Il sito del CLUSIT

Gruppo CLUSIT

  • Tutti i soci, ed i dipendenti di aziende socie coinvolti nella vita del Clusit, possono chiedere di aderire al gruppo su LinkedIn facendo clic su questo link.
    Ogni richiesta deve essere approvata manualmente, in genere nel giro di un paio di giorni.

Blogroll

Accessi

Creative Commons

Tecnologia

06/12/2012

Clusit premio tesi 2013

anche quest'anno, il Clusit ha indetto il premio "Innovare la sicurezza delle informazioni", che intende dare un concreto riconoscimento alle tesi universitarie più innovative in
materia di sicurezza informatica.
Le prime 5 tesi classificate saranno premiate, e la premiazione avverrà in occasione di Security Summit 2013.
Le tesi devono essere inviate non oltre il 31 dicembre 2012.
Si tratta di un'occasione per dare visibilità all'attività degli studenti e dei gruppi di ricerca, anche grazie alla "bacheca tesi" che conserva i dati relativi alle tesi di tutte le edizioni del premio,
al sito https://tesi.clusit.it
Per qualunque ulteriore chiarimento o necessità potete scrivere a: premiotesi@clusit.it

Scritto da alle 09:10 nella Sicurezza, Tecnologia | | Commenti (0) | TrackBack (0)

|

30/10/2012

Stampanti multifunzione e protezione delle informazioni

Abstract

Sempre più frequentemente aziende ed organizzazioni si dotano di stampanti multifunzione di rete (MFP – Multi-Function Printers) per un numero sempre maggiore di funzioni (stampe in rete, scansione di documenti e relativo OCR dei testi, scansione ed invio di fax e via e-mail, etc.).

D'altra parte queste stampanti tendono sempre più ad incorporare in prodotti di fascia media e bassa funzionalità che un tempo erano riservate soltanto alle più costose stampanti dipartimentali.

La continua evoluzione delle funzionalità di questi dispositivi, unita al continuo miglioramento della loro accessibilità ed usabilità, nascondono sempre più all'utente (sempre meno qualificato) e soprattutto ai responsabili dei sistemi e della sicurezza delle informazioni, la loro complessità e le vulnerabilità che vengono introdotte negli schemi di sicurezza progettati.

In questo articolo la trattazione si concentra sulla sola protezione statica delle informazioni (data at rest).

Obiettivi

L'obiettivo principale che ci l'articolo si prefigge è naturalmente quello di fornire indicazioni utili ad assicurare che non escano dati riservati e sensibili (data leak) in occasione del ritiro, della sostituzione o della dismissione di stampanti guaste o ritenute obsolete.

Come ulteriore obiettivo l'articolo si propone fornire suggerimenti per adeguare i processi aziendali, al fine di mettere in linea il prima possibile le nuove stampanti (soprattutto in caso di sostituzione), evitando che gli utenti si trovino nelle condizioni di dover trovare metodi alternativi o comunque fuori dalle policy di sicurezza stabilite, per poter continuare ad operare regolarmente.

La tecnologia delle MFP

Le nuove stampanti multifunzione (un tempo denominate anche 'dipartimentali') fungono da fotocopiatrici, stampanti di rete e scanner in rete.

A corredo forniscono anche funzionalità di server di stampa (con la capacità di gestire internamente le code di stampa e di produrre più copie), così come di memorizzare le scansioni e fotocopie effettuate, per poi stamparle, o inviarle via mail, via fax o attraverso il trasferimento dei file sui computer degli utenti.

Tutte queste funzionalità implicano non solo un sistema operativo complesso, con molti protocolli di comunicazione e capacità di OCR, ma soprattutto che vi sia un sufficiente spazio nel sistema per la memorizzazione dei file da stampare e dei documenti copiati o scanditi.

Questo spazio viene sempre più ottenuto dotando la MFP di un hard disk interno (tipicamente di quelli che si utilizzano anche per i personal computer).

Ad oggi hard disk di decine di GB sono la norma.

Il ciclo di vita delle MFP

Più o meno come tutti i dispositivi, le MFP vengono acquistate (o prese in leasing), installate, utilizzate, manutenute e riparate, ed alla fine restituite o rottamate.

Dal momento del primo utilizzo, negli hard disk interni vengono memorizzati file relativi a documenti stampati, fotocopie, scansioni e fax inviati.

Ed anche se questi vengono 'cancellati' quando le operazioni richieste sono state completate, in realtà il loro contenuto permane sul disco fino alla loro occasionale sovrascrittura, alla stessa stregua di quanto accade in un normale computer.

Tenendo conto che mediamente i documenti che vengono stampati hanno dimensioni dell'ordine di poche decine o centinaia di kilobyte, e le scansioni di pochi megabyte, è facile immaginare la quantità di informazioni che restano 'imprigionate' su questi dischi.

E quando le MFP escono di scena, lo fanno in vario modo: ritirate dalle società di leasing, smaltite come apparecchiature elettroniche, o cedute ad altre aziende come usato (a volte anche donate ad enti di beneficenza).

Fino a quando?

Il problema è: fino a quando i dati rimangono conservati sugli hard disk?

La qualità dei prodotti e degli hard disk è ormai ottima, e quindi è abbastanza normale che i dischi arrivino al termine della vita della MFP in azienda, e le sopravvivano.

In ogni caso, l'hard disk in esse contenuto, ed i dati in essi ancora contenuti, escono in modo non controllato ed inconsapevole dall'azienda.

Capita anche che gli hard disk si guastino, ed in questi casi un tecnico lo sostituirà, spesso in garanzia, con un funzionante, portandosi via la parte guasta.

Cosa minaccia i nostri dati

La principale minaccia è certamente la mancanza di consapevolezza: il non sapere quanto valgano i nostri dati (non tanto per noi, quanto per altri) e che questi vengano memorizzati su comuni hard disk interni.

Sono anche da considerare come critiche l'irrazionale e diffusa certezza nel personale referente che i dischi vengano effettivamente distrutti e l'incosciente illusione che porta a pensare: 'in fondo, a chi possono interessare?', che prevengono l'adozione di qualsiasi misura per la loro protezione.

Inoltre è importante sapere che esistono già molti tool (dimostrativi e non) che consentono di accedere remotamente al contenuto della memoria e dei dischi delle MFP; alcuni consentono anche lo spostamento, la modifica e la cancellazione dei file memorizzati, rendendo quindi possibile ottenere copia dei documenti acquisiti, copiati o stampati direttamente attraverso la rete.

Esiste già del malware disegnato specificamente per le stampanti e già utilizzato : gli obiettivi possono variare dal procurare danni, allo stampare documenti indesiderati, fino allo stampare documenti memorizzati o a trafugarne copie.

I Rischi

I principali rischi sono quelli derivanti dal valore delle informazioni trattate, e da quanto sia più o meno facile accedervi in modo non controllato.

Mentre possono considerarsi come minori i rischi legati all'indisponibilità ed all'integrità dei dati (come già si è anticipato, l'affidabilità delle MFP e del loro hardware è oggi più che adeguato alle esigenze di qualsiasi organizzazione), sono invece molto elevati tutti i rischi relativi alla diffusione non autorizzata dei dati trattati, con le relative implicazioni e conseguenze economiche, civili e penali per chi non li ha protetti adeguatamente.

 

Tra le principali vulnerabilità troviamo:

  • la mancanza di protezione del contenuto dei dischi (crittografia, etc.);

  • Il trafugamento degli hard disk, operata da persone che hanno accesso alle stampanti (a volte anche il personale delle aziende di pulizie, che hanno libero accesso ai locali);

  • La copia dei dischi, effettuata più o meno nelle medesime condizioni, con il vantaggio che il furto delle informazioni non viene rilevato facilmente;

  • la possibilità che hard disk dismessi vengano rivenduti attraverso canali come EBay (cosa molto meno probabile di quanto avvenga per i dischi dei computer, ma comunque da non escludere);

  • in ogni caso, la possibilità che il contenuto dei dischi venga copiato in occasione di interventi di manutenzione on site, ed ancora più probabilmente off-site.

Su cosa si può intervenire

Un considerevole aumento della protezione dei dati può essere ottenuto agendo sulle caratteristiche dei prodotti e sui processi aziendali.

 

Per quanto riguarda le MFP, esistono produttori che implementano nelle proprie MFP caratteristiche quali:

  • funzioni di protezione del contenuto dei dischi mediante crittografia;

  • funzionalità di auto-cancellazione dei job di scansione e stampa completati;

  • formattazione (poco sicura) o wiping dell'hard disk;

  • accessibilità via rete / browser delle funzioni di protezione e di wiping del disco;

 

Relativamente ai processi organizzativi, è possibile intervenire in modo relativamente semplice ed a basso costo su vari aspetti:

  • acquisti: introdurre nelle procedure di valutazione e selezione dei prodotti, e specificamente delle MFP, l'analisi delle caratteristiche di sicurezza implementate nei prodotti, stabilendo almeno alcuni requisiti minimi come la crittografia forte dei dischi interni e la possibilità di effettuarne il wiping via rete;

  • asset management: tenere traccia di quali MFP utilizzino dischi interni, di quale sia il livello di sicurezza degli uffici a cui sono date in dotazione, e se i dispositivi siano dotati o meno di funzionalità per il wiping dei dischi (locali e via rete);

  • asset management: lo spostamento di MFP da un ufficio all'altro deve essere gestito, sia per prevenire il fatto che il contenuto dei loro dischi migri verso uffici con criteri di sicurezza diversi (e spesso inferiori), sia per evitare che la ritardata riconfigurazione dei computer degli utenti porti a continuare ad inviare stampe e fax ad apparati ormai ubicati in uffici o locali diversi;

  • processi interni di manutenzione: il personale interno preposto ad effettuare o coordinare interventi di manutenzione sulle MFP deve essere istruito sul fatto che non devono essere asportati dischi o intere MFP senza che sia stato effettuato (personalmente o dal personale incaricato) il wiping dei dischi; nel caso le MFP non siano dotate di funzionalità native di wiping dei dischi, è da includere nel processo di manutenzione l'estrazione del disco ed il wiping via software su computer appositamente predisposti;

  • gestione del contratto: sia per acquisti che per contratti di leasing, includere clausole che prevedano il wiping dei dati presso il cliente, prima della rimozione dei dischi, sia in caso di sostituzione dei dischi in manutenzione sia in caso di dismissione delle apparecchiature; in alternativa, prevedere la consegna dei dischi interni in caso di guasto degli stessi, o comunque al momento del ritiro dell'apparato (questo caso potrebbe essere di difficile applicazione nel caso le MFP da smantellare venissero conferite direttamente ad aziende di ritiro rifiuti, nel qual caso l'azienda dovrebbe dotarsi di personale adeguatamente formato per effettuare l'operazione autonomamente);

  • a corredo del punto precedente, le aziende dovrebbero anche dotarsi di dispositivi di degaussing (ed eventualmente anche di crushing) dei dischi non più funzionanti, in quanto ne risulta impossibile il wiping via software;

  • per quanto possibile, evitare la collocazione delle MFP ad aree ad accesso non controllato;

  • gestione della sicurezza: al momento dell'attivazione, sostituire le credenziali di default dell'utente amministrativo delle MFP con altre debitamente conservate e protette;

  • gestione della sicurezza: soprattutto per le MFP installate in corridoi o in locali ad accesso non controllato, prevedere l'obbligo di restringerne l'utilizzo mediante chiavi hardware o password personali di accesso e di avvio dei job di stampa;

Problemi ricorrenti nella realtà quotidiana

Constatato il fatto che il mondo reale è in generale diverso da quello teorico che si è progettato per i propri processi organizzativi, soprattutto in organizzazioni molto grandi e complesse in cui esistono molte funzioni scarsamente integrate, è opportuno evidenziare anche alcune situazioni che possono creare delle brecce nel modello di gestione della sicurezza progettato:

  • dismissione non pianificata: in caso di manutenzione o di ritiro degli apparati, l'ufficio preposto (economato, o chi per esso) spesso informa all'ultimo momento l'assistenza interna (se non addirittura a fatto ormai compiuto) della sostituzione di dischi guasti o della dismissione e ritiro dell'apparato, così da impedire di intervenire in qualsiasi modo per effettuare il wiping dei dischi;

  • rimozione non concordata delle MFP: analogamente, l'ufficio economato concorda con le aziende di leasing il ritiro delle MFP per la loro sostituzione senza darne internamente notizia, e si muove autonomamente per la messa fuori linea ed il trasferimento delle stampanti in magazzino: diviene quindi difficile e molto oneroso per l'assistenza, se non addirittura infattibile, intervenire per il wiping dei dischi; se la gestione dell'asset non è effettuata in modo più che consistente, può addirittura accadere di non sapere esattamente quali stampanti siano state rimosse, e quindi valutare anche quale sia il reale rischio associato alla criticità dell'apparato;

  • migrazione non gestita di MFP tra uffici: è abbastanza normale che di tanto in tanto vengano dismesse le stampanti più datate od obsolete e vengano sostituite con altre più recenti e generalmente migliori; in questi casi può verificarsi una migrazione 'a cascata' degli apparati dagli uffici più importanti verso quelli meno importanti, in modo da fornire ai primi i prodotti più nuovi; queste operazioni avvengono a volte ad insaputa degli altri processi di gestione, per cui non risulta possibile effettuare tempestivamente il wiping dei dischi e la riconfigurazione delle postazioni utente, cosicché stampe lanciate da un ufficio possono finire su stampanti in altri uffici, o che scansioni vengano inviate via fax o via mail ad indirizzi precedentemente configurati per altri uffici;

  • mancato aggiornamento delle PDL: può anche accadere che non sia possibile effettuare gli appropriati interventi di riconfigurazione delle postazioni utente per indisponibilità o per l'assenza (anche prolungata) dello stesso, con il rischio che, una volta rientrato, l'utente non sia informato dei cambiamenti, e prosegua ad inviare stampe e fax su apparati ormai trasferiti in altri uffici.

Conclusioni

Viviamo in un periodo di intensa evoluzione tecnologica, in cui l'estrema usabilità delle stampanti multifunzione e la loro semplicità d'uso nascondono ad utenti ed esperti la loro intrinseca complessità tecnologica e le vulnerabilità che questa porta in un contesto ignaro o comunque non motivato alla gestione dei rischi.

Queste vulnerabilità vengono già sfruttate in vari modi, e nonostante il supporto più o meno evoluto implementato all'interno dei dispositivi dai produttori, il loro utilizzo e sfruttamento è demandato ai processi che le organizzazioni predispongono e mantengono al proprio interno.

Poche aziende ed organizzazioni hanno sviluppato e maturato al proprio interno processi in grado di gestire completamente la sicurezza delle informazioni trattate attraverso le stampanti multifunzione.

La maggior parte delle aziende e delle organizzazioni non ha un'adeguata consapevolezza del valore delle informazioni che gestisce e dei rischi di trafugamento e diffusione non controllata che su di esse incombono.

Ciò nonostante, adottando una buona selezione dei prodotti e poche modifiche ai processi aziendali, è possibile aumentare sensibilmente il grado di protezione delle informazioni gestite.

 

Scritto da alle 08:06 nella Imprese, Sicurezza, Tecnologia | | Commenti (0) | TrackBack (0)

|

27/09/2012

Se lo smartphone personale sostituisce il telefono aziendale

BYOD sta per Bring Your Own Device e indica la pratica di utilizzare i propri dispositivi personali (principalmente smartphone e tablet) per usufruire di alcune risorse aziendali come la mail, i repository documentali, applicativi interni, database e via così.  L’enorme velocità con cui tale pratica si è diffusa dipende dal fatto che risulta attraente sia per gli utenti che per le aziende. 

Il motivo per cui il Byod piace alle aziende è abbastanza chiaro. La possibilità che un dipendente tenga 24 ore su 24 a portata di sguardo la mail aziendale è una ghiotta opportunità che nessun datore di lavoro si lascerebbe sfuggire. D’altronde, come dire di no al dipendente stacanovista che vuole poter rispondere anche sul divano o dal bar alle mail di lavoro? Come poter negare al dirigente la possibilità di visualizzare o lavorare a quell’importante presentazione dal suo tablet? Impossibile e controproducente, soprattutto se questa possibilità per le aziende ha un costo (apparente) pari  a zero.

Mentre in passato questo genere di dispositivi era esclusivo appannaggio di quadri e dirigenti, oggi questi oggetti sono ormai nelle mani di tutti e sempre più utenti decidono ad esempio di utilizzare il proprio smartphone per lavorare con la mail aziendale. Che piaccia anche agli utenti penso sia già chiaro a molti di noi. Alcuni esempi: praticità nell’utilizzo di un unico dispositivo, non dover portare con sé il portatile nel caso in cui si abbia la necessità di rispondere ad una email o semplicemente l’uso di un dispositivo con cui si prova maggior comfort di utilizzo. Il Byod, accontentando sia gli utenti che le aziende, sembra quindi una pratica vincente sotto ogni punto di vista ma in realtà nasconde diverse insidie legate alla sicurezza dei dati gestiti.

Il problema più evidente è il furto dei dati. Nel caso in cui il dispositivo venga perso (o rubato) i documenti ed i dati relativi agli account in esso contenuti potrebbero essere utilizzati per scopi illeciti. Anche l’accesso temporaneo ai dati potrebbe essere un problema. Spesso infatti capita di lasciare incustoditi i propri dispositivi, privi di una protezione adeguata. Nell'arco di pochi secondi una email o un documento importante potrebbero essere inoltrati o visualizzati senza permesso. Da non sottovalutare inoltre la possibilità che il dispositivo si trasformi in un vettore di diffusione dimalware, collegandosi direttamente alla rete aziendale tramite wireless eludendo i controlli dei firewall perimetrali. Il numero di virus per dispositivi mobili in grado di infettare normali computer è infatti in forte crescita. 

Mettere in atto delle contromisure non è così semplice. Mentre i dispositivi aziendali possono essere facilmente gestiti centralmente tramite una piattaforma di Mdm (Mobile Device Management), questo diventa più complicato quando il ciclo di vita del dispositivo è gestito interamente dall'utente. In caso di furto del dispositivo, ad esempio, la cancellazione da remoto dei dati presenti nel telefono (remote wipe) sarebbe in ogni caso buona norma, ma se nel dispositivo sono contenuti dati ed account aziendali (username, password, email, documenti, etc) diventa assolutamente necessaria. 

L’unica soluzione per riuscire ad ovviare a questi problemi è - come spesso capita nel mondo della sicurezza informatica - un approccio duale: umano e tecnologico. Dal punto di vista umano, gli utenti dovranno essere resi edotti riguardo i pericoli che il Byod porta e quali sono le buone norme di comportamento da adottare affinché il Byod non si trasformi in un boomerang. Dal punto di vista tecnologico, la soluzione è riuscire ad intercettare il momento in cui il dispositivo tenta di accedere alle risorse aziendali ed obbligare il dispositivo ad ottemperare ad alcune regole di base. L’utilizzo di un codice di sblocco, l’installazione di un software che permetta il remote wipe e la negazione della possibilità di accedere alle risorse aziendali con un dispositivo compromesso (jailbreak root) sono l’esempio di alcune policy, non troppo invasive, che potrebbero arginare i principali problemi. 

Da una parte le aziende devono aver chiaro che, nonostante il Byod sia una pratica da incentivare, non ha un costo pari a zero. Dall’altra noi utenti dovremmo comprendere che non vi è più alcuna differenza tra un computer e un tablet (o uno smartphone), in quanto il valore dell’oggetto che portiamo con noi, che sia aziendale o meno, è direttamente proporzionale al valore delle informazioni in esso contenute. 

Diamo tutti per scontata e necessaria la presenza di una password sul computer che usiamo per lavoro, mentre molto spesso non siamo disposti ad accettarla su un tablet o uno smartphone che gestiscono gli stessi dati. Perché?

Scritto da alle 19:10 nella Imprese, Policy, Tecnologia, Web/Tech | | Commenti (0) | TrackBack (0)

|

21/02/2012

Due settimane da Incubo per la Cyber Security (in Olanda)!

Due settimane da Incubo per la Cyber Security (in Olanda)! 

Le prime due settimane del Febbraio 2012 saranno ricordate a lungo dagli specialisti di Cyber Security, e non solo da quelli olandesi.  Ecco il racconto di Rob Hulsebos, esperto olandese di CyberSecurity 

Come tutti sappiamo, buona parte del territorio olandese è sotto il livello del mare: ci sono molte dighe e sistemi per la gestione interna delle acque a garantire che gli olandesi non finiscano con piedi, e non solo quelli, a mollo. 

Ecco qui di seguito l'incredibile sequenza ...

Continua a leggere " Due settimane da Incubo per la Cyber Security (in Olanda)!" »

Scritto da alle 17:12 nella Current Affairs, Documenti, Imprese, Incidenti, Sicurezza, Tecnologia, Weblogs | | Commenti (2) | TrackBack (0)

|

09/02/2012

Come promuovere la sicurezza nei prodotti commerciali.

Giorno dopo giorno le aziende ed i sistemi di organi istituzionali sono sempre più oggetto di attacchi da parte di malintenzionati e di attivisti politici.

Proteggersi da questi attacchi è divenuta un'attività sempre più onerosa, sia come competenze richieste, sia come costi da sostenere.

Approfondendo, ci si rende conto che i costi che l'azienda deve sostenere sono, in buona parte, alla necessità di mantenere allo stato dell'arte la configurazione dei propri sistemi e le competenze del proprio personale, oltre che alla necessità di 'acquistare' attacchi controllati sotto forma di assessments e penetration tests.

Un altro costo da mettere in conto, seppur difficilmente quantificabile, è il danno derivante da attacchi effettivamente riusciti e la difficoltà, se non l'impossibilità, di assicurarne il rischio, in quanto non sono disponibili sufficienti dati, e sufficientemente attendibili, perché le assicurazioni possano stabilire premi adeguati.

Se le aziende non sono di fatto in grado di proteggersi adeguatamente, e se le compagnie di assicurazione non possono essere d'aiuto in caso di incidente, esiste qualche modo per ridurre e/o trasferire il rischio, e se si, a chi?

Facendo mente locale sull’attuale ciclo di gestione della sicurezza delle informazioni, non possiamo non notare che in buona parte questa ruota intorno ad un gran numero di prodotti commerciali (i cosidetti ‘off the shelf‘: router, firewall, IDS, IPS, sistemi operativi, web server, RDBMS, ...).

Di fatto, le organizzazioni spendono una notevole parte del proprio budget per la sicurezza non tanto nell'acquisto di prodotti, ma nella loro personalizzazione, aggiornamento e manutenzione.

E questo accade perché in realtà i produttori riducono i propri costi trasferendoli sul cliente.

Di fatto, distinguiamo tra prodotti consumer e professionali basandoci semplicemente sul prezzo e su qualche eventuale 'bollino di qualità' eventualmente riportato sui manuali.

Come i giornali dimostrano, né il prezzo né i bollini risolvono i nostri problemi: dobbiamo per forza passare il nostro tempo ad informarci ed aggiornarci, a scaricare ed applicare patch, eventualmente fermando i sistemi e creando disservizi al nostro business, eventualmente sostenendo anche i costi per ambienti di test ove provare le patch prima dell'effettivo deployment negli ambienti di produzione.

Sarebbe quindi interessante invertire la tendenza a trasferire il rischio, riportandolo all'origine, là dove il prodotto nasce.

È vero che la perfezione non esiste, ma quante delle patch di sicurezza che applichiamo periodicamente avrebbero potuto essere implementate già durante la progettazione e realizzazione del prodotto?

L'ideale sarebbe quindi quello di innescare un circolo virtuoso, con l'obiettivo di realizzare prodotti talmente affidabili da poter tagliare drasticamente i costi di manutenzione, spostando le risorse verso la progettazione.

Ne consegue naturalmente la domanda: come incentivare l’implementazione della sicurezza già alla fonte, invece che rimandarla alle fasi post-market? Che tradotta in un’altra forma, potrebbe essere: come convincere i clienti a spendere di più al momento dell’acquisto?

Certamente qualsiasi organizzazione acquisterebbe molto volentieri, ed anche ad un prezzo superiore a quello attuale, prodotti che forniscano non solo garanzie sulla sostituzione dell'hardware guasto, ma anche sull'aggiornamento continuo a cura del fornitore, ed un'assicurazione per coprire i danni derivanti dallo sfruttamento di vulnerabilità dei propri prodotti.

All'organizzazione rimarrebbero, di fatto, soltanto i costi per la progettazione della propria sicurezza e per la personalizzazione dei prodotti acquistati.

Occorre quindi lavorare sui seguenti aspetti:

  • aiutare i clienti (e specificamente il management) a valutare i costi complessivi (TCO) della sicurezza, fornendo degli strumenti per quantificare i costi di aggiornamento e patching nel tempo (senza dimenticare almeno una quota di rischio per eventuali breaches);
  • aiutare le compagnie di assicurazione a sviluppare prodotti assicurativi specifici per i danni derivanti da violazioni dei sistemi informativi sfruttando le vulnerabilità degli apparati e del software in commercio, creando così un mercato nuovo ed aprendo grandi opportunità commerciali, considerando quanto le tecnologie dell'informazione siano diventate pervasive e fondamentali per il business;
  • aiutare i produttori a perseguire l'obiettivo commerciale del 'prodotto più sicuro' (un po' come già avviene nel settore automobilistico), sia sviluppando strumenti di verifica sempre più completi, sia promuovendo la disclosure di tutti gli incidenti dipendenti dai propri prodotti;
  • spingere i produttori a corredare i propri prodotti con polizze di assicurazione per il cliente: una maggior sicurezza del prodotto comporterà quindi premi sempre più bassi ed una maggior competitività commerciale, non solo per il brand, ma anche per i prezzi.

In qualche modo, l'Europa sta effettivamente andando nella direzione dell'obbligo della disclosure dei data breach per le aziende (cfr. proposta di revisione della normativa europea del 25 gennaio 2012); la proposta presentata in questo articolo in realtà mira a pubblicare le effettive responsabilità, almeno quando queste siano riconducibili ad apparati o a software.

 

In conclusione, il miglior bollino di qualità per il cliente è la fiducia che il produttore dimostra di avere nell'affidabilità dei propri prodotti, attraverso le garanzie e le responsabilità che conferma di volersi assumere.

Intorno a questa fiducia possono crearsi grandi opportunità di risparmio per i clienti, maggiori opportunità di revenue per i produttori, ed aprirsi nuovi mercati per le compagnie di assicurazione.

Scritto da alle 23:47 nella Imprese, Opinioni, Sicurezza, Tecnologia | | Commenti (0) | TrackBack (0)

|

24/01/2012

20 critical controls for effective cyber defence: CPNI insieme a SANS indica la strada

Cpni_logo Pubblicata sul sito di CPNI (Centre for Protection National Infrastructure in UK)  la lista delle 20 cose più importanti per una efficace difesa dei sistemi. 

La Top Twenty dei Controlli di sicurezza critici sono una baseline, stilata da SANS e CPNI in consorzio con altri stakeholders, di azioni ad alta priorità e controlli di sicurezza che possono essere applicati all'interno di un'organizzazione al fine di migliorare la sua cyber-difesa.  I controlli (e sub-controlli) si concentrano su diverse misure tecniche e attività, con l'obiettivo primario di aiutare le organizzazioni a dare una priorità agli sforzi per la difesa contro i più comuni e dannosi incidenti ed attacchi in rete .. Vedi l'elenco su http://www.sans.org/critical-security-controls/  e su  http://www.cpni.gov.uk/advice/infosec/Critical-controls/

Scritto da alle 11:01 nella Current Affairs, Documenti, Policy, Pubblica Amministrazione, Sicurezza, Tecnologia, Web/Tech, Weblogs | | Commenti (0) | TrackBack (0)

Tag Technorati: , , ,

|

29/09/2011

Eric Byres a Milano il 24 Ottobre 2011: si parla di mondi "post STUXNET"

AIIC (Associazione Italiana Esperti Infrastrutture Critiche) organizza a Milano il 24 ottobre 2011 ore 14.30-17.30 un incontro con uno dei più famosi esperti nel mondo della Cyber Security di reti e sistemi di controllo nell’industria e nelle infrastrutture.

DSC_0003Eric-Byres_thumb_120 Eric Byres, già professore e ricercatore presso BCIT (British Columbia Institute of Technology) di Vancouver, Canada ed oggi fondatore, CTO e VP Engineering di Byres Security è conosciuto come vero specialista di SCADA security con background da ingegnere di controllo di processo.
Eric è un esperto di Stuxnet (il Malware apparso l’anno scorso e che ha colpito in tutto il mondo impianti industriali ed infrastrutture) sul quale ha fatto ricerche ed ha scritto molti saggi ed articoli. Come ricercatore prima ed imprenditore poi ha raggiunto molteplici successi ed è stato insignito di premi e riconoscimenti quali ISA Fellowship e SANS Institute Security Leadership Award.
Eric partecipa attivamente alla definizione di standard di security industriale quali ISA99, IEC TC65/WG13, ecc. (per Bio e referenze vedi).

Continua a leggere "Eric Byres a Milano il 24 Ottobre 2011: si parla di mondi "post STUXNET"" »

Scritto da alle 15:32 nella Imprese, Incidenti, Sicurezza, Tecnologia, Web/Tech | | Commenti (0) | TrackBack (0)

Tag Technorati: , , , , ,

|

18/09/2011

Riflessioni ed approfondimenti su attacco RSA

Tutti si ricorderanno dell'attacco ("extremely sophisticated cyberattack") subito dal colosso RSA lo scorso marzo (qui la lettera aperta ai propri clienti da parte RSA).

Tutto faceva supporre che eravamo di fronte ad un nuovo APT, un advanced persistent threat ai danni della società che fa della sicurezza il proprio core business con organizzazioni, agenzie governative ed istituzioni di tutto il mondo.

Un APT attack che si conclude sfruttando uno zero-day exploit relativo ad una vulnerabilità di Adobe Flash.

The email was crafted well enough to trick one of the employees to retrieve it from their Junk mail folder, and open the attached excel file. It was a spreadsheet titled “2011 Recruitment plan.xls.(*)

(*) Anatomy of an attack, RSA blog

In un primo momento l'allarme sembrava essere rientrato e che nessuno dei clienti RSA era a rischio.

Dopo qualche mese (fine maggio)  la Lockheed Martin (U.S. Defence contractor) denunciava il tentativo di intromissione ai propri sistemi tramite l'utilizzo di chiavi duplicate generate dal SecurID RSA.

Dopo qualche giorno, è la volta di un altro gigante della difesa americana. Ecco quanto si legge su wired:

“L-3 Communications has been actively targeted with penetration attacks leveraging the compromised information,” read an April 6 e-mail from an executive at L-3’s Stratus Group to the group’s 5,000 workers, one of whom shared the contents with Wired.com on condition of anonymity.

 Dopo qualche giorno anche la Northrop Grumman disabilita l'accesso remoto senza preavviso lasciando trasparire un ennesimo caso di intrusione.

A questo punto, con una seconda lettera aperta, RSA ammette la compromissione ed il furto di informazioni riservate (e l'utilizzo delle informazioni carpite nell'attacco alla Lockheed, ndr)

"Against this backdrop of increasingly frequent attacks, on Thursday, June 2, 2011, we were able to confirm that information taken from RSA in March had been used as an element of an attempted broader attack on Lockheed Martin, a major U.S. government defense contractor. Lockheed Martin has stated that this attack was thwarted."

e l'imminente sostituzione dei token SecurID emessi.

Fino a qui, specialmente per gli addetti ai lavori, è solo un riepilogo, spero gradito, di una vicenda molto grave sulla quale si è detto relativamente poco:

un APT attack, un "extremely sophisticated attack" che si conclude sfruttando uno zero-day exploit relativo ad una vulnerabilità di Adobe Flash.

Manca un capitolo: sappiamo che, lato client, tutto è partito da una mail...

"The email was crafted well enough to trick one of the employees to retrieve it from their Junk mail folder, and open the attached excel file. It was a spreadsheet titled “2011 Recruitment plan.xls."(*)

(*) Anatomy of an attack, RSA blog

Purtroppo non sono stati forniti da RSA ulteriori dettagli su questa "crafted well enough" email.

Alla F-Secure sono riusciti a risalire alla mail ed al file incriminato. Come?

Continua a leggere "Riflessioni ed approfondimenti su attacco RSA" »

Scritto da alle 22:34 nella Incidenti, Opinioni, Phishing, Sicurezza, Tecnologia | | Commenti (0) | TrackBack (1)

|

01/09/2011

Attenti al "MORTO"

Un nuovo Worm avvistato in rete: si chiama "Morto" ed attacca PC e server Windows, utilizzando DLL che lo diffondono attraverso le reti. Questo worm cerca privilegi "deboli" (come ad esempio password "comuni" usate da amministratori) per avere accesso a sessioni RDP (Remote Desktop).

Lo segnala Jonathan Pollet di Redtiger Security, specialista di security industriale ed esperto di SCADA security, che, pur iniziando a trovare le reti dei sistemi di controllo adeguatamente segmentate secondo lo standard ISA99, in molti assessment ha constatato come vengano ignorate le regole base per rendere più forti le credenziali per accesso ai sistemi Windows (password corte e scontate, a volte quelle di default, non vengono mai cambiate, ecc.) rendendo spesso inutili contromisure adottate per proteggerli. 

Jonathan Pollet, fondatore e presidente di Red Tiger Security è stato recentemente in Italia, invitato da AIIC a Roma a parlare su Advanced Persistent Threats (APC) e sui danni provocati da Stuxnet ed altre minaccie ai sistemi di controllo utilizzati nell'industria e nelle infrastrutture a livello internazionale.

http://www.redtigersecurity.com/security-briefings/2011/8/31/morto-worm-tries-weak-passwords-and-default-account-names-to.html 

Scritto da alle 12:30 nella Botnet, Incidenti, Sicurezza, Tecnologia | | Commenti (0) | TrackBack (0)

Tag Technorati: , , , , , , , , , , ,

|

30/08/2011

Incidenti di security industriale? su RISI (The Repository of Industrial Security Incidents)

  RISI 2  

 

RISI è il database in cui vengono segnalati incidenti di security industriale che provocano "problemi" a reti e sistemi di controllo ed automazione nell'industria e nelle infrastruttura. Riportando un incidente si posso fornire preziose informazioni agli esperti che curano il database: sono poi loro ad analizzarli e correlarli con altri eventuali incidenti, per poi segnalare trend e le migliori strategie di protezione e rimedio per evitare guai ad altre industrie ed infrastrutture che potrebbero trovarsi in situazioni similari. Segnalando incidenti si ha diritto a consultare gratuitamente il RISI. Il riserbo e la riservatezza per chi segnala sono assicurati dai gestori del sito: non vengono infatti tracciati indirizzo IP ed email, ed è facoltativo fornire le proprie credenziali.

Qui il form per la segnalazione: http://www.securityincidents.org/survey.asp  

 

Scritto da alle 15:44 nella Documenti, Incidenti, Sicurezza, Tecnologia, Web/Tech, Weblogs | | Commenti (0) | TrackBack (0)

Tag Technorati: , , ,

|

»

Feed RSS

Categorie

Ultimi post

Ultimi commenti

aprile 2013

dom lun mar mer gio ven sab
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30        

Archivi

Altro...