Un recente articolo sulla rivista dell'Associazione ISACA cita una indagine di Gartner Group dalla quale emerge che la Sicurezza non è più nei primi 10 obiettivi di business ed è al sesto posto nelle priorità di investimento.

L'articolista, past president internazionale di ISACA, si domanda se questo atteggiamento è coerente con i nuovi pericoli che si affacciano in questo 21.esimo secolo, proprio quando le aziende (ed i consumatori che vi si riferiscono) dipendono sempre più dalle tecnologie dell'informazione. Ciò richiede sempre più l'integrazione di "differenti funzioni, in precedenza responsabili di specifici aspetti della sicurezza in una entità capace di riconoscere, prevenire e reagire a qualsiasi minaccia a livello corporate".

Forse, commenta l'articolista, le aziende hanno investito parecchio negli ultimi anni (SOX, DRP, ecc.) ed ora le priorità sono diventate altre. Da tempo, invece, ANSSAIF ed altre più importanti associazioni denunciano l'esigenza di un radicale cambiamento organizzativo, focalizzato sulla massimizzazione delle sinergie e fondato sulla consapevolezza e compartecipazione, (più orientato alla cultura della sicurezza e del controllo, diciamo noi di Impronta Digitale) ai fini di contrastare più efficacemente i nuovi pericoli legati ad una crescente criminalità favorita anche da una sempre maggiore ricerca del benessere a tutti i costi e da una sempre più debole percezione del livello di illegalità.

Vi è l'esigenza non solo di concentrare la responsabilità complessiva, ma di una compartecipazione di tutta l'Azienda nella protezione da qualsiasi minaccia (ad es. il redivivo Social Engineering...) che possa colpire la "filiera" dei processi e delle risorse aziendali (informative, immobiliari, umane, strumentali,..), tese queste a fornire i prodotti concordati al Cliente.

Bisogna anche riuscire a limitare i danni in presenza di crimini portati avanti da personale interno, o da eventi, naturali o provocati, di ampia estensione e di lunga durata, oppure non tipicamente legato all'informatica, quale ad esempio la carenza di liquidità.

Una domanda: quante aziende si sono preparate a disastri di lunga durata ? Gartner Group afferma che la maggior parte dei piani di business continuity prende in esame disastri che durino al massimo 7 giorni. Queste aziende si sono almeno poste la domanda "e se dovesse durare due settimane ? Che conseguenze avremmo ? Le potremmo accettare ?".

Tutto ciò richiede un mutamento di approccio, maggiore consapevolezza, chiarezza di ruoli, condivisione di obiettivi, un dialogo più chiaro ed allineato su obiettivi di business, l'attenzione ai segnali (leggi: la raccolta degli incidenti), la cura della leadership, una conoscenza non superficiale dei propri collaboratori, il rispetto delle persone e delle loro esigenze, e, per tutti, amore verso la propria azienda.

Il che si traduce anche nel preoccuparsi per la sua continuità operativa, per il livello di servizio offerto, per l'immagine sul mercato. Una indagine telefonica su 300 dipendenti di aziende ha rilevato che il 50% ha qualche attenzione per la sicurezza, ma ben il 75% è preoccupato per la sicurezza di casa sua! Ecco perchè è importante il dialogo, la comunicazione, eseguire simulazioni di eventi disastrosi, nonchè la continua verifica di efficacia dei piani, l'analisi dei rischi e delle vulnerabilità, con forti responsabilità nelle strutture operative e di business.

Cosa fare per prima cosa.

Il primo intervento deve essere sulle strutture specializzate in tema di Sicurezza (logica, fisica, business continuity, ecc.) e nel chiarire ruoli e responsabilità per la protezione degli assets e della continuità di servizio, domandandoci se, ad esempio, strutture quali il Risk Management o la Direzione del Personale, sono efficacemente preparate e coinvolte in tema di mitigazione del rischio.

Worm Storm

L'attacco del worm Storm prosegue, e si conferma come uno degli worm più persistenti degli ultimi anni. Come riportato da Network World (www.networkworld.com), Storm continua ad evolvere aggiungendo nuove minacce (in particolare un rootkit) ed incrementando la propria pericolosità. Per quanto, come scrive Network World, il rootkit installato da Storm è relativamente "vecchio", e quindi rilevabile da alcuni software di sicurezza, non è un problema da sottovalutare.

Attenzione, quindi, a trattare i messaggi di posta elettronica "sospetti" con la massima cura.

(Autore: Mauro Cicognini)


Campioni del mondo ma perdenti nel quotidiano

Un incidente informatico al Tribunale di Genova riporta alla cruda realtà: vinciamo i campionati del mondo di security ma non difendiamo le risorse preziose che abbiamo attorno a noi.

L'ho detto su Nova100, si dice "intrusione di hacker" ma ho l'impressione che sia un "semplice" worm che si diffonde per la mancanza di regole minime di sicurezza, per mancanza di formazione di chi usa i sistemi, per mancanza di consapevolezza dell'importanza che ha la difesa dei sistemi informativi per la nostra vita di tutti i giorni. Cosa mi fa dire che non penso si tratti di una intrusione di hacker ? Perchè ho grande rispetto dei "nemici", se fossero stati hacker, che sono si dei banditi ma sono bravi, preparati, intelligenti, determinati, il sistema sarebbe stato devastato.

(Autore: Gigi Tagliapietra)


Email di phishing: la situazione attuale.

Lo spamming sta aumentando l'intensità dei suoi picchi (anche di nove volte in raffronto al precedente), la tipologia di email è la stessa da mesi, tranne, come vedremo, che per il phishing.

Ad oggi, le email di spamming si possono dividere nelle seguenti categorie:

- phishing (tese ad ottenere le credenziali di accesso al proprio conto on line);
- vendita di prodotti (medicinali, orologi, ecc.);
- scommesse;
- suggerimenti (es: investimenti in azioni, interventi per migliorare le "prestazioni", opportunitГ di lavoro, ecc.);
- richieste di contatto (ragazza russa sola, erede unico di un'ingente fortuna, ecc.);
- vincite alla lotteria;
- saluti (biglietti augurali, messaggi vocali, ecc.).

A volte le email pervengono ad ondate successive. In alcuni casi, inondano con centinaia o migliaia di email i domini di una determinata Azienda o Ente, in modo da provocare un forte rallentamento nella ricezione della posta e riempire le caselle, se non prontamente svuotate.

Anche quelle di phishing, una volta più discrete, ora arrivano a gruppi e, molto spesso, con il risultato che il ricevente nemmeno le legge, e le cancella tutte in un colpo solo. Infatti, risultano pervenire da quattro o cinque banche diverse, come se tutti avessero più rapporti di conto on line con così tante banche!

Possiamo raggruppare le email di phishing in base alla tipologia di messaggio che viene inviato, vuoi positivo (ad esempio, per prevenire atti criminali o quale premio), o negativo (ad esempio, perchè l'utente ha sbagliato più di tre volte l'immissione della password).

Vediamo le diverse tipologie:

POSITIVI:
la banca o Ente emittente la carta di credito è attento alla sicurezza; con la email inviata chiede la verifica dei dati per l'accesso online, oppure per attivare un rapporto di conto (in alcuni casi la email dice che il codice dispositivo arriverà via posta, ma per attivarlo bisogna digitare le credenziali, e quindi il codice dispositivo!
Ciò è interessante, in quanto sembra che con queste email i criminali puntino a clienti con qualche problema di comprensione o fortemente distratti, e tutto ciò fa riflettere sulla reale composizione dell'universo degli utilizzatori di funzionalità offerte dal mondo finanziario e sulla possibile percentuale di utenti con ridotte capacità critiche); un addebito sul conto è andato a buon fine; se il Cliente ha qualche rimostranza, acceda al conto digitando le note credenziali (è ovvio che, nella mente dell'ignoto criminale, il Cliente sprovveduto accede subito per vedere di che si tratta!); il Cliente è stato premiato per la sua fedeltà all'accesso online: per ottenere la vincita (da 350 a 500 euro a seconda dell'Azienda) si deve accedere al conto digitando le credenziali, ovviamente!

NEGATIVI:
la banca o Ente è intervenuto bloccando il conto; ciò per una di queste cause: tentativi di accesso che hanno provocato il blocco della password, accesso da un indirizzo del Cliente diverso da quello solitamente utilizzato (in questo caso si nota una incongruenza: l'accesso è bloccato, ma si chiede comunque al Cliente di digitare le credenziali per accedere!); un accredito è stato bloccato, in quanto vi sono delle irregolarità; il Cliente acceda al conto per correggere tali difformità.

Ciò che fa piacere osservare, è sia come le Aziende - tramite l'Autorità Giudiziaria - intervengano immediatamente per bloccare gli indirizzi Internet forniti dalle email di phishing, sia sulla efficacia dei più recenti software prodotti per difendere i computer (antiphishing, antispamming, personal firewall, ecc.).

In conclusione, ci sembra che, per le ragioni di cui sopra, la situazione phishing, a tre anni dal suo manifestarsi, appaia oramai avere un lento declino nell'area dell'efficacia. Una preoccupazione, invece, ci assilla. Come scritto diversi mesi fa, e riportato anche dalla stampa specializzata, non si assiste da tempo ad un attacco virus massiccio. Aumentano invece gli spyware ed i malware, ossia, programmi atti a catturare le informazioni digitate sul computer ovvero a dirottare su siti criminali gli utenti. Appare pertanto esserci una stretta correlazione fra i due fenomeni. Infatti, qualora vi fosse un massiccio attacco di virus teso a boccare le comunicazioni o a distruggere il contenuto dei computer, gli utenti interverrebbero con tempestività e senza tentennamenti nel migliorare le difese dei computer.

Il consiglio, quindi, che ci sentiamo di dare, è chiaramente quello di adottare misure periodiche quali le seguenti: - sensibilizzare gli utenti ed i Clienti sui possibili rischi nei quali possono incorrere se: non aggiornano il software a protezione del computer utilizzato; evitano di accedere a siti non conosciuti; non scaricano musiche o filmati o foto da siti sconosciuti;
- intensificare i controlli sui computer, specialmente alla ricerca di spyware; possibilmente eseguire la scansione del pc tramite un antivirus o software diverso da quello dell'antivirus attivo sul computer;
- mettersi in allarme in caso di attività insolita del computer (da non confondere con l'aggiornamento in background del software di sistema).

(Autore: Luca Bechelli - Fonte: ANSSAIF e COMPUTERWORLD)

Come ogni anno, il CLUSIF ha presentato un rapporto sugli eventi più significativi che hanno caratterizzato l'anno precedente, in materia di cybercrime. La presentazione è disponibile in lingua francese (prossimamente anche in inglese) sul sito del CLUSIF.

Il rapporto di quest'anno è particolarmente interessante, ricco di riferimenti e di documentazione.

Tra gli argomenti emergenti:

1. Mondes virtuels : l'appeal du gain
2. Perturber, d'estabiliser…

- Attaques en reputation
- Le hacking pour focaliser l'attention ?
- Espionnage industriel
- Reseaux sociaux, opportunites de malveillance/renseignement

3. Sophistication des attaques
4. Enjeux malveillants sur le e-Commerce

- Fraude aux cartes bancaires via Internet
- Escroqueries via les sites d'enchontres

5. Evocation de faits marquants

- Cyber-guerre - Estonie
- Cyber-attaques chinoises
- Enjeux de securité sur les infrastructures SCADA