30.4.07
Bancomat clonati go America!
Nell'immagine viene mostrato un bancomat con un'enorme scatola contenente una telecamera wireless: niente a che vedere con le sofisticate tecnologie utilizzate dai criminali che operano in Italia.
Finalmente qualcosa in cui l'Europa è più avanti!
26.4.07
Minacce interne e protezione dei dati: un articolo da BankInfoSecurity
In esso si parla della maggior attenzione verso le minacce provenienti dall'interno delle aziende, dei possibili rimedi e della necessità di diffondere una maggiore cultura della sicurezza.
20.4.07
Proposta: le aziende devono divulgare le fughe di dati personali
Recentemente, negli USA e in Gran Bretagna, sono saliti agli "onori" della cronaca alcuni episodi di enormi perdite dei dati sensibili o finanziari di clienti o consumatori: è il caso della TJX, che ha dichiarato di aver subito la sottrazione dei dati relativi alle carte di credito di 45 milioni dei suoi clienti, della Nationwide, da cui è stato rubato un notebook contenente i dati sensibili di 11 milioni dei suoi clienti.
Non amo fare un paragone con gli Stati Uniti (perché già tutti lo sanno fare meglio di me e perché spesso li si prende come ispirazione soltanto per la maggior facilità di reperire informazioni), ma c'è una normativa a cui le altre nazioni dovrebbero ispirarsi: in California è operativo dal 2003 l'SB 1386 (Senate Bill), che impone a ogni azienda che mantiene informazioni personali dei suoi clienti di divulgare ogni episodio relativo alla compromissione della sicurezza dei dati. La norma si è poi diffusa negli ultimi anni in altri 34 stati dell'unione.
Il motivo è presto detto: i controlli e le sanzioni per i tentativi di nascondere sotto il tappeto le violazioni del proprio patrimonio informativo sono un incentivo che impone alle aziende di intraprendere adeguate misure di sicurezza per evitare fughe di dati e conseguenze sui propri clienti, sulla propria immagine, e, per finire, sul proprio business.
Gli strumenti disponibili in Europa, simili al nostro Codice in materia di protezione dei dati personali (e i suoi allegati), sebbene siano completi, non prevedono misure sanzionatorie specifiche per questi casi.
La normativa americana si basa su presupposti a cui è difficile opporre obiezioni:
- la privacy e la sicurezza finanziaria delle persone sono sempre più a rischio a causa della crescente raccolta di informazioni personali nei settori sia pubblico che privato;
- transazioni di carte di credito, abbonamenti a periodici, numeri di telefono, dati relativi ad affitti e acquisto di immobili, sondaggi sui consumi, dati di credito, siti web sono fonti di informazioni personali e costituiscono il materiale primario per i furti di identità;
- il furto di identità è uno dei crimini con il tasso di crescita maggiore;
- il furto di identità è un costo per i consumatori e per il mercato;
- le vittime dei furti di identità devono agire rapidamente per minimizzare i danni.
Come ulteriore incentivo affinché le aziende instaurino adeguate misure di sicurezza, c'è un altro dato che emerge dal sondaggio inglese: il 53% degli intervistati ha dichiarato che non usufruirebbe più del servizio dell'azienda che ha sofferto una violazione.
Solo il 53% ? Direi che gli inglesi sono fin troppo buoni.
16.4.07
Sicurezza dei Bancomat: impariamo dall'India
Il progetto, per il momento a livello sperimentale, permette di servire alcuni clienti della Central Bank of India, una banca statale: al momento dell'apertura del conto, l'impronta digitale del cliente viene digitalizzata e memorizzata su una carta con chip.
Al momento del prelievo, il cliente inserisce la sua carta, gli viene richiesto di appoggiare una delle dita di cui ha registrato l'impronta su un apposito scanner dello sportello ATM e il gioco è fatto.
Altro aspetto interessante del progetto sponsorizzato dalla Electronics Corporation of Tamil Nadu (ELCOT), un'agenzia governativa dello stato del Tamil Nadu, riguarda l'utilizzo di bancomat con sistema operativo Linux.
Esaminiamo brevemente i vantaggi di sicurezza di questo tipo di implementazione:
- al cliente non è richiesto di memorizzare un PIN, quindi:
- il sistema è più semplice da gestire;
- il sistema è più sicuro: meno password e PIN ci sono da memorizzare, meglio è. Io, ad esempio, ho 3 bancomat, 2 conti correnti online e una memoria scarsa per i numeri. Indovinate dove mi sono scritto i PIN?
- la combinazione "una cosa che ho + una cosa che sono" è più sicura della combinazione "una cosa che ho + una cosa che so". Nel caso specifico la "cosa che ho" è la carta, la "cosa che sono" è la mia caratteristica biometrica (l'impronta digitale), la "cosa che so" è il PIN. Quindi, carta+impronta digitale ha una sicurezza maggiore di carta+PIN. La carta è clonabile con tecniche ormai, purtroppo, diffuse; il PIN è ricavabile con tecniche altrettanto diffuse; l'impronta digitale è piuttosto difficile da replicare. E' ovvio che la combinazione più semplice e sicura è: una cosa che ho+una cosa che so+una cosa che sono (grazie Fabrizio per il suggerimento).
Chiedetelo alla vostra banca.
Se nel frattempo desiderate approfondire l'argomento, vi segnalo questo interessante articolo di Cecilia Biondi, che oltre ad essere un "Biometria for dummies", illustra anche alcune soluzioni presenti sul mercato.
5.4.07
Perdita dati: rischio operativo principale
Una su tre aziende globali vede la perdita dei dati come una minaccia significativa e un’indicazione importante di cui tenere conto nella pianificazione del risk management operativo, secondo l’ultimo report sul global risk condotto da Economist Intelligence Unit (EIU) e sponsorizzato da ACE European Group.
L’indagine su 181 senior executives e professionisti del rischio ha rivelato che la perdita dei dati è la cosa che viene tenuta in maggiore considerazione in termini di rischio operativo, e oltre il 40% ha dichiarato che la loro organizzazione si è focalizzata più sulla perdita di dati che su altri problemi, inclusi il collasso dei sistemi, l’errore umano ed anche i disastri naturali.
I risultati mostrano un crescente trend del risk management verso una maggiore enfasi sull’impatto operativo della perdita dei dati. Commentando il report, Gareth Tungatt, Senior Underwriter specializzato in It e Cyber risk di ACE ha dichiarato: “L’indagine mostra che i risk manager comprendono chiaramente il valore del dato e, si stanno focalizzando sempre più sulle perdite derivanti da questo.”
Quando sono state chieste le ragioni per cui i piani di business continuity sono stati attivati nell’ultimo anno, meno del 16% ha identificato la perdita dei dati. Questo report sta fornendo un’evidenza sul fatto che molti business stanno guardando oltre per la pianificazione della business continuity. Il 71% degli intervistati ha dichiarato di avere aumentato il tempo e le risorse dedicate alla focalizzazione sui programmi di business continuity.
La ricerca ha mostrato che più della metà degli intervistati pensa che il volume e la severità dei rischi operativi sono aumentati negli ultimi tre anni ma che più o meno altrettanti ritengono che la pianificazione del rischio operativo del business avrebbe impatto positivo in aree come la valutazione del rischio e la quantificazione.
A proposito dell’impatto sul business di una pianificazione insufficiente, il 43% degli intervistati ha identificato il danno alla reputazione come principale minaccia. Tuttavia solo il 19% ha risposto con la perdita dei ricavi.
Tungatt ha commentato: "Il livello di timore apparentemente più basso per quanto riguarda la perdita di ricavi è un problema. In base ai risultati dell’indagine ci si aspetta che l’esposizione alle perdite finanziarie aumenti in modo che sia chiaro che i business dovrebbero fare molto più di quello che fanno attualmente per contrastare le implicazioni finanziarie della perdita dei dati."
Fonte: i-dome
3.4.07
Trojan bancari: evoluzione pericolosa
Si pensa che questo veloce sviluppo sia dovuto all’utilizzo di misure di sicurezza rinforzate da parte degli organi finanziari, come le “tastiere virtuali” che si gestiscono con il mouse per evitare che i keylogger rubino informazioni dalla battitura di password o dati sensibili in modo tradizionale. I cyber criminali sono al lavoro per cercare di superare questa nuova protezione. Solo qualche mese fa, infatti, i laboratori di Panda Software hanno individuato Banbra.DCY, un Trojan bancario progettato per catturare le schermate video per osservare esattamente quali caratteri venissero inseriti attraverso le nuove tastiere virtuali.
Un’altra tecnica comune è quella di usare codici maligni realizzati per attacchi pharming. Ciò consiste nella manipolazione del DNS (domain name system) che collega i navigatori alle pagine webdesiderate e li riconduce a falsi siti legati a servizi finanziari per recuperare i dati introdotti. Banker.CHG ne è un esempio tipico.
Luis Corrons, direttore tecnico dei laboratori di Panda Software afferma “i Trojan bancari sono una delle più grandi minacce di Internet e gli attacchi che li utilizzano possono avere effetti devastanti sulle 'finanze' degli utenti. Questi codici sono creati specificatamente e possono essere installati ed operare in maniera celata. Per questo motivo sono necessarie tecnologie preventive per rilevare nuove minacce attraverso l’analisi del comportamento”.
Per tutti gli utenti che volessero analizzare il proprio PC è disponibile la soluzione gratuita online di Panda Software, TotalScan o la versione beta di NanoScan, lo scanner online che rileva il malware attivo in meno di un minuto.
Fonte: i-dome
2.4.07
Standard di sicurezza per le carte di credito
Lo standard è una pattaforma unica che incorpora le direttive di sicurezza che già ogni azienda di carte di credito richiedeva di implementare a chi gestisse le transazioni, come ad esempio l’SDP Program per Mastercard e il Cardholder Information Security Program (CISP), già in uso da alcuni anni.
Con la crescente quantità di dati che inonda la rete, crescente proporzionalmente anche la minaccia di frodi online perpetrate grazie al furto di informazioni.
Il PCI data security standard è un set di specifiche progettato per prevenire le frodi e protegere la privacy dei consumatori laddove informazioni sensibili siano trasmesse sulla rete e memorizzate nella rete di un’azienda.
Tutte le istituzioni finanziarie, gli esercenti, le aziende che emettono carte di credito, che utilizzino componenti di sistema (“system components" nella definizione dello standard) per memorizzare, elaborare e trasmettere i dati dei possessori di carte di credito sulla rete dovranno rispettare lo standard PCI.
Nel giugno 2006 il PCI ha rilasciato la versione 1.1 del DSS e ne chiede l’implementazione entro la metà del 2008: ogni azienda di carte di credito ha comunque stabilito una serie di sanzioni e multe associate alla non adeguatezza allo standard, con lo scopo di incoraggiarne la messa in opera.
I requisiti di sicurezza descritti si applicano a tutte le componenti del sistema, ovvero a tutti gli elementi della rete, ai server e anche alle applicazioni coinvolte nel processo di gestione dei dati del cliente: sono 12 regole suddivise in 6 macroaree:
Costruire e gestire una rete sicura
o Requisito 1: Installare e gestire una configurazione con firewall per proteggere i dati associati alle carte di credito
o Requisito 2: non utilizzare le password di default fornite dai produttori per gli utenti di sistema e per alter configurazioni di sicurezza
Protezione dei dati del possessore della carta
o Requisito 3: Proteggere i dati memorizzati del possessore della carte
o Requisito 4: crittografare le trasmissioni dei dati sulle reti aperte e
Mantenere un programma di gestione delle vulnerabilità
o Requisito 5: utilizzare e aggiornare regolarmente programme antivirus
o Requisito 6: sviluppare e mantenere sistemi e applicazioni sicure
Implementare misure di controllo degli accessi forti e secure
o Requisito 7: restringere l’accesso ai dati dei clienti in base alle necessità di business
o Requisito 8: assegnare un ID unico a chiunque abbia l’accesso ai sistemi informativi
o Requisito 9: restringere l’accesso fisico ai dati dei clienti
Monitorare e verificare regolarmente la rete
o Requisito 10: tracciare e monitorare tutti gli accessi alle risorse di rete e ai dati dei possessori di carte di credito
o Requisito 11: verificare regolarmente i sistemi e i processi di sicurezza
o Maintain an Information Security Policy
o Requisito 12: mantenere una policy di sicurezza per dipendenti e consulenti
Sebbene la maggior parte dei requisiti non introduca nessuna novità riguardo quanto dovrebbe già essere normalmente applicato dalle aziende che gestiscono i dati dei possessori di carte di credito, alcuni sono invece più difficilmente implementabili, e richiedono nuovi sistemi di verifica della sicurezza: il punto 10, ad esempio, richiede di tracciare e monitorare gli accessi alle risorse di rete e ai dati dei possessori di carte di credito. Normalmente l’operazione di tracciamento (o di scrittura di un log o di un audit trail) viene effettuata per le transazioni, e raramente per le operazioni di interrogazione, che sono invece quelle che danno origine alla fuga di informazioni e quindi al furto di identità e alla frode.
Per correre ai ripari si possono percorrere due strade alternative: la prima prevede di modificare i programmi attualmente in produzione, inserendo l’attività di memorizzazione anche degli accessi di sola lettura ai record relativi ai dati delle carte di credito; si parla di un’attività di modifica non del tutto esente da rischi (come avviene ogni qualvolta si modifiche un programma in un ambiente di produzione). La seconda possibilità è offerta da quegli strumenti che si affiancano ai sistemi correntemente in uso e che permettono di catturare ogni tipo di attività verso un mainframe, un server, un web server e similari, e di memorizzarla in un database separato, consentendo sia controlli in tempo reale che a posteriori.
Anche il punto 6, che concerne lo sviluppo e il mantenimento di sistemi e applicazioni sicure, costituisce una delle sfide più ardue da affrontare: sebbene, infatti, esistano prassi consolidate per implementare sistemi sicuri dal punto di vista del layer operativo, sussistono approcci diversi per la protezione dell’ambiente applicativo. Sarà quindi necessario implementare sistemi di sicurezza anche a questo livello, per assicurare che tutte le informazioni sensibili siano protette.
In questo ambito trovano spazio i prodotti di Web Application Security che, secondo un recente rapporto di Forrester Research, sono ancora poco adottati, ma incontreranno un utilizzo sempre crescente nelle aziende, soprattutto in quelle finanziarie.