’attivista danese Rejo Zanger per conto della Ong sui diritti digitali “Bits of Freedom” sono divenute accessibili le risposte di 12 Paesi, tra cui l’Italia.

Panoramica di 12 Paesi europei sulla cifratura dei dati

La Polonia spicca per essere la più esplicita nel richiedere la creazione delle backdoor, ovvero delle «porte di servizio», degli accessi privilegiati a dispositivi e software per le forze dell’ordine a discapito della crittografia forte. Alla domanda su quali misure dovrebbero essere adottate a livello europeo, i polacchi affermano la «necessità di incoraggiare i produttori hardware/software a inserire delle backdoor per le forze dell’ordine o a indebolire la crittografia».

La Germania è di orientamento opposto ed afferma che «Una legge che proibisca o indebolisca la cifratura delle telecomunicazioni e dei servizi digitali è da escludersi, al fine di proteggere la privacy e i segreti industriali». Questa affermazione significa che la crittografia forte protegge non solo i criminali ma anche i cittadini comuni e soprattutto gli affari.

UngheriaLettoniaCroazia e Danimarca, pur non parlando esplicitamente né di backdoor né di indebolimento della crittografia, auspicano genericamente che vengano introdotte nuove leggi a livello europeo al fine di avere una cornice d’azione comune per indagini informatiche.

La Svezia e la Finlandia per ora non vogliono leggi comuni mentre la posizione della Repubblica Ceca non si evince in quanto quella parte è stata cancellata.

La Gran Bretagna – reduce da una legge molto controversa, l’Investigatory Power Act, che amplia la sorveglianza delle attività online dei britannici – auspica «un approccio collaborativo con partner internazionali e l’industria in modo che la cifratura continui a tenere al sicuro i dati delle persone senza permettere a veri criminali di operare oltre il raggio d’azione delle forze dell’ordine».

La posizione Italiana sulla cifratura dei dati

L’Italia dichiara che spesso nel corso delle sue indagini s’imbatte nella crittografia: nella cifratura online, «l’ostacolo principale è dato dalla mancanza di tracciabilità delle connessioni Tor e delle transazioni Bitcoin», mentre «per quanto riguarda la cifratura offline, il problema sorge soprattutto nei confronti di una grande azienda produttrice di dispositivi», pur non facendo esplicito riferimento ad Apple, il pensiero corre alle ultime vicende per lo sblocco degli iPhone!

L’intercettazione di comunicazioni cifrate viene fatta principalmente attraverso l’uso di trojan, cioè di software – anche detti captatori informatici – che hanno il compito di infettare un dispositivo ed acquisire i dati alla fonte, prima che questi siano «blindati» e inviati. Tuttavia, una delle maggiori difficoltà consiste nell’installazione da remoto del trojan sul dispositivo dei sospettati, specie nel caso in cui si tratti di un «noto brand».

L’installazione da remoto di trojan sull’ultimo sistema operativo del cellulare Apple è considerata dagli esperti del settore come la più complessa.

Il documento italiano auspica inoltre che le «legislazioni nazionali potrebbero essere più efficaci se ci fosse l’obbligo per i sospettati o accusati di fornire alle forze dell’ordine le password o le chiavi per decifrare».

Le conclusioni sul problema della cifratura dei dati: mancano le risorse!

In conclusione, dalle risposte fornite si evince come la questione principale non sia tanto nella crittografia bensì nella mancanza di risorse finanziarie ed umane. Sicuramente le forze dell’ordine possono scontrarsi con una cifratura che proprio non si riesce a rompere ma il problema vero è che, anche quando la tecnologia per farlo esiste, spesso alcune forze dell’ordine non vi hanno accesso.

La disponibilità di una cifratura forte è essenziale per proteggere le infrastrutture e comunicazioni digitali e l’idea di avere backdoor native è assurda, l’unico risultato che comporterebbe sarebbe quello che nessuno vorrebbe più comprare un tale prodotto! La questione principale quindi, è investire maggiormente nel settore e creare una normativa/accordo a livello internazionale che permetta alle forze di polizia di accedere in modo più semplice e veloce ai dati conservati dagli operatori.

 

 

Dott.ssa Simona Piovano
Digital Forensics Consultant

Le app per dispositivi mobili sono sicure?

Ci sono app che non compromettono la sicurezza degli utenti che ne effettuano il download; ma per altre si pone la delicata questione della sicurezza dei dati!

Sono più di 80mila gli utenti che hanno scaricato l’applicazione “Giustizia Civile”. Questa app, completamente gratuita, consente ai professionisti del settore ma anche a tutti i cittadini di consultare direttamente dal proprio smartphone o tablet, senza dover andare in cancelleria, i procedimenti civili in corso presso gli uffici di Corte d’Appello, Tribunale Ordinario, Sezione distaccata e Giudice di Pace.

Sicuramente un grande risparmio di tempo, un enorme contenimento dei costi ma soprattutto anche una garanzia di trasparenza offerta ai cittadini; l’app è frutto di un limitato investimento esterno del Ministero della Giustizia, che non ha superato di molto i cento euro, ed è derivato dalla pubblicazione dell’app su Apple store per iPhone e su Google Play per Android.

App e sicurezza: una panoramica

Il proliferare delle app per dispositivi mobili e la relativa semplicità dello sviluppo ha portato il mercato (e di conseguenza le aziende) a puntare fortemente su questo tipo di prodotto, come tutti sappiamo. Alle app più comuni e generiche, la cui sicurezza può essere importante ma non cruciale, si affiancano invece app la cui sicurezza diviene importantissima se non obbligatoria.

Una ricerca condotta dall’operatore di rete statunitense Verizon ha dimostrato che la causa principale di incidenti di sicurezzadall’anno 2000 ad oggi, e che ha coinvolto aziende che offrono servizi finanziari, è riconducibile alle applicazioni esposte nel web.

Ben il 44% del totale degli incidenti è avvenuto a causa di violazioni delle app!

Il dato è davvero sconfortante e dimostra come ad oggi l’approccio alle questioni di sicurezza in ambienti Cloud e Mobile sia davvero tanto lontano dalla standardizzazione e dall’esperienza maturata in altri ambiti. La realtà è che ad oggi sviluppare buone mobile app è facile, renderle davvero sicure è invece molto complesso.

Le questioni inerenti la sicurezza si possono raggruppare in tre categorie:

  • informazioni personali e servizi al cittadino (sicurezza relativa alla Privacy)
    • dati sensibili
    • profilo utente
    • condivisione della posizione tramite GPS
  • pagamenti e transazioni (ad esempio: acquisti on line, Amazon, Ebay etc)
    • gestione dati della carta di credito
    • gestione dei profili dei sistemi di pagamento (es Paypal)
  • servizi finanziari, e bancari (e tutte le app mobile che interagiscono con i nostri risparmi, conti correnti e on line trading)
    • che includono tutti i profili citati, aggiungendo potenziali criticità su quelli che sono i dati “transazionali”, cioè scambiati effettuando un bonifico o anche solo accedendo al proprio conto utilizzando un app.

Da qui si capisce che la gestione delle informazioni deve essere diversa in funzione della complessità e dei diversi livelli dove la sicurezza potrebbe essere compromessa.

I rischi per le app: quali sono?

I rischi di sicurezza a cui sono soggette le app dei dispositivi mobili, oggi si possono raggruppare nelle seguenti aree:

  • il sistema operativo del device mobile
  • il salvataggio dei dati sul dispositivo (es. profilo utente, carta di credito, metodi di pagamento etc)
  • malware installati sul dispositivo che possono leggere informazioni salvate da altre app, tracciare la posizione dell’utente, tracciare i comportamenti dell’utente sul device e infine catturare il traffico di rete in ingresso e in uscita del dispositivo stesso
  • connettività, quindi problemi potenziali quali man-in-the-middle, Wi-Fi pubbliche e insicure, phishing.

La domanda che gli sviluppatori dovrebbero chiedersi è: “Che tipo di precauzioni prendere per garantire la sicurezza degli utenti e delle app?”

La risposta potrebbe essere: l’uso della crittografia e dei certificati SSL, la scrittura di app che rispettino al 100% i dettami imposti dalla casa madre, una verifica funzionale e la ricerca di vulnerabilità prima della diffusione sono sicuramente ottimi passi avanti per la distribuzione di app sicure.

 

Dott.ssa Simona Piovano
Digital Forensics Consultant

Intervista a Pierluigi Paganini sulla cybersecurity

La cybersecurity nelle aziende è tutto: lo dice Pierluigi Paganini, ingegnere che collabora con il Ministero degli Affari Esteri e autore di libri sulla sicurezza informatica.

L’Ingegnere Pierluigi Paganini è un grande esperto di cybersecurity: è membro del Gruppo di Lavoro Cyber G7 2017 presso il Ministero degli Affari Esteri e della Cooperazione Internazionale, e autore di molteplici pubblicazioni e libri sulla sicurezza informatica. Componente del gruppo del Threat Landscape Stakeholder Group dell’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA), è Direttore del master in Cybersecurity della Link Campus University di Roma e consulente del gruppo SIPAFdel MeF, oltre che fondatore del blog SecurityAffairs e capo editore per l’autorevole rivista americana Cyber Defense Magazine.

L’abbiamo intervistato per la B.U. Cybercrime e Digital Forensics della Datamatic Sistemi & Servizi.

I danni economici degli incidenti di sicurezza informatica sono in tutto il mondo in forte ascesa ma quasi l’80% delle aziende europee impiega meno di un quinto del budget IT complessivo per il potenziamento della sicurezza informatica. Secondo Lei, qual è il motivo per cui la cybersecurity viene così sottovalutata?

Mi duole sottolineare che la cybersecurity oggi è ancora percepita dalle aziende come un costo da ridurre. Ciò espone le aziende, i loro clienti e l’intera collettività a rischi significativi. Nella catena della sicurezza, il livello complessivo di protezione è determinato dalla sicurezza offerta dall’anello più debole. Pensare che un incidente informatico sia fine a sé stesso è un grave errore. Come evidenziato in occasione dello scorso World Economic Forum, il rischio relativo ad attacchi cibernetici è correlato a rischi di natura tecnologica, politica, ambientale e sociale. Altro fattore che aggrava la situazione e la scarsa percezione della minaccia cibernetica. Spesso le aziende vittime di attacchi scoprono di essere state colpite mesi, se non anni, dopo l’intrusione nei loro sistemi. Talvolta addirittura non ci si rende neppure contro di essere stati vittime di un attacco.

La cybersecurity dovrebbe essere considerata anche come un asset competitivo per tutte le aziende. Cosa ne pensa?

Lo è! Oggi il patrimonio informativo è la risorsa principale di una azienda. Nell’odierna società l’informazione è potere, è denaro. Una corretta postura in materia cybersecurity implica una rapida risposta agli eventi avversi. La resilienza agli attacchi informatici si ottiene attraverso un processo migliorativo che quindi implica un approccio evolutivo che è garanzia di successo per coloro che operano in tal senso. Consideri inoltre che per un’azienda un attacco ai propri sistemi informativi potrebbe compromettere irrimediabilmente l’operatività. Nessuno investirebbe in un’azienda che rischia di scomparire da un giorno all’altro.

Quali sono gli aspetti della cybersecurity su cui le aziende dovrebbero porre il proprio focus investendo maggiormente per una protezione veramente efficace?

Occorre un approccio nuovo e innovativo alla sicurezza. Paradigmi come Internet of Things, mobile e cloud computing hanno drammaticamente ampliato la nostra superficie di attacco. Per questo motivo è necessario un approccio “security by design,” ovvero l’adozione di stringenti requisiti in materia sicurezza già in fase progettuale.

Il pensiero dell’Ing. Paganini ci trova perfettamente allineati, in quanto anche per noi la sicurezza informatica riveste un’importanza nodale che va valutata nell’ottica di un necessario investimento e non di un costo! La formazione e l’aggiornamento continuo sono gli strumenti più efficaci per far fronte alle minacce informatiche. È fondamentale affidarsi a dei partner competenti che abbiano una approfondita conoscenza sia delle tecnologie disponibili che delle norme di riferimento attuali.

La Datamatic Sistemi & Servizi, azienda leader nel campo della sicurezza IT e punto di riferimento per le forze dell’ordine, è principalmente un distributore di tecnologie di sicurezza IT e di informatica forense e pertanto ha un osservatorio privilegiato rispetto alle novità tecnologiche in questo settore. Si occupa della protezione del patrimonio dei dati aziendali, della prevenzione di attacchi informatici sia dall’esterno che dall’interno e di identificare chi ha perpetrato un’attività illecita seguendo le tracce lasciate all’interno dei sistemi informatici violati.

 

Dott.ssa Simona Piovano

Digital Forensics Consultant

Roma, la capitale dei PC Zombie, o botnet: il tuo è uno di loro?

Roma è la prima città italiana e la terza in Europa con più PC zombie o botnet: rete di device infetti che consentono ai cybercriminali di piazzare attacchi da remoto senza che il proprietario del dispositivo se ne renda conto.

Oltre alla capitale, in Italia le città più esposte sono capoluoghi di Regione come Milano (seconda), Torino (settima) e Firenze (ottava), ma anche città come Arezzo (terza) e Modena (decima), a riprova di come questo fenomeno sia trasversale e indipendente dall’importanza politico-economica delle città prese di mira dai cybercriminali. Nell’area Emea (Europa, Medio Oriente ed Africa) il paese che presenta il maggior numero di botnet è la Turchia: nel 2015 molti attacchi di Anonymous si basarono proprio su questo sistema. Questo è quanto emerso dalla ricerca condotta dallo staff di Norton-Symantec che ha analizzato i dati sul cybercrime relativi all’area.

Cos’è un PC Zombie o botnet?

Una botnet è una rete formata da dispositivi informatici collegati a Internet, infettati da malware e controllata da un’unica entità, il botmaster. A causa di falle nella sicurezza IT o più spesso per inadeguate valutazioni da parte degli utenti o degli amministratori di sistema, i dispositivi vengono infettati da virus informatici o trojan che permettono ai loro creatori di controllare il sistema da remoto.

Nell’universo del Dark Web c’è anche chi noleggia queste reti di PC zombie, andando a creare veri e propri battaglioni di macchine. Può capitare, infatti, che nei casi delle più grandi botnet si mettano in rete milioni di device connessi ad Internet, grazie ai quali è possibile veicolare attacchi di grandi dimensioni rendendo offline qualche portale web, o ancora coordinare un invio massiccio di spam o commettere una miriade di altri reati nel mondo digitale.

In questo segmento di mercato è importante affidarsi a un partner di fiducia che abbia una comprovata esperienza nel settore. La Datamatic Sistemi & Servizi è una delle società maggiormente impegnate nella lotta contro i crimini informatici: più volte ha identificato sistemi botnet e rimosso programmi malevoli da computer di utenti ignari. Anche per questo motivo è diventata un punto di riferimento per le più importanti aziende italiane.

 

 

Dott.ssa Simona Piovano
Digital Forensics Consultant

 

iOS 10: backup a rischio!

Secondo Oleg Afonin di Elcomsoft, un bug introdotto nel nuovo iOS 10 permetterebbe un attacco alle password dei backup su iTunes.

 

Hackerare un iPhone è da sempre un’operazione davvero difficile ma ora la situazione potrebbe cambiare. Un bug introdotto su iOS 10 consentirebbe, infatti, di tentare gli attacchi alle password dei backup su iTunes al ritmo di 6 milioni di tentativi al secondo, mentre su iOS 9 erano appena 2400; a parità di CPU un bruteforce 2500 volte più lento.

 

Un sistema che intendeva aggiungere un ulteriore livello di protezione rischierebbe, invece, di creare un varco verso le informazioni e i dati personali. Ad affermarlo è Oleg Afonin di Elcomsoft, una società di software russa specializzata nei programmi di cracking delle password per il recupero dati sui dispositivi Apple:

“Abbiamo scoperto un’importante falla di sicurezza nel meccanismo di protezione dei backup di iOS 10. Questa falla ci ha permesso di sviluppare un nuovo attacco che è in grado di aggirare certi controlli di sicurezza durante l’enumerazione delle password che proteggono i backup locali su iTunes generati da dispositivi iOS 10”

 

 

Alla base un problema di cambio dell’algoritmo

 

I backup locali, anche se cifrati, rimangono comunque l’anello debole della catena e sono uno dei principali obiettivi sia dei cracker sia delle forze dell’ordine, data la possibilità di violarli con sistemi bruteforce. Secondo l’esperto di sicurezza Thorsheim, il difetto scaturisce dal cambio dell’algoritmo che produce una versione hashed delle password prima di memorizzarle, che su iOS 10 è SHA256eseguito però con una sola iterazione.

 

Certo è che per un cacciatore di dati ottenere la parola chiave che maschera un backup su iTunes significa non solo accedere ai contenuti di un iPhone o iPad ma anche poter entrare nel keychain, cioè in uno spazio di archiviazione che contiene altre password, token di autenticazione per gli accessi alle app, credenziali di login tratte da Safari, informazioni su carte di credito, reti WiFi e altro ancora. La Apple ha replicato che questo problema non impatta i backup effettuati su iCloud ed ha assicurato che presto rilascerà un software correttivo: l’Apple fix.

 

Dott.ssa Simona Piovano

Digital Forensics Consultant

Yahoo!, il più grande furto informatico della storia

Il più grave episodio di hacking subito da un’azienda americana: ecco com’è stato valutato l’attacco subito da Yahoo! I dati sottratti dai pirati informatici ammontano a circa 500 milioni tra nomi, password, indirizzi email, numeri di telefono, domande di sicurezza e date di nascita.

 

Ciò che irrita maggiormente gli utenti però, non è solo cosa sia stato sottratto ma anche quando: il furto risalirebbe al 2014 anche se è stato reso noto solo in questi giorni! L’azienda di Sunnyvale, Yahoo, sta investigando sull’accaduto unitamente all’FBI e al momento la tesi più accreditata è quella che afferma che questo attacco faccia capo ad un gruppo sostenuto da un paese straniero.

È stato il sito Motherboard a riportare che Peace, un cybercriminale già conosciuto alle autorità per aver venduto dati di Myspace e LinkedIn, stava pubblicizzando la vendita degli account Yahoo su un mercato nero noto come The Real Deal. Yahoo aveva replicato: “Siamo a conoscenza di quanto sostiene questo hacker, abbiamo a cuore la sicurezza dei nostri utenti e stiamo indagando per verificare”. La risposta immediata di Peace è stata: “Non vogliono confermare il furto? Meglio per me, così nessuno resetterà le password!”. E così è stato!

 

Va detto che Yahoo è una società che versa in una grave crisi economica e ha un passivo di oltre 4,3 miliardi di dollari. Un vascello fantasma che da tempo aveva tagliato non solo le spese accessorie ma anche quelle vitali per un’azienda, come quelle dedicate alla sicurezza dei suoi sistemi. A caccia di investitori o compratori, non aveva sicuramente interesse alcuno a palesare le sue molteplici vulnerabilità. Da qualche mese era nel pieno delle contrattazioni per la sua acquisizione da parte del gigante americano Verizon, per una cifra che si aggirava sui 4,8 miliardi di dollari ma dopo questo scandalo la trattativa potrebbe essere compromessa.

 

Quali saranno le conseguenze per Yahoo?

La discussione sull’azienda di Sunnyvale si è spostata anche su un piano politico. Al Congresso americano, infatti, il senatore Mark Warner, ex dell’industria hitech, ha affermato che ciò che preoccupa di questo episodio non sono solo le proporzioni ma il tempo impiegato a renderlo pubblico. Warner ha chiesto al Congresso di approvare una legge che renda obbligatorio notificare in tempi brevi gli attacchi alle aziende che comportano una violazione dei dati personali. L’Unione Europea lo ha già previsto nella normativa sulla protezione dei dati adottata quest’anno: le aziende hanno l’obbligo di informare le autorità delle violazioni entro 72 ore da quando vengono scoperte. Il ricercatore Kurt Baumgartner del Kaspersky Lab ha rincarato la dose dicendosi “non sorpreso: poiché Yahoo! aveva già dimostrato in passato di essere pigra nell’implementazione delle tecnologie e delle best practice in fatto di sicurezza…oltre al fatto che in tema di sicurezza, le grandi aziende devono fare da apripista, non aggregarsi”.

 

Insomma, nonostante l’ingente danno arrecato ai numerosi utenti di Yahoo!, il danno che sta ricevendo Yahoo! come azienda sembra ancora più gigantesco confermando ancora una volta l’importanza centrale per la aziende di investire in sicurezza. L’utilizzo di social o di caselle di posta personali da un PC aziendale, rappresenta una grave mancanza da parte dei dipendenti poiché possono permettere a Cybercriminali di acquisire account privilegiati, diffondere malware e perpetrare truffe a loro insaputa, con il grave rischio di trovarsi invischiati in procedimenti anche di natura penale.

 

La Datamatic Sistemi & Servizi, azienda leader nella Sicurezza, ha al suo interno una divisione che si occupa in modo specifico di Cybersecurity ed Informatica Forense, tra i suoi compiti vi è anche quello di fornire consulenze e corsi di formazione per addestrare gli utenti sul comportamento da tenere in relazione alla sicurezza digitale, sia aziendale che privata.

Un’azienda che non investe in Sicurezza, non investe nel proprio futuro!

 

Dott.ssa Simona Piovano

Digital Forensics Consultant

Violazione informatica e legge italiana

Qual è il luogo di commissione di un reato quando si tratta di violazione informatica? Se server e intruso sono in due posti diversi, come deve agire la legge?

 

Alzi la mano a chi di voi non è mai capitato o non è stato mai sfiorato dal pensiero di dare una sbirciatina di nascosto allo smartphone del proprio partner oppure di curiosare in una cartella sul desktop del computer di un collega d’ufficio! Il consiglio è di abbandonare l’idea perché queste condotte, anche se in apparenza innocue, in alcuni casi potrebbero esporvi a rilevanti conseguenze sotto il profilo penale.

L’imponente sviluppo di internet e le sue innumerevoli applicazioni nella vita quotidiana delle persone sia in ambito privato che professionale ha comportato la trasmigrazione di molti crimini tradizionali sulla Rete. Da qui nasce la concreta esigenza da parte del legislatore italiano di porre ai ripari regolamentando queste nuove fattispecie giuridiche, operazione decisamente complessa vista la mole e la varietà dei reati informatici che mal si attagliano al nostro attuale corpus normativo.

Nel Codice Penale, troviamo l’Articolo 614 c.p. con oggetto la violazione di domicilio e il successivo Articolo 615 ter c.p. con oggetto l’accesso abusivo ad un sistema informatico o telematico. Quest’ultimo articolo appare subito molto generico per determinare il luogo di commissione del reato sia per quanto riguarda l’estensione dell’oggetto giuridico, ovvero il domicilio informatico, sia per quanto riguarda l’elemento soggettivo del reato, ovvero il dolo generico.

A causa di queste difficoltà è stato necessario l’intervento della Corte di Cassazione che, dirimendo numerose controversie sui crimini informatici, ha fornito una regolamentazione giuridica, tra queste di rilevante importanza vi è la pronuncia sul locus commissi delicti ovvero il luogo di commissione del delitto. Affinché sussistano gli estremi per una responsabilità penale è necessario che un soggetto s’introduca in un sistema informatico o telematico protetto da misure di sicurezza (Codice della privacy, allegato B “Disciplinare tecnico in materia di misure di sicurezza”) o che si trattenga all’interno di quest’ultimo contro la volontà espressa o tacita di chi ha il diritto di escluderlo. L’accesso abusivo può avvenire a distanza tramite una rete informatica o direttamente, quando l’intruso è a diretto contatto con il sistema violato, ad esempio accedendo abusivamente a un terminale e visualizzando i dati contenuti al suo interno.

Le maggiori problematiche nello stabilire quale debba essere il luogo in cui viene consumato il delitto sorgono proprio quando server e intruso sono in due posti diversi e lontani tra loro.

In passato, prima della pronuncia della Corte di Cassazione, per stabilire dove il delitto fosse stato consumato vi erano due correnti giurisprudenziali tra loro contrapposte: per la prima, il luogo di consumazione del delitto era quello dov’era collocato il server mentre per la seconda, dove si trovava fisicamente l’intruso con il suo computer. Grazie alla sentenza n. 17325/2015 della Suprema Corte si è fatta chiarezza stabilendo che il locus commissi delicti è da intendersi dove è stata posta in essere l’unica condotta umana di natura materiale ipotizzabile caratterizzata dal digitare, tramite una postazione remota, delle credenziali di autenticazione premendo successivamente invio, così da superare le misure di sicurezza ed accedere ai dati.

Questa decisione, oltre a dirimere una questione di grande rilievo, comporta anche due importanti conseguenzeda una parte viene fornita una definizione “unificata” di sistema informatico come un insieme di sistemi interconnessi e coordinati da una postazione remota centrale da identificare come luogo di riferimento di tutte le operazioni che si verificano in seguito, e dall’altra viene riaffermato il principio del giudice naturale indicando come giudice competente quello dove si è svolta la condotta umana.

 

Dott.ssa Simona Piovano

Digital Forensics Consultant