Sicurezza: quando i rischi sono interni all’azienda?

A minacciare la sicurezza e la riservatezza dei dati non sono solo agenti esterni alla struttura organizzativa imprenditoriale…

…ma la mancanza di un approccio organico e proattivo alla sicurezza, che consideri anche possibili negligenze e vulnerabilità interne, rischia di danneggiare gravemente l’attività d’impresa.

Alla base di una qualunque attività imprenditoriale vi è l’informazione, unico autentico ed originale patrimonio capace di garantire un particolare successo e vantaggio competitivo. A prescindere dalle dimensioni, nessuna azienda può dirsi indipendente dal proprio sistema informativo, che ne rappresenta la struttura portante e deve, per questo motivo, passare attraverso una fase di valutazione, classificazione e, soprattutto, protezione. Questo è tanto più vero se si considerano le più moderne realtà imprenditoriali, dove la convergenza di informatica e telematica hanno imposto nuove modalità nella trasmissione di tali informazioni: l’innovazione tecnologica e la pervasività dei sistemi ICT hanno reso il sistema informativo sempre più complesso, difficile da governare e, dunque, vulnerabile.

Una simile considerazione, pur nella sua estrema banalità ed ovvietà, permette di cogliere l’importanza fondamentale di assicurare una reale protezione all’intera architettura dell’informazione aziendale, attraverso mirate strategie di messa in sicurezza. Queste strategie devono essere in grado di coniugare gli obiettivi e il contesto informativo aziendale con i possibili rischi ai quali esso può essere sottoposto, arrivando a delineare delle contromisure tecnologiche ed organizzative che, a supporto degli obiettivi, permettano di scongiurare tali rischi.

Quella di delineare una precisa strategia di sicurezza rappresenta una necessità generalizzata, che certo va adattata, nei tempi e nelle modalità, alle dimensioni e alle particolarità delle singole aziende, ma che non può venire elusa dalle piccole realtà, spesso spaventate dalla complessità, dal costo e dalle tempistiche; le PMI tendono a sottovalutare il problema, avendo limitata percezione delle problematiche ad esso legate, scarsa conoscenza delle tematiche e delle procedure relative e limitandosi ad una valutazione superficiale.

In realtà l’approccio corretto invita a considerare la sicurezza non come un costo aggiuntivo, dunque la moneta da pagare per lo sfruttamento di risorse innovative, ma come un indispensabile investimento per il business aziendale, senza il quale si può rischiare di vanificare gli sforzi fatti: un modo per proteggersi, oltre che dalle minacce esterne, anche dagli errori involontari, interni all’azione aziendale o relativi a malfunzionamenti.

Le reti, le infrastrutture tecnologiche e i sistemi multimediali vengono utilizzati nelle normali routine lavorative non soltanto per facilitare il rapporto tra azienda e clienti (in maniera, cioè, idonea alla soddisfazione di particolari esigenze conoscitive e operative di questi ultimi), ma anche per permettere lo scambio funzionale tra i diversi settori e uffici dell’azienda stessa, e l’interazione tra titolari, dipendenti e fornitori.

Quello della sicurezza è, allora, un problema interdisciplinare, che coinvolge differenti competenze, settori e processi e deve essere gestito dinamicamente in funzione degli obiettivi e della tipologia di azienda considerata e in relazione all’evoluzione del business e delle tecnologie. All’analisi dei rischi, alla stesura delle policy di sicurezza, alla classificazione delle informazioni, deve inevitabilmente seguire un programma di sensibilizzazione, formazione e organizzazione funzionale di tutto il personale interno all’azienda, idoneo a garantire i requisiti di integrità, disponibilità e confidenzialità delle informazioni trattate.

Ci preme a questo punto focalizzare l’attenzione su un aspetto fondamentale, spesso poco considerato in materia di sicurezza, e cioè il fatto che gli attacchi possono venire non solo dall’esterno, ma anche dall’interno del network aziendale, sia per negligenza, sia, appunto, per mancanza di una adeguata alfabetizzazione e formazione del personale in materia.
Si pensi ad esempio alla chiavetta usb, anzi, per dirla con Farhad Manjioo (“Quando il pericolo viene da una chiavetta”, Internazionale, 19 ottobre 2010), all’“onnipresente, apparentemente innocua chiavetta usb”; queste “zanzare del mondo digitale […] sono piccole, portatili […], così comuni da essere praticamente invisibili”. La pericolosità di simili driver risiede proprio nel fatto che nessuno li percepisce come potenzialmente pericolosi: “negli ultimi dieci anni ci siamo abituati al malware che circola su internet. Sappiamo che non dobbiamo cliccare sugli allegati delle email sconosciute e che non si deve digitare la password su siti di cui non ci possiamo fidare. Ma le chiavette usb sono sempre riuscite a sfuggire ai nostri sospetti”, non creano timori, anzi, “se ne troviamo una per strada o in ufficio, di solito la colleghiamo al computer per capire di chi è”. Molti degli attacchi informatici più eclatanti degli ultimi anni sono stati generati da una contaminazione via usb: ad esempio Conficker, il virus che nel 2009 entrò nei computer della marina francese grazie a chiavette usb infette e contaminò milioni di PC; o Stuxnet, “il più raffinato attacco informatico di sempre”, “capace di programmare di nascosto macchine che gestiscono processi industriali delicati come l’attività di centrali energetiche, oleodotti, gasdotti, aeroporti e navi”. I virus di questo tipo si installano spesso grazie alla funzione di AutoRun, pensata dal sistema operativo per rendere più immediata l’installazione del software, e, nonostante alcuni tecnici aziendali disabilitino per questo motivo la funzione, sono stati sviluppati virus capaci di aggirare simili misure. L’unica soluzione davvero efficace, pur di non semplice realizzazione, sembra essere quella di proibire ai collaboratori di inserire periferiche usb scambiate in precedenza o di provenienza ignota. Rafforzare i controlli e introdurre regole precise sulle condizioni di ammissione dei dispositivi, dunque.

Ma le chiavette non sono le uniche soluzioni “mobili” tipicamente usate in azienda e potenzialmente pericolose: notebook portatili e smartphone impongono altrettanta attenzione. Si consideri, in particolare, l’eventualità che ci si colleghi involontariamente a delle reti non sicure, con notevoli rischi anche in riferimento alla diffusione di dati riservati: dispositivi di questo tipo rendono mobili informazioni che appartengono all’azienda e che devono, per questo, essere tutelate. Le soluzioni potrebbero essere l’implementazione di un sistema cifrato per i dati sensibili e il controllo gli end point in entrata e in uscita dal sistema interno. È auspicabile comunque lo sviluppo di una strategia aziendale appositamente pensata per la sicurezza lato mobile, che preveda un approccio trasversale capace di definire strategicamente le procedure e i processi necessari a contrastare i rischi di perdita dei dispositivi, le vulnerabilità e gli attacchi, senza penalizzare produttività, efficienza e flessibilità aziendale. Tale strategia richiede di essere supportata da una policy aziendale e da linee guida (la cui osservanza deve essere monitorata), da un programma di distribuzione dei ruoli e delle responsabilità, infine dalla formazione dei dipendenti per ridurre la loro disattenzione.

Ampliando per un secondo la prospettiva, ci si rende conto anche di un altro aspetto legato alle problematiche di sicurezza per usb e devices: un qualsiasi dipendente malintenzionato potrebbe facilmente sottrarre, mettendola letteralmente in tasca, qualsiasi tipo di informazione riservata per condurla all’esterno, del tutto inosservato. Certo una simile preoccupazione rientra nella capacità che titolari e responsabili devono avere di attorniarsi di persone non solo qualificate ma anche integre e oneste, tuttavia non può non essere presa in seria considerazione.

Meritano particolare controllo anche i punti di accesso alla rete messi a disposizione dei dispositivi aziendali, particolarmente vulnerabili ad attacchi: si rende necessario imporre una password per l’accesso, password che dovrebbe essere piuttosto complessa e cambiata periodicamente.

Infine le e-mail, sede privilegiata di spamming, a volte non direttamente dannoso per l’azienda (se non in termini di tempo perso per eliminare la posta indesiderata), altre volte veicolo di trojan horse, virus e worm. Al fenomeno dello spamming è legato quello del phishing, che consiste nell’indurre le persone a divulgare dati sensibili, facendo credere che la richiesta provenga da una fonte autentica, simulata dai cosiddetti “phisher”. L’azienda deve quindi sensibilizzare l’intero capitale umano a sua disposizione, affinché non apra allegati provenienti da mittenti sconosciuti e affinché presti particolare attenzione nel diffondere qualunque tipo di informazione riservata, anche qualora il mittente appaia come conosciuto e accreditato.

I numerosi vantaggi e le indispensabili opportunità offerte dai nuovi strumenti di impresa possono, in definitiva, trasformarsi in una fonte di vulnerabilità per l’azienda, la quale è tenuta, inevitabilmente, ad adottare le misure idonee a bloccare i tentativi di intrusione nei propri sistemi da parte di soggetti, sia esterni che interni, non autorizzati. Essa deve anche prestare particolare attenzione alla custodia dei dati raccolti, evitando perdite, disgregazioni e danneggiamenti dovuti ad una scarsa consapevolezza, sensibilità e formazione sul tema sicurezza da parte del personale interno.
La violazione può rappresentare per l’azienda una perdita non solo in termini di produttività, di dati e di vantaggio competitivo, ma anche in termini di immagini, dato che tale violazione mette a rischio la riservatezza dei dati con cui l’azienda si trova ad avere a che fare all’interno del complesso sistema di relazioni con clienti e fornitori.
Rischi sia esterni, sia interni determinano, quindi, conseguenze negative a loro volta sia esterne che interne all’azienda e l’unica soluzione pare essere un approccio proattivo alla sicurezza, che preveda la stesura preliminare di una organica strategia da seguire ed attuare.

Pubblicato su: PMI-dome

Annunci

Sicurezza & PMI: ecco i virus dell’anno

A dominare la classifica i Trojan bancari, mentre Facebook e Twitter sono i network più coinvolti

Si sa, la crisi aguzza l’ingegno. È forse questo il principale motivo per cui il 2010 ha conosciuto un proliferare di virus rinnovati nella forma e nella manifestazione e studiati dai professionisti di Panda Security. Dopo aver ricevuto e analizzato oltre 20 milioni di nuovi esemplari di malware, anche quest’anno l’azienda attiva nel settore della sicurezza informatica ha pubblicato l’almanacco dei viruspiù bizzarri, che non sono stati i più prolifici o pericolosi, ma che semplicemente hanno destato maggiore curiosità”.

Panda Security è “una delle poche multinazionali europee a essere riuscita a posizionarsi tra i protagonisti [mondiali] del mercato della security” grazie alla creazione e allo sviluppo di “soluzioni di sicurezza integrate in grado di combattere efficacemente virus, hacker, trojan, spyware, phishing, spam e tutte le altre minacce provenienti da Internet”, “al più basso costo di gestione possibile”. Fondata nel 1990 a Bilbao (Spagna) da Mikel Urizarbarrena e con milioni di clienti in più di 200 paesi e prodotti disponibili in 23 lingue, l’azienda riassume nello slogan “One step ahead” (Un passo avanti) il proprio vantaggio competitivo, vantaggio fondato sull’“impegno nell’innovazione continua e nel cambiamento”, su “tecnologie di protezione preventiva integrate” “con capacità di rilevamento ed efficienza più elevate rispetto agli altri vendor”, su “un nuovo modello di sicurezza, appositamente progettato per combattere in modo adeguato tutti i nuovi tipi di criminalità informatica”.

Prima di conoscere nel dettaglio la lista dei “premiati” presenti nell’almanacco, non nuoce avere un quadro d’insieme relativo all’attuale stato di infezione virale del web. Stando al report annuale sulla sicurezza stilato dai laboratori della stessa Panda Security, The Cloud Security Company, nel 2010 gli hacker hanno realizzato e diffuso un terzo del totale di tutti i virus esistenti e, in 12 mesi, hanno creato il 34% di tutto il malware apparso finora. L’Intelligenza Collettiva, la nuova generazione di prodotti antivirus usata, che ha studiato e classificato in maniera automatica il 99,4% degli esemplari ricevuti, comprende attualmente 134 milioni di file unici, dei quali 60 milioni sono malware (virus, worm, Trojan e altre minacce). Una buona notizia, tuttavia, pare esserci: dal 2003 i nuovi codici infettivi aumentavano del 100% ogni 12 mesi, mentre nel 2010 sono incrementali del “solo” 50%, quindi la crescita di nuove minacce sarebbe in diminuzione.

A dominare la classifica del malware nel 2010, con una percentuale del 55,91%, sono stati i Trojan bancari, seguiti da virus (22,13%) e worm (10,38%). L’11.6% di tutto il malware raccolto dall’Intelligenza Collettiva è costituito da rogueware (o fake-falsi antivirus), categoria che, pur presente da soli 4 anni, sta creando molti danni agli utenti di tutto il mondo: in sostanza si tratta di un software che, inserendosi nel computer, segnala la presenza di una miriade di virus, in realtà fittizi, e impone l’inserimento del codice d’acquisto di un particolare programma per tornare alla normalità.

A capo, invece, della classifica dei paesi più colpiti vi è la Thailandia, seguita da Cina e Taiwan, con 60-70% di computer infetti, mentre tra le tecniche di attacco più usate troviamo, innanzitutto, quelle rivolte ai social media: Facebook e Twitter sono stati i network più coinvolti, ma si sono verificati attacchi, ad esempio, anche su LinkedIn e Fotolog; gli utenti sono stati ingannati sfruttando il bottone “Mi piace” di Facebook, compiendo furti d’identità per inviare messaggi da fonti fidate, approfittando delle vulnerabilità di Twitter per eseguire codici javascript e diffondendo false applicazioni per deviare la navigazione su siti infetti. Altri metodi usati sono stati gli attacchi BlackHat SEO per l’indicizzazione e il posizionamento di falsi siti web (brillante metafora cinematografica che indica il parallelo tra il classico “cattivo” che nei film western indossava il cappello nero e un posizionatore che non si avvale di tecniche lecite, consentite dalle linee guida dei motori di ricerca, per scalare le serp) e lo sfruttamento di vulnerabilità zero-day (vulnerabilità del “giorno zero”, per le quali, cioè, non è ancora disponibile una patch risolutiva). Mantiene il proprio ruolo da protagonista pure lo spam, nonostante sembri diminuire la percentuale di spam nel traffico mail (nel 2009 era pari al 95%, nel 2010 è scesa all’85%).

Altri metodi, come le presentazioni PowerPoint inviate a catena tra amici, sembrano essere scomparsi, mentre preoccupa il proliferare sul web di kit per sferrare attacchi informatici già confezionati: delle vere e proprie “cassette degli attrezzi” – a disposizione non solo di esperti informatici, ma anche di aspiranti lamer o di criminali comuni con scarsa competenza informatica – la cui relativa semplicità d’accesso e d’utilizzo e la cui efficacia hanno contribuito ad un incremento del loro utilizzo per attività di cyber crime, come rivelano i risultati di un rapporto realizzato da Symantec Corp. e diffusi il 18 gennaio sul sito della stessa azienda statunitense. Stando a tale rapporto, l’uso di questi kit, che permettono di personalizzare le minacce per evitare di essere individuati e per automatizzare il processo di attacco, rappresenterebbe una delle maggiori minacce rivolte alla rete, generando un’economia sommersa di milioni di dollari, e costituirebbe i due terzi di tutti gli attacchi informatici individuati fra giugno 2009 e giugno 2010. “In passato, gli hacker dovevano creare le loro minacce dal nulla. Questo processo più complicato limitava il numero degli attaccanti ad una cerchia ristretta di cyber criminali molto competenti” ha dichiarato Stephen Trilling, senior vice president, Symantec Security Technology and Response. “Al giorno d’oggi i kit di attacco rendono relativamente semplice il lancio di un cyber attacco anche per un principiante. Per questo ci aspettiamo di assistere ad un incremento dell’attività in quest’area e che ci siano maggiori possibilità per l’utente medio di trasformarsi in vittima”.

Il 2010 è stato, inoltre, un anno caratterizzato, oltre che da cyber crimine (malware legato ad un business orientato alla creazione di ritorni economici), anche da due fenomeni completamente nuovi e presumibilmente in costante ascesa: stiamo parlando di “cyber guerra” e “cyber attivismo”. Quest’ultimo movimento è stato reso famoso dai gruppi Anonymous e Operation Payback e ha avuto come obiettivi primari quelli di colpire le organizzazioni che cercano di combattere la pirateria in rete e di supportare Julian Assange, autore di Wikileaks. Malgrado la legislazione mondiale si stia muovendo in direzione di una sempre più severa soppressione di tale forma di protesta, si è pronti a credere che essa sarà, nel prossimo anno, in continuo aumento, proprio per la capacità della rete di assicurare un canale di espressione relativamente anonimo e libero

Tuttavia, nonostante i riflettori degli ultimi mesi del 2010 siano rimasti puntati su Wikileaks e sugli attacchi online condotti dai suoi sostenitori o dai suoi detrattori, “non c’è niente di nuovo nel tipo di attacchi Distributed Denial of Service (DDoS) utilizzati per colpire aziende che si sono dissociate da Wikileaks, come Mastercard, Visa e Paypal”, ha dichiarato Mikko Hypponen, Responsabile dei Laboratori di Ricerca della società di sicurezza informatica finlandese F-Secure. Secondo uno studio della stessa società, la più importante novità nel campo del malware del 2010, e forse dell’intero decennio, è stata, invece, il sofisticatissimo worm Stuxnet, che può arrivare a colpire direttamente i sistemi industriali e a modificare i processi automatizzati, permettendo, così, di provocare danni gravissimi nel mondo reale. “Sfortunatamente – osserva Mikko Hypponen – è probabile che assisteremo ad altri attacchi di questo tipo in futuro”.

Più in particolare, questo worm ha interferito nel 2010 con i processi delle centrali nucleari, colpendo quella di Bushehr, come confermato dalle autorità iraniane. È stato questo l’esito più eclatante di quella che abbiamo definito “cyber guerra”: azioni di guerrilla nelle quali non si riesce a comprendere chi sia l’esecutore e da dove provenga l’attacco, ma dalle quali si riesce a dedurre esclusivamente lo scopo. Altro esempio di tale fenomeno è stato “Here you have”, il worm, diffuso però con metodo classico, creato dall’organizzazione terroristica “Brigades of Tariq ibn Ziyad”, con l’obiettivo di ricordare agli Stati Uniti l’attacco dell’11 settembre e rivendicare il rispetto per la religione islamica, in risposta alla provocazione del pastore Terry di bruciare il Corano.

Sempre secondo lo studio F-Secure menzionato, il 2010 è stato l’anno in cui si è registrato il maggior numero di arresti e condanne per persone ree di aver commesso crimini online: l’Fbi ha arrestato più di 90 persone, sospettate di appartenere a una rete internazionale di criminali informatici e accusate di aver rubato circa 70 milioni di dollari da conti bancari negli Stati Uniti, ottenendo l’accesso ai dati di banking online attraverso messaggi spam infetti. Altri importanti arresti sono stati effettuati nel Regno Unito e in Ucraina.

Oltre agli ulteriori attacchi firmati Stuxnet, un’altra previsione dell’analisi F-Secure pare essere motivo di preoccupazione: “dal punto di vista della sicurezza mobile” – ha affermato Hypponen, “ci aspettiamo di vedere un numero crescente di malware progettato per colpire la piattaforma Android e gli iPhone jailbreak”.

Insomma, da quel gennaio di ben 25 anni fa, in cui nasceva il primo virus della storia dell’informatica, di strada se ne è fatta molta e l’evoluzione è stata notevole. Allora si trattava – è curioso ricordarlo – di un malware piuttosto innocuo, Brain, creato fai fratelli pakistani Basit e Amjad Alvi per punire chi copiava illegalmente i loro software, colpendo direttamente i floppy-disk, unità di archiviazione allora addirittura più utilizzata degli hard disk. I due avevano pure deciso di inserire nello stesso virus i loro contatti, con l’implicita volontà di ottenere guadagno dalle richieste di aiuto degli utenti infetti e con la speranza di venir contattati da qualche big del settore.

Facciamo ora un passo indietro in questa nostra disamina e concentriamo l’attenzione sulle voci presenti nell’almanacco dei virus 2010 pubblicato da Panda Security, elencandole in relazione al riconoscimento ottenuto:

Il dispettoso amante dei Mac.

Titolo vinto da HellRaiser.A, un programma di controllo remoto che colpisce solo i sistemi Mac e, una volta installato sul computer tramite la necessaria autorizzazione dell’utente, prende il controllo del sistema e realizza numerose attività, tra le quali, addirittura, l’apertura del cassettino DVD.

 

Il buon samaritano.

È Bredolab.Y il vincitore (Panda Security ne ha messo a disposizione un’immagine sul proprio profilo flickr), il quale si presenta sotto forma di messaggio da parte di Microsoft Support, richiedendo una nuova patch di sicurezza per Outlook; procedendo con il download, si installerà una falsa soluzione SecurityTool che segnalerà la presenza di codici pericolosi sul sistema e condurrà all’acquisto di una soluzione per eliminarli, soluzione che, inutile dirlo, non giungerà in seguito al versamento del denaro.

 

Il poliglotta dell’anno
Il premio va a MSNWorm.IE, un virus diffuso via Messenger tramite un link che invitava gli utenti a visualizzare un’immagine, in 18 lingue. Al termine della frase troviamo l’emoticon :D, che utilizza, quindi, un codice decisamente universale: date queste premesse, noi avremmo proposto un premio per il forte sentimento di interculturalità.
Oltre ad un’immagine del virus, Panda Security ha pubblicato anche la lista delle diverse manifestazioni dello stesso, che di seguito vi proponiamo:

Español: mira esta fotografia 😀
Inglés: seen this?? 😀
look at this picture 😀
Portugués: olhar para esta foto 😀
Francés: regardez cette photo 😀
Alemán: schau mal das foto an 😀
Holandés: bekijk deze foto 😀
Sueco: titta p? min bild 😀
Danés: ser p? dette billede 😀
Noruego: se p? dette bildet 😀
Finés: katso t?t? kuvaa 😀
Esloveno: poglej to fotografijo 😀
Eslovaco: pozrite sa na tto fotografiu 😀
Checo: pod?vejte se na mou fotku 😀
Polaco: spojrzec na to zdjecie 😀
Rumano: uita-te la aceasta fotografie 😀
Húngaro: n?zd meg a k?pet 😀
Turco: bu resmi bakmak 😀

Il più audace.

Come si deduce da quanto già abbiamo detto, il vincitore è indiscutibilmente Stuxnet.A, virus che, accompagnato metaforicamente dalla nota colonna sonora del film “Mission Impossible” o de “Il Santo”, colpisce i sistemi SCADA (“Supervisory Control And Data Acquisition”, ossia “Controllo di supervisione e acquisizione dati”, per il monitoraggio elettronico di sistemi fisici). Esso sfrutta falle di sicurezza di Microsoft attraverso dispositivi USB per raggiungere il cuore delle centrali nucleari.

 

Il più fastidioso.

Replicando la prassi di quei programmi che, una volta installati, pongono la domanda “Sei sicuro di voler chiudere il programma? Sì – No?”, Oscarbot.YQ mostra di continuo, ogni volta che si cerca di chiudere un programma o di aprire una finestra del browser, la stessa schermata con la ripetizione della domanda, mettendo seriamente alla prova la pazienza degli utenti. Un’immagine è disponibile su flickr.

 

Il worm più sicuro.

A vincere è Clippo.A, con questo nome che ricorda implicitamente “Clippy”, il supporto di Microsoft a forma di graffetta: una volta installato, inserisce una password su tutti i documenti Office, impedendo in qualunque modo agli utenti di aprirli.

Una vittima della crisi.

Vince Ransom.AB, un ransomware (programmi che bloccano il computer e richiedono un riscatto per renderli nuovamente operativi) che, vista la forte competizione e la recessione, “si accontenta” di soli 12 dollari per “liberare” il pc, diversamente da qualche anno fa, quando la richiesta si aggirava attorno ai 300 dollari.

 

Il meno sincero

SecurityEssentials2010 (la falsa versione dell’antivirus, non quella ufficiale Microsoft), sotto la falsa apparenza di adware, avvisa gli utenti di essere stati colpiti da codici pericolosi e conduce loro all’acquisto di un prodotto che fornisca protezione. Il design così convincente, con messaggi e schermate autentici, è stato causa delle 10 infezioni più estese dell’anno. Un’immagine è disponibile su flickr.

A chiusura dell’almanacco 2010, viene citato, infine, l’insetto dell’anno, Mariposa (farfalla in spagnolo), la botnet “estintasi” nel mese di marzo, con l’arresto dei suoi autori, grazie alla collaborazione tra Panda Security, Guardia Civil spagnola, FBI e Defense Intelligence.

Pubblicato su: PMI-dome