conneXioni 4.3

Siti aziendali: il 90% è vulnerabile

2008-04-01T18:43:00.001+02:00

Da una recente ricerca emerge come il 90% dei siti aziendali presentino rilevanti vulnerabilità, una realtà da non sottovalutare, soprattutto nelle piccole società

Da una ricerca condotta da Whitehat Security su oltre 600 siti web appartenenti a grandi e piccole società, emerge come 9 su 10 presentano gravi falle, in grado di permettere un attacco da parte di malintenzionati. Le vetrine aziendali sono quindi particolarmente vulnerabili alle intrusioni, veicolate tramite tecniche di cross-site scripting. Un fenomeno da non sottovalutare e da combattere con i mezzi più idonei.

Secondo Whitehat Security, il 70% dei siti web permetterebbe l'esecuzione di script arbitrari potenzialmente malevoli nel contesto di un dominio apparentemente fidato. Per quanto riguarda la tanto paventata Sql Injection, ovvero la possibilità di "iniettare" comandi Sql all'interno del codice HTML, secondo la società solamente il 5% delle pagine web esaminate presenterebbe tale vulnerabilità.

I problemi legati alla sicurezza derivanti dai cross-site scripting sono stati rilevati in passato anche in portali di società dal calibro di IBM e Google: «si tratta di un problema sottostimato», ha dichiarato il CTO di Whitehat Jeremiah Grossman, «e proprio per questo da tenere nella dovuta considerazione».

Oltre a tale tipologia di attacchi, è bene inoltre tenere in considerazione tutte le varianti, quali il cross-site request forgery, ovvero l'esecuzione di script arbitrati all'interno di domini apparentemente fidati, problematica con la quale si è dovuta scontrare anche Trend Micro, uno dei principali produttori mondiali di antivirus.

I siti web che presentano i problemi di sicurezza maggiori sono legati al mondo delle imprese assicurative, presentando nell'84% dei casi vulnerabilità anche gravi. Per quanto riguarda i portali che si occupano di informatica, ben il 72% di essi presenta bug in grado di minare seriamente la sicurezza dell'intera struttura.

Tratto da PMI.it

Autenticazione biometrica per le transazioni finanziarie: nuovo standard ISO

2008-02-13T12:00:00.001+01:00

ISO ha appena pubblicato uno standard per aumentare la sicurezza delle transazioni finanziarie digitali.
Il nuovo standard, ISO 19092:2008, Financial services Biometrics – Security framework, stabilisce le specifiche di sicurezza per l'implementazione e la gestione di tecnologie di identificazione biometrica allo stato dell'arte all'interno dell'industria finanziaria.

Lo sviluppo di tecnologie digitali ha portato a una proliferazione di transazioni elettroniche che hanno condotto una riduzione dei costi e a una grande efficienza: questi altissimi volumi espongono quindi la comunità finanziaria ai rischi di alterazioni accidentali o dolose, di alterazione o distruzione dei dati.
La necessità di un metodo di autenticazione più robusto ha portato i ricercatori a rivolgersi alla biometria, considerata sempre più un affidabile metodo di identificazione: utilizzando le impronte digitali, l'identificazione della voce, lo scan della retina o del viso, la biometria ha vantaggi come la convenienza e la facilità d'uso, la sicurezza e la non invasività.

Il nuovo standard ISO 19092:2008 descrive il framework di sicurezza per l'utilizzo della biometria nell'autenticazione all'interno dei servizi finanziari.

Per chi volesse saperne di più: http://www.iso.org/iso/catalogue_detail?csnumber=50145

Analizzare "virtualmente" l'impatto dei cambiamenti nelle IT operation

2008-02-04T09:45:00.000+01:00

La maggior parte dei problemi che incontriamo nelle IT operation sono spesso conseguenza di un cambiamento dell'ambiente di produzione.
Ogni cambiamento introduce un rischio nella normale operatività, e, come molti di noi hanno sperimentato, non è scevro da problemi.
Ogni organizzazione IT, che sia di un'azienda o di un'istituzione, di un ente accademico o di una banca, ha le sue peculiarità, in termini operativi, ma anche in termini organizzativi.
Esistono certo le prassi del change management, ma la contestualizzazione in un ambiente operativo di produzione, che, nella maggior parte dei casi, è difforme dall'ambiente di test, è estremamente ardua.
Mantenere un ambiente di test sincronizzato con quello di produzione comporta dispendio di tempo e risorse, e quindi il rigore non è la prassi.
StackSafe, un'azienda americana ha meditato su queste problematiche e ha progettato un test center che permette di costruire ambienti di test dove importare "interamente" gli ambienti di produzione in una sandbox, in cui sarà possibile effettuare qualsiasi tipo di prova.
Il termine "interamente" virgolettato è d'uopo, poiché credo difficilmente proponibile una replica tout-court dell'ambiente di produzione per molte realtà, ovvero, ci si può tendere per approssimazioni successive.
ma l'idea è assolutamente innovativa e degna di nota.
Basandosi su Xen Hypervisor, StackSafe è in grado di creare ambienti virtuali ospitati per ora su Linux, ed entro la metà di febbraio anche su Windows 2003.
Pensate: potreste avere una "vera" replica dell'ambiente di produzione - una vera chimera per ogni responsabile delle IT operations - e sottoporlo a test funzionali, stress test, mitigare finalmente il rischio.
Sarà più semplice condurre analisi dell'impatto dei cambiamenti, analisi "What-if", valutazione dei problemi e dei guasti, test di integrazione di nuove componenti del sistema.
Una panacea per molti grattacapi, e un metodo per ridurre i rischi, tenendo però ben presente importanti istanze quali:
- l'impossibilità di creare ambienti di test in tutto e per tutto uguali agli ambienti di produzione;
- il confronto tra il costo dell'utilizzo della sandbox di Stacksafe e l'attuale costo dell'operatività di un ambiente di test. In entrambi i costi è necessario includere il costo dei rischi correlati - la parte più ardua da calcolare, naturalmente, ma che è imprescindibile da questa valutazione - che saranno ovviamente diversi e auspicabilmente inferiori nel caso di Stacksafe.

Violazioni alla sicurezza nelle banche: news

2008-02-01T13:23:00.000+01:00

Non si è ancora sopito il clamore intorno alla frode che ha colpito Societe Generale, che altre due banche, in due diverse parti del globo, annunciano di aver subito violazioni alla propria sicurezza.

L'AP ci comunica che in Svezia, una gang di cybercriminali, aveva installato un particolare congegno sotto la scrivania di un impiegato: tale congegno permetteva di collegarsi remotamente al computer del dipendente, prendendone possesso e permettendo il trasferimento di denaro. L'attività è comunque stata bloccata in extremis dal dipendente stesso che ha scoperto il marchingegno dopo aver notato che il suo PC godeva di vita propria e cercava di effettuare un trasferimento di denaro.

BreachBlog afferma che negli States,a Forth Worth, Texas, OmniAmerican Bank ha annunciato di aver fermato una gang internazionale di hacker che avevano violato il sistema di e-banking e prelevato denaro dei clienti da numerosi sportelli Bancomat (o ATM) nell'Europa dell'Est, nel Regno Unito, in canada e a New York

Societe Generale: scarsa sensibilità alla sicurezza e controlli inefficaci

2008-01-29T09:25:00.000+01:00

Davvero l'affaire Societe Generale sta assurgendo a parabola su come vengono spesso gestiti i controlli e la sicurezza all'interno delle banche.
Ebbene, come ben spiega il blog Duo&Co nei suoi articoli scritti da un ex-SG (il primo e il secondo) tutto cominciò quando Jérôme Kerviel venne assunto in Societe Generale nel 2000 all'interno del middle- e del back-office della banca.
Fino al 2005 si occupa di controllo dei rischi e dell’autorizzazione delle operazioni, guadagnandosi la fiducia dei colleghi.
Passa poi a occuparsi di arbitraggio sui derivati, ovvero, quell’attività che prevede di prendere posizioni sui mercati contemporaneamente sia puntando a un rialzo, sia a un ribasso, e cercando di guadagnare sul margine tra le due posizioni.
Ma Kerviel è fermamente convinto che i mercati saliranno, e quindi, al riparo del suo angolino, acquisisce posizioni al rialzo sugli indici Eurosoxx, Dax e Ftse, posizioni, quindi, unicamente in un senso, e non in due, come invece richiede la prassi.
Parallelemente però, allo scopo di salvaguardare la sua posizione - a tutti gli effetti speculativa - è necessario costruire una posizione inversa – e quindi fittizia – nei sistemi della banca, mostrando così che le operazioni del trader non sono a rischio.
E qui gli viene in aiuto la sua esperienza passata nel middle-office.
In ogni azienda ci sono settori dove, per ragioni di tempestività nelle operazioni, un dipendente lasci ai colleghi di fiducia l’accesso a un suo account con determinati privilegi, ad esempio, con la possibilità di autorizzare determinate operazioni (in realtà questo accade un po' in tutti gli ambiti di tutte le aziende, purtroppo...)
Normalmente, quando il collega effettua determinate operazioni in vece del titolare dell’account, lo informa dell’attività.
Il sistema interno del dipartimento che si occupa del trading dei derivati in Societe Generale si chiama Eliot: si tratta di un sistema estremamente sensibile e controllato da diverse entità di back- e middle-office.
Purtroppo, però, l'accesso è regolamentato solo da username e password: nessun criterio di autenticazione a due fattori (implementando, ad esempio, smartcard, token USB, impronta digitale, suono della voce, visura retinale, odore del testosterone, ecc).
Jerome Kerviel è cresciuto là dentro, per cui, grazie ai precedenti rapporti con i colleghi, ha accessi con privilegi che gli consentono di scavalcare il perimetro tra le aree definito da quell'approccio chiamato separazione dei ruoli (o in inglese, la segregation of duties), uno dei pilastri fondamentali di ogni metodologia di gestione del rischio.
La segregation of duties è una caratteristica delle organizzazioni che conducono attività con un rischio annesso e, in parole povere, prevede che chi esegue un'attività rischiosa sia un’entità diversa da chi la autorizza.
Nel nostro caso specifico, chi esegue l’attività, indipendentemente da quale essa sia, è il trader Kerviel. Chi la autorizza, dovrebbe essere il collega dei middle-office, che, ricevuta la segnalazione dell’attività - ovvero di una transazione in un solo senso, anziché di due transazioni di senso diverso - intraprende le opportune azioni di verifica.
In realtà, era lo stesso Kerviel che, con user e password del collega, autorizzava ogni movimento non caratterizzato da un movimento di copertura dei rischi.
SG acquista quindi dei contratti forward – simile al contratto future, ma trattato tra banche, anziché sui mercati - su Eurostoxx, Dax e Ftse
Arriva quindi la settimana critica in cui, dal 15 al 18 gennaio, i mercati finanziari subiscono ribassi pesantissimi, per cui le posizioni lunghe, cioè che puntano al rialzo, assunte da Kerviel gli provocano ingenti perdite.
Il 18 gennaio, un nuovo sistema di controllo, individua un movimento sospetto nei confronti di una controparte tedesca.
Il resto è storia recente...

Societe Generale, la banca che negli ultimi anni ha decretato la propria leadership proprio nel mercato dei derivati, si rivela ora un gigante dai piedi d’argilla.
Come può essere successo che un solo uomo potesse costituire una tale concentrazione di privilegi?
Contrariamente a quanto affermato nella prima ora, Kerviel non ha straordinarie capacità informatiche, ma piuttosto conosce molto bene il sistema autorizzativo delle transazioni e, terribile a dirsi, conosce le password di accesso a tale sistema.

Cosa manca quindi in SG?
Pochi, semplici elementi.
Innanzitutto manca una cultura della sicurezza, che, introdotta a tutti i livelli, conduca i dipendenti a comprendere che dare la propria password a un collega comporta dei rischi per l’azienda e per sé, e conduca gli amministratori dei sistemi informativi a costringere i dipendenti a cambiare password periodicamente, in modo che se malauguratamente capitasse che un dipendente dia una sua password a un collega, dopo un certo periodo tale password possa essere resa inutilizzabile.
Secondo elemento: l'implementazione delle prassi di sicurezza in specifiche procedure interne. Questo elemento è il più semplice da attuare e di certo sarà già presente in Societe Generale. Ma purtroppo emanare leggi senza avere un controllo efficiente non serve a nulla.
E quindi arriviamo al terzo elemento (peraltro, forse già introdotto recentemente e grazie al quale si è avuta segnalazione delle speculazioni selvagge di Kerviel): un sistema di segnalazione di posizioni non adeguate alle policy aziendali, ovvero non compliant, che non invii segnalazioni soltanto al personale di middle-office, ma che collezioni i dati per darli in pasto a controlli incrociati, sia automatizzati, sia presentabili al back-office, sia a un’entità di controllo.
Infine l'elemento più tecnologico: un'autenticazione a due fattori, che permetta cioè di determinare l'identità di un'utente che accede al sistema non solo tramite la conoscenza di nome utente e password, ma anche con il possesso di strumenti come smartcard o token usb con certificati, o mediante una scansione dell'impronta digitale.
Costano poco, aiutano molto.

Frode Société Générale: la debacle dei sistemi di controllo interno

2008-01-25T10:25:00.000+01:00

I quotidiani francesi di stamane riportano alcuni dettagli di quella che è stata definita la più grande frode della storia della finanza internazionale.
Lo "straordinario talento" dietro a questa manova si chiama Jérôme Kerviel, 31 anni, diplomato all'università di Lione, titolare di un master in finanza dei mercati.
Nel corso del 2007, quello che sembrava a tutti gli effetti una persona senza doti particolari, aveva installato un sistema parallelo non individuabile nella sala mercati, che gli permetteva di mascherare le sue prese di rischio e di non far figurare le rischiose operazioni che spesso producevano perdite e richiedevano coperture.
Secondo Daniel Bouton, l'Amministratore Delegato della banca, Kerviel conosceva tutte le procedure di controllo interno alla banca, grazie alla sua precedente esperienza di 5 anni nelle funzioni di supporto di back-office e middle-office.

Secondo notizie de Le Parisien, l'autore della frode aveva in qualche modo elaborato una doppia contabilità che gli permetteva di svicolare tutti i controlli.
La sua attività consisteva nella vendita di prodotti finanziari e, all'occorrenza, di effettuare coperture su contratti a termine sugli indici borsistici europei, strumenti finanziari di cui Societe Generale è leader mondiale.
Naturalmente l'operatività su questi strumenti ad alto potere di leva finanziaria richiede severissimi criteri di controllo: ed è da lunedì che la commissione bancaria francese si trova presso gli uffici di SG per verificare il sistema dei controlli interni e per suggerire rimedi alle sue debolezze.

Come ci si è accorti della frode?
Venerdì sera, il superiore diretto di Kerviel è stato allertato che il trader aveva superato il limite di rischio regolamentare su un intermediario tedesco.

Ad ogni buon conto, sembra effettivamente incredibile che un buco del genere possa essere stato coperto per un anno intero, anche se il trader conosceva perfettamente il sistema dei controlli interno: quando le perdite raggiungono un certo livello, è necessario coprire la posizione: ma di norma si possono raggiungere eccezionalmente perdite di 200 milioni di euro, non di ben 5 miliardi!
Se questo risulterà vero, va da sé pensare che le procedure di controllo interno della banca sono gravemente insufficienti, e che non esistono opportuni strumenti software per il contenimento del rischio. Incredibilmente grave per una banca che, negli ultimi anni, si è costruita una solida immagine nella gestione degli strumenti finanziari a elevato livello di rischio.

Pare invece poco sensata la tesi per cui la banca stia utilizzando questo episodio per giustificare perdite ingenti dovute ad altre ragioni, come ad esempio l'esposizione sui mutui subprime: se così fosse, sarebbero i vertici bancari gli autori stessi della frode, e l'inevitabile esposizione ai successivi controlli della Commissione Bancaria lo dimostrerebbe.

E' invece tutto più semplice perché ascrivibile al talento del singolo e al fallimento degli eventuali sistemi di controllo posti in essere.
Conclusione: non siate mai soddisfatti dei vostri sistemi di controllo. Per quanto abbiate lavorato sodo, il rischio esisterà sempre.
Ma fate in modo che sia un rischio correttamente valutato e sostenibile.

Dispositivi sul lavoro? I diritti dell'azienda

2007-07-20T14:37:00.000+02:00

Riprendo integralmente da i-dome un articolo sull'utilizzo privato di mezzi messi a disposizione dal datore di lavoro. L'articolo è di Valentina Frediani (Consulentelegaleinformatico.it - Consulentelegaleprivacy.it).

Ha sollevato scalpore la recente notizia del dipendente licenziato per un uso illegittimo del cellulare, peraltro non avendone abusato direttamente ma avendo omesso di sorvegliare il telefonino che veniva utilizzato dal figlio per un massiccio invio di SMS. C'è chi ha ritenuto eccessiva la posizione della Cassazione, e chi invece ha sostenuto la giustezza della pronuncia alla luce degli indebiti vantaggi conseguiti dal dipendente, peraltro a totale discapito economico del datore di lavoro.

Questa vicenda non fa che confermare la diffusione di una consuetudine che si è radicata nella nostra realtà lavorativa, e che coinvolge particolarmente i dipendenti nel loro rapporto con i telefonini, la posta elettronica, le connessioni ed i pc messi a disposizione dal datore di lavoro per scopi lavorativi.

Questi beni in uso abitualmente nelle strutture lavorative, vengono utilizzati dai dipendenti in gran parte dei casi, come beni quasi "propri", assumendo il datore di lavoro un ruolo marginale rispetto alla loro gestione.
Questa idea si è diffusa anche grazie al rapporto pressoché diretto e autonomo che il lavoratore ha con i beni stessi: il telefonino in genere va in uso ad un solo dipendente, il quale ovviamente ne diffonde il numero e con il quale si rende talvolta reperibile anche privatamente; stesso principio per la posta elettronica, sulla quale spesso non si applica alcuna differenza tra uso privato ed uso aziendale; il pc essendo in genere utilizzato solo da un utente, ospita anche documenti o immagini personali (chi non ha le foto dei figli o del cane sul pc aziendale????), così come le connessioni talvolta durante l'orario di lavoro si direzionano verso siti di attualità, passatempi ecc.

Nel tempo si sono succedute tante di quelle sentenze, spesso contrastanti, che hanno rafforzato i dubbi anziché dissiparli, arrivando così nel 2007 a dover vedere la Cassazione giudicare addirittura un licenziamento che trae origine da degli SMS.

Il punto è che non si attribuisce alcun disvalore all'utilizzo di certe risorse fuori dai limiti dell'uso aziendale. Probabilmente della sentenza non se ne sarebbe parlato se l'utilizzo indebito avesse riguardato un altro bene (avrebbe fatto notizia un licenziamento imputabile ad un utilizzo privato dell'auto aziendale?).

Proprio per ovviare a queste spiacevoli vicende (probabilmente il licenziato è ancora lì a chiedersi perché tanto accanimento...) recentemente è addirittura intervenuta l'Autorità Garante per la privacy. Che c'entra? C'entra perché finalmente in un provvedimento formale si è implicitamente denunciata l'assenza di una linea chiarificatrice in merito alla destinazione aziendale di risorse informatiche/telematiche. Difatti, nel provvedimento datato marzo 2007, è la prima volta che si parla chiaramente della necessità, da parte del datore di lavoro, di chiarire con precisione, l'obbligo di destinazione delle risorse tecnologiche impiegate nell'azienda, in cui certamente non rientrano solo posta elettronica o connessioni, ma anche i mezzi di comunicazione come i telefonini.

Il datore di lavoro può accedere ai dati
Se da una parte il Garante ha giustificato il provvedimento alla luce della necessità di bilanciare gli interessi del datore di lavoro rispetto al diritto alla privacy del lavoratore, dall'altra il medesimo provvedimento costituisce certamente uno stimolo per prendere atto che, ad oggi, certe presunzioni inerenti un utilizzo vincolato degli strumenti sul posto di lavoro, non sussistono.

E proprio l'uso dei telefonini ne è l'espressione piena. Si crede che sussistendo la privacy il datore di lavoro non abbia diritto di andare a verificare nel dettaglio l'uso che viene fatto dell'apparecchio; cosa assolutamente non vera, visto e considerato che proprio nel Codice privacy (decreto legislativo n. 196/2003) il legislatore ha sancito all'art. 124 (denominato Fatturazione dettagliata) che l'abbonato ha diritto di ricevere in dettaglio, a richiesta e senza alcun aggravio di spesa, la dimostrazione degli elementi che compongono la fattura, relativi, in particolare, alla data e all'ora di inizio della conversazione, al numero selezionato, al tipo di numerazione, alla località, alla durata e al numero di scatti addebitati per ciascuna conversazione (tale diritto è ovviamente valido anche per gli SMS!). È palese dunque che coincidendo l'abbonato con la figura del datore di lavoro, quest'ultimo possa accedere ai dettagli - diritto riconosciuto anche alla luce del fatto che i costi sono a suo carico - non violando, ma semplicemente superando la privacy che non può essere riconosciuta al dipendente il quale abbia in gestione un bene aziendale.

Lo stesso identico concetto è applicabile alla posta elettronica come alle connessioni ad internet, come al pc se forniti dal datore di lavoro. Tutto quanto sopra detto, è per concludere - come tante volte ormai la sottoscritta ha concluso - che il datore di lavoro per evitare tanti problemi dovrebbe predisporre un buon regolamento o idonei verbali di consegna degli strumenti che mette a disposizione del dipendente e che potrebbero - per la loro natura - essere "fraintesi" come beni quasi personali.

Il grave inadempimento che ha posto in essere il dipendente licenziato è stato sostanzialmente attribuito alla condotta assunta dallo stesso che si è comportato contrariamente alla comune etica o al comune vivere civile. Gli stessi principi che potrebbero essere invocati in casi di utilizzo per scopi personali della posta elettronica aziendale, come delle connessioni, e via dicendo. L'impressione è che se non si impara a "civilizzarsi" su questi aspetti, la sentenza della Cassazione non sarà l'ultima in materia.

Come sottrarre i dati di 2 milioni di clienti e vivere felici (o quasi...)

2007-07-10T08:30:00.000+02:00

C'è stato bisogno dei servizi segreti (sic!) per scoprire cosa è stato sottratto e come dalla Certegy Check Services, una società statunitense di gestione pagamenti.
Cosa? I dati di 2,3 milioni clienti.
Come? Con una semplice query verso un database
Da chi? Da un amministratore di database.
Leggete l'articolo completo su SecurityFocus.

Legge 196/03: il governo italiano vuole esonerare le PMI

2007-06-22T14:15:00.000+02:00

Leggo dal blog di Gigi tagliapietra, presidente del Clusit, che nella seduta 164 del 5/6/2007, la Camera dei Deputati ha votato, a larghissima maggioranza, un progetto di legge che prevede l'esonero per le imprese fino a 15 addetti dall'osservanza delle misure minime di sicurezza per il trattamento dei dati previsti negli art. 33-35 della legge 196/03.
Il Clusit chiede la sospensione del progetto di Legge e l'introduzione di iniziative mirate a facilitare e supportare le PMI in questo compito.
Leggi il comunicato stampa.
Notoriamente il sistema produttivo italiano è caratterizzato dalla prevalenza di micro e piccole imprese: sono oltre 4 milioni quelle con meno di 10 addetti. Esse rappresentano il 95 per cento del totale ed occupano il 47 per cento degli addetti. (ISTAT, "Struttura e dimensione delle imprese", Ottobre 2006).
Pensate alle imprese che si occupano di e-commerce, o che gestiscono dati sensibili in genere: forse che la dimensione dell'azienda abbia qualche influenza sull'importanza delle informazioni che gestisce?
La risultante è uno svilimento della figura della piccola impresa, che si può comportare in modo diverso dalle sorelle maggiori.
Sono sconcertato che il governo pensi che la salvaguardia delle attività di quello che è la componente principale del tessuto produttivo italiano abbia un'importanza relativa.
Si ricade sempre nella sensazione diffusa (ed errata!) che tutto quanto attiene alla protezione delle informazioni sia da considerarsi un mero costo, anziche' una garanzia per il futuro dell'impresa.

Dal CIO al CBT

2007-06-21T09:33:00.000+02:00

Interessanti i risultati dello studio annuale condotto da NetConsulting sul ruolo dei CIO nelle aziende private italiane: il dato più significativo che emerge è la ricerca di un allineamento tra gli obiettivi di business e quelli IT.
La figura del CIO si sta infatti orientando verso un approccio “business technology”, (leggi anche Non più Information Technology ma Business Technology) approccio che sottolinea la volontà di contribuire, attraverso l’innovazione tecnologica, alla crescita del business aziendale.
Leggete l'articolo su i-dome.

Combattere le minacce interne: una strada a 3 corsie

2007-06-20T10:20:00.000+02:00

Pochi giorni fa, a un seminario, incontrai uno dei responsabili della sicurezza di una banca: parlando della minaccia interna mi disse che l'azienda aveva già implementato filtri e sistemi di monitoraggio di tutto il traffico in entrata e in uscita attraverso le email, nonché sistemi che eliminavano i pericoli della web mail e dell'Instant Messaging.
C'era ancora qualcos'altro che, a mio parere, doveva essere fatto?
La risposta inizia con "Sicuramente sì", e continua così...

Negli ultimi 5 anni molte aziende hanno investito in modo significativo per proteggere i propri sistemi email da virus, spam, spyware, attacchi sulla porta SMTP (ivi inclusi i Denial-of-Service e i directory harvest attack).

Esistono oggi nuove tecnologie di filtraggio per analizzare il contenuto delle comunicazioni verso l'esterno: in alcuni casi le iniziative delle aziende prendono la mossa dalle necessità di adeguamento alle normative (il Codice in materia di protezione dei dati personali in Italia - DL 196/3) o la Legge Federale del 19 giugno 1992 sulla protezione dei dati (LPD) in Svizzera, e altre leggi similari che sono state implementatenella maggior parte dei paesi europei seguendo le direttive UE).
In altri casi ancora, le aziende che fondano la propria attività sulla proprietà intellettuale

Sfortunatamente, la maggior parte delle soluzioni di e-mail scan utilizzano una tecnologia obsoleta per l'analisi dei contenuti, come il riconoscimento delle parole chiave (keyword) o il matching di regular-expression, trovando quindi solo dati in formato fisso come i numeri di carta di credito o parole chiave come "documento confidenziale" all'interno del messaggio.

E' comprensibile che questo tipo di soluzioni rappresenti il "meglio-che-niente", poiché sono ancora molte le aziende dove i dati sfuggono senza il minimo controllo e senza che nessuno se ne renda conto.

Spesso queste soluzioni non possono gestire i contenuti più critici e alcune non riescono neppure ad aprire i file allegati che potrebbero contenere le informazioni.

Il modo migliore, quindi, per proteggere le loro comunicazioni dalle minacce interne (sia che si tratti di atti dolosi o semplici errori umani) deve seguire tre strade parallele:

scoprire e identificare tutti i contenuti che possono rappresentare un rischio quando oltrepassano il perimetro aziendale. Tutti i file contenenti informazioni personali o proprietà intellettuale che possono essere localizzati in dischi condivisi, sui laptop, sulle postazioni aziendali, o in qualsiasi database o archivio dati. Una volta individuato, il dato deve essere firmato e registrato per evitare che possa essere divulgato all'esterno via mail o con altri tipi di comunicazioni, come IM, FTP, IRC ecc. I prodotti di gestione delle email non sono fatti per proteggere i cosiddetti data-at-rest (i dati a riposo in qualche punto della rete);
implementare tecnologie di analisi del contenuto che vadano oltre il semplice esame dei formati fissi, che cerchino pattern di numeri e lettere. Esistono soluzioni in grado di guardare all'interno degli allegati, individuare la presenza di lingue straniere, ricercare identificatori univoci che possano rappresentare un rischio, o ancora fare un match con contenuti preregistrati. Le tecnologie di analisi dei contenuti devono anche essere multicanale, in grado cioè di individuare oltre ai contenuti delle email, anche l'uso delle webmail, dell'IM, ecc;
comprendere che la email non è il solo punto di rischio. Il motivo per cui è fondamentale il monitoraggio multicanale è dovuto al fatto che, sebbene molte aziende implementino policy e sottopongono le proprie persone a un adeguato training, sebbene blocchino l'installazione di software non aziendale sui PC e impediscano l'accesso a porte USB o CD, esiste sempre una possibilità che delle azioni fraudolente possano essere perpetrate.

Come ben ribadiva la scorsa settimana Fulvio berghella di Oasi (che ringrazio per la piacevole presentazione al convegno di Azienda Banca sulla minaccia dall'interno), anche la più divulgata policy sull'uso appropriato degli strumenti aziendali non può nulla se non è affiancata da strumenti per monitorare e assicurare un comportamento corretto.
Il controllo dei dati in uscita è un imperativo per il business attuale, sia che si tratti di proteggere il proprio brand e la propria reputazione, sia che ci si debba adeguare alle normative, o fare in modo che la proprietà intellettuale sia la caratteristica distintiva nei confronti dei concorrenti.
Per proteggersi dalle minacce interne e proteggere il proprio patrimonio, le aziende hanno bisogno di strumenti che individuino il dato quando ancora non è stato spostato, ispezionino i contenuti in movimento e considerino il rischio al di là del semplice canale email.
Soltanto con un approccio che segue tre vie parallele la protezione delle informazioni potrà limitare i rischi ofrendo ad aziende pubbliche e private la sicurezza necessaria.

Fuga di informazioni via P2P: da Pfizer in poi

2007-06-18T12:10:00.000+02:00

Metti una sposina che, a casa la sera, sola, quando suo marito è fuori a giocare a poker con gli amici, decide di ascoltarsi della buona musica.
Metti che voglia ascoltare proprio l'ultimo CD degli Artic Monkeys, di cui ha sentito un pezzo di sfuggita l'altro giorno in radio e che tanto gli è piaciuto.
Metti che il negozio di dischi sia chiuso e che la sposina non abbia altro a disposizione che il PC del maritino, di cui conosce la password di accesso.
Metti, infine, che sul notebook sia installato Kazaa...
Risultato: la sposina mette a disposizione della rete le informazioni di 17.000 tra impiegati attuali e passati del gigante farmaceutico Pfizer, dati contenenti informazioni sensibili come il Social Security Number associato al nome (leggete l'articolo su The Register per saperne di più).
Dimenticavo: il marito, come è lecito pensare, lavora alla Pfizer.

Risultato per la Pfizer: un'offerta ai dipendenti interessati di un servizio di monitoraggio del credito per un anno.

Cosa possiamo trarre da tutto questo?

Prima di tutto che non dovremmo lasciare le mogli sole a casa la sera, onde evitare accadimenti oltremodo spiacevoli.
Ma ancora più importante è la necessità di una serie di regole che le aziende dovrebbero implementare: innanzitutto di sensibilizzazione e di proceduralizzazione che si estrinseca nel comunicare che alcuni strumenti non possono essere installati dall'azienda e non devono essere installati dai dipendenti.
Dal momento che mettere solo un avviso non basta come misura contro un comportamento indesiderato, sarà necessario impedire questo tipo di comportamenti, e quindi installare appositi sistemi che impediscano l'installazione di software non desiderato oppure che ne consentano il monitoraggio.
Spesso nelle aziende non viene compreso che la maggior sicurezza è un fattore abilitante al proprio business: vengono implementate procedure utili solo qualora la normativa lo richieda.
A nessun ente, poi, viene demandato l'onere del controllo, ma solo nel caso di un procedimento giudiziario sarà possibile scoprire se l'azienda aveva ottemperato agli obblighi normativi (in Italia, la 196/03 impone alle aziende di proteggere i dati sensibili e di adeguare la propria sicurezza con il progredire delle minacce, implementando quindi nuovi sistemi e procedure di controllo).
Gli USA e il Regno Unito hanno fatto un passo in più: impongono alle aziende che hanno subito perdite di dati sensibili di avvisare le potenziali vittime e di darne quindi pubblica notizia.
Certo è che, nemmeno in questo caso, si avrà la sicurezza che l'azienda ottemperi all'imposizione normativa, ma le sanzioni, nel caso che la notizia arrivasse all'autorità giuridica, sono ovviamente severe.
Credo che alla fine il cerchio si debba chiudere sull'azienda che deve raggiungere la consapevolezza del grado di rischio che per sé stessa può avere una perdita di dati: reputazione, danni finanziari, procedimenti giuridici, multe, sono le potenziali conseguenze a cui può andare incontro.
Ho messo per prima la reputazione, proprio perché è quella che ha l'impatto maggiore: sia che si tratti di una banca, sia che si parli di un negozio online, la fiducia che l'utente ha nell'azienda che perde i suoi dati può calare vertiginosamente a fronte di una fuga di informazioni.

L'IT è una minaccia alla sicurezza aziendale!

2007-06-05T10:29:00.000+02:00

Perché vi sorprende che molti di noi ficchino il naso nei vostri file; voi non fareste altrettanto se foste in grado di avere accesso a tutto ciò che è a vostra disposizione?
Un amministratore IT intervistato

Sta facendo discutere lo studio condotto da Cyber-Ark Software, un'azienda americana specializzata nella protezione delle informazioni, che rivela che un terzo degli impiegati nell'IT ficca il naso nei sistemi dell'azienda per venire in possesso di informazioni confidenziali, come file privati, dati sugli emolumenti, email personali, curriculum vitae.
Lo studio, che secondo Cyber-Ark rivela "lo scandalo nascosto dei dipendenti IT ficcanaso" non fa che confermare quelle sentimento diffuso che, a bassa voce, si sparge in tutte le aziende: il dipartimento IT ha il potere dell'informazione, non solo perché ne gestisce l'esistenza, ma soprattutto perché ci può guardare dentro e ne può disporre a piacimento.
Quante volte mi sono sentito appellare da colleghi non-tecnici come parte della schiera di coloro che detenevano il possesso dei dati e con questi dati poteva fare ciò che voleva. E quante volte ho dovuto appellarmi alla deontologia professionale per "difendere" il mio dipartimento dalle insinuazioni.
Purtroppo la deontologia non è patrimonio di tutti e parallelemente è difficile avere un monitoraggio delle attività di ognuno, se non mediante appositi strumenti e dispositivi normativi aziendali.
In ogni caso il problema dei superpoteri dell'IT esiste (non per niente in Unix l'amministratore di sistema è chiamato superuser), ed è confermato dai risultati dello studio in oggetto che, francamente, risultano oltremodo sconfortanti.
Esaminiamoli brevemente:

più di un terzo degli intervistati utilizza gli accessi privilegiati per ficcare il naso qua e là nei sistemi aziendali;
più di un terzo degli intervistati, una volta cambiato lavoro, è stato in grado di accedere ai sistemi dell'azienda che avevano lasciato;
il 25% ha affermato che era al corrente che un ex-collega fosse ancora in grado di collegarsi alla rete nonostante avesse lasciato l'azienda;
più del 50% delle persone intervistate conservano le password su Post-it, nonostante si tratti di amministratori di sistemi informativi, persone, cioè, con una conoscenza dei rischi indotti da questo tipo di gestione. Questa è però la conferma che anche i sistemisti sono, prima di tutto, uomini;
le password di amministratore vengono cambiate raramente nel 20% delle aziende, mentre il 7% non le cambia mai.
l'8% dei rispondenti non ha mai cambiato le password di default assegnate dal costruttore sui sistemi critici (e sappiamo che il primo tentativo di intrusione in un sistema viene condotto proprio utilizzando le password di default, peraltro facilmente disponibili anche su Internet);
il 57% delle aziende conserva le password in formato cartaceo, il 18% in un foglio excel e l'82% dei sistemisti le conserva nella propria testa, introducendo un'ulteriore criticità di sicurezza e impattando potenzialmente sulla produttività aziendale.
il 15% delle aziende ha avuto atti di sabotaggio dall'interno.

Questo studio delinea due tipi di minacce: uno derivato dalla possibilità di disporre del patrimonio informativo aziendale, l'altro indotto dalla incapacità di organizzare la protezione dei propri sistemi, entrambi palesi sintomi di una scarsa professionalità.
Capiamo bene che metodologie come l'ITIL debbano prendere sempre più piede nelle aziende, anche nelle medie e piccole, ma è comunque arduo affrontare il problema dal punto di vista della gestione del personale. Come garantire l'accesso all'informazione senza che essa diventi aperta a tutti o addirittura un bersaglio per un abuso?
Come accennavo sopra, è un problema che va affrontato dal versante normativo aziendale e da quello degli strumenti di verifica di accessi e utilizzi non propriamente professionali: nessuno dei due può prescindere dall'altro.

Sicurezza senza compromessi o sicurezza compromessa? A voi la scelta

2007-06-01T10:23:00.000+02:00

Secondo voi qual è la minaccia più grave di perdita di dati o di fuga di informazioni?
La maggior parte di noi istintivamente è portata a pensare agli hacker che attraverso Internet, e con metodologie raffinatissime penetrano all'interno delle reti aziendali venendo in possesso dei dati più critici.
In realtà, chiunque volesse impadronirsi dei dati di un'azienda vorrebbe trovarvicisi all'interno: le cose sono molto più semplici quando hai un accesso con credenziali regolari a una parte dei dati di un'azienda.
Sapere come e quando i dipendenti accedono alle informazioni aziendali significa avere un'infrastruttura di monitoraggio di ciò che avviene dalla postazione del dipendente (in questo ambito denominata endpoint) ai sistemi che erogano i dati.
Il controllo degli endpoint gioca un ruolo chiave nella prevenzione e nella mitigazione dei rischi correlati alla minaccia interna: le istituzioni finanziarie sono più sensibilizzate di altre aziende, soprattutto per merito delle normative internazionali sulla riduzione del rischio, mentre i settori farmaceutico e dell'alta tecnologia, dove la concorrenza è più serrata e il valore di un dato progettuale o di ricerca è proporzionalmente più elevato, tengono la guardia alta già da tempo.
La serie dei report CSI/FBI degli ultimi anni ha evidenziato che la maggior parte degli attacchi proviene dall'interno delle aziende: è da notare che alcuni endpoint sono già presidiati a dovere, sebbene, diciamocelo chiaramente, le maglie del controllo sono abbastanza larghe per permettere ai dipendenti di poter svolgere il loro lavoro.
Questo fattore deriva dalla diversa impostazione che l'ambito finanziario ha nei confronti della sicurezza, rispetto ad altri ambiti come quelli citati della farmaceutica o della tecnologia.
In questi ambiti esiste una predisposizione alla sicurezza che non solo è basata su una solida piattaforma di policy aziendali, ma è soprattutto patrimonio comune e condiviso da tutti. Sto parlando di un approccio che è ormai presente da qualche decina di anni in molte aziende e che viene instillato nei dipendenti contestualmente all'assunzione.
E' l'approccio della "sicurezza senza compromessi", che si contrappone a quello che ho incontrato in molte aziende, che chiamerò, per contrasto, della "sicurezza compromessa".
Cosa prevede quest'ultimo? Prevede che, per evitare le lagnanze dei dipendenti che si vedono cambiare una piccola componente della routine lavorativa a seguito dell'implementazione di nuove procedure, si pongano dei limiti ai controlli, si aprano le maglie dei controlli, si introducano delle eccezioni che, dal momento che non vengono documentate, diventano poi un incubo da gestire.
E' una consuetudine, statene certi. E questo genere di situazioni da un'idea di quanto, in quelle aziende, si dia importanza alla preservazione del capitale informativo.
A questo punto cosa possiamo fare?
Possiamo gestire le eccezioni (nessuna legge è perfetta) ma dobbiamo affermare con solidità che una volta che le policy sono state emanate, le eccezioni devono essere vagliate da un comitato apposito, approvate e documentate.
Inoltre, l'approccio più corretto per individuare una frode interna non si limita solo a osservare ciò che i dipendenti aprono e guardano nei documenti, ma anche il contesto di cosa stanno facendo con quelle informazioni: esistono applicazioni che si occupano di Fraud Intelligence (o Information leakage intelligence), in grado di applicare regole di controllo del contesto alle attività dell'utente interno.
Ogni organizzazione deve avere un set di policy aziendali (altrimenti dette acceptable use policy) che devono essere sostenute, rinforzate, "inculcate" nei dipendenti, in modo che sappiano con certezza dove possono andare e dove no.
Consideriamo un esempio di endpoint poco monitorati: attraverso le reti wireless all'esterno dell'istituto è possibile accedere a quegli endpoint che sono stati lasciati accesi, o ai laptop che sono stati portati fuori dall'azienda. Questo costituisce una vera e propria apertura verso la rete o i dati aziendali, senza che nessuno se ne possa accorgere.
E cosa dire delle cartelle condivise? Molti grandi progetti conservano i dati in cartelle condivise, per facilitare il flusso informativo. Ma una volta che il flusso è partito, diventa difficile da fermare. Può capitare che in una cartella condivisa vadano a finire informazioni sensibili o classificate, semplicemente a causa di un errore umano, senza alcuna intenzione.
Una volta che il documento è inserito nella cartella, diventa disponibile a chiunque.
Cosa fare per l'audit?
Le aziende devono effettuare due tipi di audit su base regolare: sua sulle loro reti, per individuare gli endpoint nascosti e altre vulnerabilità correlate, sia nei confronti delle persone che lavorano in azienda, per accertarsi che le policy di sicurezza siano state correttamente comprese e messe in pratica da tutta la struttura.
Ovviamente a monte di questo ci deve essere un processo educativo e di sensibilizzazione di tutto lo staff: e non pensate che l'amministratore delegato e il direttore generale si possano tirare indietro.

Quando il controllo interno non è efficiente...

2007-05-29T10:39:00.000+02:00

Il recente studio "The Financial Management 2007 study", condotto da ACL Services Ltd. coinvolgendo 60 manager di aziende inglesi e tedesche, ha mostrato come la complessità delle attività di business moderne possano creare ambienti confusi dove attività fraudolenti e non adeguate alle normative passano tranquillamente inosservate.

Lo studio ha intervistato 60 direttori finanziari e dell'audit scoprendo che che il 77% circa degli intervistati erano d'accordo sull'affermare che una visione univoca di tutti i dati finanziari rilevanti è vitale per andare incontro alle esigenze della corporate governance moderna, sebbene meno del 25% delle aziende avesse un quadro completo della situazione, rendendo così molte delle aziende vulnerabili a inefficienze e frodi.
Nonostante questo, l'81% ha ancora fiducia nella possibilità di poter soddisfare le richieste di compliance e gli obblighi della governance.
L'84% dei manager crede che il monitoraggio continuo del controllo interno dei processi chiave di business possa assicurare una maggior integrità operativa e finanziaria, ma solo il 43% ha potuto implementare queste tecniche o è in procinto di farlo.
Il 57% attualmente effettua audit finanziari sia trimestralmente che annualmente, e solo il 27% afferma di voler eseguire audit più frequentemente (quotidianamente o settimanalmente). Questo nonostante la consapevolezza dei benefici di una pronta reazione quando il controllo interno non lavora come dovrebbe.

Per quanto riguarda attività fuori dalla norma, il 42% delle aziende non sa per quanto tempo una transazione sospetta, ovvero che ricade fuori dai parametri di controllo, possa passare inosservata, e più del 30% crede che un'anomalia possa sfuggire alle maglie del controllo per più di sei mesi.

Di certo questi risultati mostrano l'enorme complessità della gestione dei dati finanziari nelle aziende: sebbene molti addetti ai lavori accolgano la sfida, molti altri sembrano incapaci di implementare i cambiamenti organizzativi necessari, nonostante i palesi benefici per il business.

La maggior parte dei manager intervistati crede di avere implementato processi efficienti, ma non è oggi in grado di monitorare continuativamente le transazioni finanziarie, aprendo così le porte ad attività fraudolente e inefficienze organizzative, fattori che possono impattare seriamente i risultati finali di un'azienda.

Quanto funziona il vostro antivirus?

2007-05-28T08:30:00.000+02:00

I virus tentano di sabotare il nostro lavoro in modi sempre più raffinati: da tempo abbiamo installato un antivirus a bordo del nostro PC che (pensiamo) sia in grado di preservarci da ogni problema.
Credo che molti di voi avranno constatato che ciò non è sempre vero: personalmente, oltre all'antivirus installato (non più di uno alla volta) e oltre a mantenere un approccio "sicuro" verso la navigazione (evitando cioè siti "sospetti"), utilizzo altri tool, come ad esempio Hijack-this, per identificare qualche infezione che potrebbe essere sfuggita alle maglie di controllo dell'antivirus.
Spesso, però, mi sono chiesto quanto fosse efficace il mio AV contro le insidie del "mondo esterno".
Ed ecco che ci viene in aiuto il gruppo AV-Test.org, un progetto indipendente della Otto-von-Guericke-University Magdeburg (Germania) che, in cooperazione con AV-Test GmbH, mette sotto test, a intervalli regolari, software anti-virus, anti-spyware e personal firewall.
Lo scopo è quello di verificare le capacità di individuazione dei virus, configurando i prodotti con le opzioni di detection più aggrssive.
Nell'ultimo test, segnalato da PC Magazine, si prevedeva di testare le capacità di 29 prodotti con versioni aggiornate al 18 maggio 2007 verso 606,901 problemi diversi, tra cui:

* 68,864 backdoor
* 407,487 Trojan Horse
* 47,891 bots (zombies)
* 82,659 worm

Beh, non c'è che dare ora un'occhiata alla classifica per capire se abbiamo fatto la scelta giusta:

Programma	Problemi individuati	% di successo
WebWasher	605,846	99.83%
AVK 2007	604,255	99.56%
AntiVir	603,408	99.42%
F-Secure	594,333	97.93%
Symantec	593,355	97.77%
Kaspersky	592,606	97.64%
Fortinet	589,028	97.06%
Avast!	584,574	96.32%
AVG	583,541	96.15%
Rising	582,772	96.02%
BitDefender	580,700	95.68%
Norman	574,476	94.66%
Ikarus	561,607	92.54%
Panda	558,899	92.09%
Trend Micro	552,107	90.97%
Nod32	536,043	88.32%
McAfee	529,680	87.28%
Dr Web	520,959	85.84%
F-Prot	517,491	85.27%
VBA32	498,264	82.10%
Sophos	496,135	81.75%
eSafe	495,074	81.57%
Microsoft	488,942	80.56%
Ewido	456,660	75.24%
VirusBuster	441,341	72.72%
Command	414,036	68.22%
ClamAV	387,276	63.81%
QuickHeal	382,557	63.03%
eTrust-VET	376,983	62.12%

Quando la tecnologia non può nulla

2007-05-17T08:35:00.000+02:00

Abbiamo un bel lavorare noi che ci occupiamo (anche) di sicurezza: vai da una società, cerchi di sensibilizzarla su determinati argomenti cercando di trasmettere un'immagine della sicurezza che non sia solo una voce dell'elenco dei costi, ma un vero e proprio patrimonio aziendale, una cultura, un approccio che dovrebbe permeare tutta la struttura organizzativa.
Organizzi seminari, corsi, divulghi informazioni e testi, proponi (anche) soluzioni che cerchino di mitigare i rischi relativi al trattamento di informazioni sensibili che ogni azienda tratta all'interno della sua attività.
E' un duro lavoro, poiché le aziende prima di tutto pensano a come fare business, a guadagnare soldi, a discapito di quello che è poi la capacità di preservare i risultati, ovvero il frutto del proprio lavoro, e soprattutto la privacy dei propri clienti.
Vi farò un esempio, anzi, lascerò che l'esempio ve lo faccia YouTube: in questo video potrete vedere dei rappresentanti dei sindacati che, frugando tra la spazzatura delle filiali della banca, scoprono documentazione cartacea contenente dati sensibili dei clienti.

Nome e cognome, indirizzi, Social Security Number (qualcosa come il nostro codice fiscale) associati a numeri di conto corrente, firme, tutti dati a disposizione di chiunque.

Cosa ci può insegnare questo episodio? Che le aziende finanziarie non devono investire solo nella tecnologia, ma si devono assicurare che le prassi (o le policy) aziendali sulla non divulgazione di dati sensibili siano recepite e implementate a tutti i livelli della struttura organizzativa.
E' intuibile capire come l'informazione sia sensibile in tutti i suoi formati e in ogni momento del suo ciclo di vita: dalla creazione, alla diffusione, alla replicazione, alla distruzione.
Purtroppo l'informazione è replicabile e ogni azienda che voglia garantire la propria sicurezza, deve tenerlo ben presente: ogni qualvolta avvenga la duplicazione di un dato sensibile, anche il suo nuovo formato dovrà essere salvaguardato, che si tratti di file o fotocopie cartacee.
E per implementare questo è necessario che ogni singolo impiegato sia consapevole della sua responsabilità nei confronti dell'informazione, dell'azienda e dei clienti.
Non si tratta, quindi, solo di stilare procedure e policy che una volta scritte vanno a finire in un archivio e una volta lette terminano il loro ciclo di vita nel cestino sotto il tavolo, o in quello di Windows: si tratta di creare una cultura della sicurezza e divulgarla nel modo più efficace possibile. Non parlo di comunicazioni interne o di email, ma di corsi, seminari, video, manuali, strumenti che implementano un approccio completo.
Pensate anche solo al danno di immagine che una fuga di informazioni può comportare: se foste a New York, dopo aver visto il video, aprireste un conto alla Chase Bank?

Telefoni criptati: big business per l'Italia

2007-05-03T08:42:00.000+02:00

Corriamo il rischio che la telefonia cellulare in Italia non sia più spiabile.
Ce lo dice il New York Times, e tempo fa anche il Corriere della Sera.
I due articoli citati illustrano come il mercato dei telefoni criptati stia esplodendo: ne fanno uso politici, VIPs, ma anche persone meno conosciute che però sentono il bisogno di preservare il contenuto delle informazioni che scambiano al telefono.
L'articolo del NYT ha il pregio di riportare anche alcune statistiche, nonchè interviste ai rappresentanti di aziende italiane che operano nel settore.

La sicurezza è un mercato dei limoni?

2007-05-03T08:40:00.000+02:00

Alcuni giorni orsono mi trovai a presentare un prodotto di sicurezza sviluppato da noi e contenente un’implementazione dell’algoritmo AES con chiave a 256 bit.
Tra le varie funzioni del prodotto vi è la possibilità di crittografare un file e, mentre stavo esponendo questa funzione al mio interlocutore (un responsabile dei sistemi informativi) mi sentii chiedere: “Ma chi mi garantisce che effettivamente il programma faccia quello che lei afferma? Davvero implementa una crittografia forte così come lei dice?”
Al momento rimasi sorpreso dalla questione sollevata in quanto mi aspettavo una maggior fiducia poiché l'AES è un algoritmo implementato ormai dalla gran parte delle applicazioni di crittografia. Dopo un rapido calcolo, però, decisi di svelare parte dell’arcano e di mostrare qualche riga di codice, che, fortunatamente, conservavo in una zona criptata dell’hard disk del mio notebook.
Il mio interlocutore rimase ben impressionato dalla mia disponibilità, dalla capacità di spiegazione dell’architettura dell’applicazione e, soprattutto, da quelle poche righe di codice che indicavano che ciò che affermavamo era coerente con ciò che era contenuto nel programma.
Tutto sommato, gli sono grato di avermi dato la possibilità di aumentare la sua fiducia nei confronti della sicurezza dell’applicazione.
Qual è quindi la morale di questa storia?
Nel mercato della sicurezza esistono decine di prodotti diversi che cercano di risolvere lo stesso problema. Il successo di un prodotto sull’altro non sempre è dato dalle sue caratteristiche di efficacia, robustezza, affidabilità, etc.
Ce lo spiega anche Bruce Schneier nel suo articolo “A security market for lemons”, quando parla di Secustick, l’azienda che offriva l’unico prodotto sul mercato con capacità autodistruttive. Secustick è ua chiave USB in grado di crittografare il contenuto e proteggerlo con una password: nel caso si tentasse di accedervi non conoscendola, il contenuto viene distrutto dopo un certo numero di tentativi.
L’azienda affermava inoltre che il prodotto era stato commissionato dai servizi segreti francesi e veniva correntemente utilizzato in campo militare e da alcune banche.
Per sua sfortuna, un gruppo di esperti olandesi di Tweakers.net dimostrò che non esisteva nessuna funzione di autodistruzione, che la protezione via password poteva essere bypassata e che le informazioni non venivano nemmeno criptate. Non so qual è il numero di chiavette USB vendute, ma so per certo che ora il sito dell’azienda olandese è momentaneamente “offline” in attesa di una nuova versione di Secustick.
Perché ci sono così tanti prodotti mediocri nel mercato della sicurezza? Ma come, non lo sapevate? Ebbene, è proprio così. E perché si vendono più i prodotti mediocri dei prodotti buoni?
Ce lo spiega George Akerlof, economista americano, nel suo "The Market for 'Lemons' in cui illustra la sua teoria dell’informazione asimmetrica, in cui il venditore ha più informazioni sul prodotto di quante ne abbia il compratore.
Nell’esempio del mercato delle auto usate, in cui sono presenti auto migliori e auto peggiori (i cosiddetti “limoni” negli USA), il compratore basa il suo acquisto su un’auto usata di qualità media. A questo punto le auto migliori non verrano vendute, per il loro prezzo più alto. La loro rimozione del mercato ridurrà il prezzo medio che i compratori sono disposti a sostenere, e quindi anche le auto buone verranno tolte dal mercato, e così via, finché non rimarranno soltanto le auto di cattiva qualità (i limoni).
In conclusione, in un mercato dove il venditore ha più informazioni del compratore, I prodotti peggiori possono eliminare i migliori.
Il mercato della sicurezza è molto simile: il caso delle chiavette USB sicure descritto sopra è paradigmatico. Di fronte a offerte similari, dove i produttori affermano di utilizzare gli stessi algoritmi di crittografia, chi può farla da padrone? È estremamente arduo basare una decisione di scelta sull’efficacia del prodotto: il compratore dovrebbe avere gli strumenti (tecnologici e di conoscenza) per effettuare della valutazioni comparate, ma si tratta di attività specifiche e onerose, in termini di tempo e denaro da investire.
Quindi, i prodotti di sicurezza molto spesso non vengono scelti perché più sicuri di altri (caratteristiche non comparabili dai compratori, se non sulla carta), ma bensì per le caratteristiche più comparabili, ovvero il prezzo, la facilità di installazione e di configurazione, la semplicità d’utilizzo, la poca invasività nelle attività dell’amministratore della sicurezza. O ancora, la “pervasività” del venditore, la reputazione del produttore o le valutazioni di organismi indipendenti (i cosiddetti “analisti”).

Bancomat clonati go America!

2007-04-30T09:00:00.000+02:00

Sembra che i modi truffaldini per clonare i Bancomat siano sbarcati anche in America: secondo il Washington Post, i correntisti devono stare attenti agli sportelli automatici (ATM points, in English - da Automatic Teller Machine) che non hanno un'aspetto standard.
Nell'immagine viene mostrato un bancomat con un'enorme scatola contenente una telecamera wireless: niente a che vedere con le sofisticate tecnologie utilizzate dai criminali che operano in Italia.
Finalmente qualcosa in cui l'Europa è più avanti!

Minacce interne e protezione dei dati: un articolo da BankInfoSecurity

2007-04-26T12:51:00.000+02:00

Vi segnalo l'interessante articolo apparso su Bank Info Security lo scorso 13 aprile: è un'intervista a Eric Cole, noto esperto di sicurezza nonché autore del volume "Insider Threat" (un must per chiunque si occupi delle frodi aziendali).
In esso si parla della maggior attenzione verso le minacce provenienti dall'interno delle aziende, dei possibili rimedi e della necessità di diffondere una maggiore cultura della sicurezza.

Proposta: le aziende devono divulgare le fughe di dati personali

2007-04-20T08:50:00.000+02:00

Prendo spunto da un recente sondaggio condotto nel Regno Unito da Ipsos MORI e che ha mostrato che l'82% degli intervistati vorrebbero che le aziende che subiscono una qualsiasi forma di perdita di dati lo dichiarino immediatamente ai propri clienti.
Recentemente, negli USA e in Gran Bretagna, sono saliti agli "onori" della cronaca alcuni episodi di enormi perdite dei dati sensibili o finanziari di clienti o consumatori: è il caso della TJX, che ha dichiarato di aver subito la sottrazione dei dati relativi alle carte di credito di 45 milioni dei suoi clienti, della Nationwide, da cui è stato rubato un notebook contenente i dati sensibili di 11 milioni dei suoi clienti.
Non amo fare un paragone con gli Stati Uniti (perché già tutti lo sanno fare meglio di me e perché spesso li si prende come ispirazione soltanto per la maggior facilità di reperire informazioni), ma c'è una normativa a cui le altre nazioni dovrebbero ispirarsi: in California è operativo dal 2003 l'SB 1386 (Senate Bill), che impone a ogni azienda che mantiene informazioni personali dei suoi clienti di divulgare ogni episodio relativo alla compromissione della sicurezza dei dati. La norma si è poi diffusa negli ultimi anni in altri 34 stati dell'unione.

Il motivo è presto detto: i controlli e le sanzioni per i tentativi di nascondere sotto il tappeto le violazioni del proprio patrimonio informativo sono un incentivo che impone alle aziende di intraprendere adeguate misure di sicurezza per evitare fughe di dati e conseguenze sui propri clienti, sulla propria immagine, e, per finire, sul proprio business.
Gli strumenti disponibili in Europa, simili al nostro Codice in materia di protezione dei dati personali (e i suoi allegati), sebbene siano completi, non prevedono misure sanzionatorie specifiche per questi casi.
La normativa americana si basa su presupposti a cui è difficile opporre obiezioni:

la privacy e la sicurezza finanziaria delle persone sono sempre più a rischio a causa della crescente raccolta di informazioni personali nei settori sia pubblico che privato;
transazioni di carte di credito, abbonamenti a periodici, numeri di telefono, dati relativi ad affitti e acquisto di immobili, sondaggi sui consumi, dati di credito, siti web sono fonti di informazioni personali e costituiscono il materiale primario per i furti di identità;
il furto di identità è uno dei crimini con il tasso di crescita maggiore;
il furto di identità è un costo per i consumatori e per il mercato;
le vittime dei furti di identità devono agire rapidamente per minimizzare i danni.

Per questo motivo diventa imperativo l'invio di una notifica sul potenziale cattivo uso dei dati personali.
Come ulteriore incentivo affinché le aziende instaurino adeguate misure di sicurezza, c'è un altro dato che emerge dal sondaggio inglese: il 53% degli intervistati ha dichiarato che non usufruirebbe più del servizio dell'azienda che ha sofferto una violazione.
Solo il 53% ? Direi che gli inglesi sono fin troppo buoni.

Sicurezza dei Bancomat: impariamo dall'India

2007-04-16T10:15:00.000+02:00

Leggo sul sito della BBC che in India stanno sperimentando con successo degli sportelli Bancomat con riconoscimento biometrico che permettano anche a coloro che non hanno un livello di istruzione elevato di ritirare il proprio salario.
Il progetto, per il momento a livello sperimentale, permette di servire alcuni clienti della Central Bank of India, una banca statale: al momento dell'apertura del conto, l'impronta digitale del cliente viene digitalizzata e memorizzata su una carta con chip.
Al momento del prelievo, il cliente inserisce la sua carta, gli viene richiesto di appoggiare una delle dita di cui ha registrato l'impronta su un apposito scanner dello sportello ATM e il gioco è fatto.
Altro aspetto interessante del progetto sponsorizzato dalla Electronics Corporation of Tamil Nadu (ELCOT), un'agenzia governativa dello stato del Tamil Nadu, riguarda l'utilizzo di bancomat con sistema operativo Linux.

Esaminiamo brevemente i vantaggi di sicurezza di questo tipo di implementazione:

al cliente non è richiesto di memorizzare un PIN, quindi:

il sistema è più semplice da gestire;
il sistema è più sicuro: meno password e PIN ci sono da memorizzare, meglio è. Io, ad esempio, ho 3 bancomat, 2 conti correnti online e una memoria scarsa per i numeri. Indovinate dove mi sono scritto i PIN?

la combinazione "una cosa che ho + una cosa che sono" è più sicura della combinazione "una cosa che ho + una cosa che so". Nel caso specifico la "cosa che ho" è la carta, la "cosa che sono" è la mia caratteristica biometrica (l'impronta digitale), la "cosa che so" è il PIN. Quindi, carta+impronta digitale ha una sicurezza maggiore di carta+PIN. La carta è clonabile con tecniche ormai, purtroppo, diffuse; il PIN è ricavabile con tecniche altrettanto diffuse; l'impronta digitale è piuttosto difficile da replicare. E' ovvio che la combinazione più semplice e sicura è: una cosa che ho+una cosa che so+una cosa che sono (grazie Fabrizio per il suggerimento).

In un periodo in cui la sicurezza dei sistemi di pagamento è continuamente minacciata da tentativi più o meno riusciti di furti di identità e di frodi, sia online che agli sportelli Bancomat, è arrivato il tempo, ormai, perché la biometria permetta di rendere più sicure le nostre transazioni.
Chiedetelo alla vostra banca.
Se nel frattempo desiderate approfondire l'argomento, vi segnalo questo interessante articolo di Cecilia Biondi, che oltre ad essere un "Biometria for dummies", illustra anche alcune soluzioni presenti sul mercato.

Perdita dati: rischio operativo principale

2007-04-05T09:00:00.000+02:00

Una su tre aziende globali vede la perdita dei dati come una minaccia significativa e un’indicazione importante di cui tenere conto nella pianificazione del risk management operativo, secondo l’ultimo report sul global risk condotto da Economist Intelligence Unit (EIU) e sponsorizzato da ACE European Group.

L’indagine su 181 senior executives e professionisti del rischio ha rivelato che la perdita dei dati è la cosa che viene tenuta in maggiore considerazione in termini di rischio operativo, e oltre il 40% ha dichiarato che la loro organizzazione si è focalizzata più sulla perdita di dati che su altri problemi, inclusi il collasso dei sistemi, l’errore umano ed anche i disastri naturali.

I risultati mostrano un crescente trend del risk management verso una maggiore enfasi sull’impatto operativo della perdita dei dati. Commentando il report, Gareth Tungatt, Senior Underwriter specializzato in It e Cyber risk di ACE ha dichiarato: “L’indagine mostra che i risk manager comprendono chiaramente il valore del dato e, si stanno focalizzando sempre più sulle perdite derivanti da questo.”

Quando sono state chieste le ragioni per cui i piani di business continuity sono stati attivati nell’ultimo anno, meno del 16% ha identificato la perdita dei dati. Questo report sta fornendo un’evidenza sul fatto che molti business stanno guardando oltre per la pianificazione della business continuity. Il 71% degli intervistati ha dichiarato di avere aumentato il tempo e le risorse dedicate alla focalizzazione sui programmi di business continuity.

La ricerca ha mostrato che più della metà degli intervistati pensa che il volume e la severità dei rischi operativi sono aumentati negli ultimi tre anni ma che più o meno altrettanti ritengono che la pianificazione del rischio operativo del business avrebbe impatto positivo in aree come la valutazione del rischio e la quantificazione.

A proposito dell’impatto sul business di una pianificazione insufficiente, il 43% degli intervistati ha identificato il danno alla reputazione come principale minaccia. Tuttavia solo il 19% ha risposto con la perdita dei ricavi.

Tungatt ha commentato: "Il livello di timore apparentemente più basso per quanto riguarda la perdita di ricavi è un problema. In base ai risultati dell’indagine ci si aspetta che l’esposizione alle perdite finanziarie aumenti in modo che sia chiaro che i business dovrebbero fare molto più di quello che fanno attualmente per contrastare le implicazioni finanziarie della perdita dei dati."

Fonte: i-dome

Trojan bancari: evoluzione pericolosa

2007-04-03T09:00:00.000+02:00

I Trojan bancari, progettati per il furto di dati finanziari, sono in rapida evoluzione. Un esempio recente, StealAll.A, inserisce una libreria DLL nel browser di Internet per rubare le informazioni inserite dagli utenti nei form. Da quanto riportato dai laboratori di Panda Software, il 53.6% del nuovo malware apparso nel 2006 era costituito da Trojan. Il 20% di questi era di tipo bancario.

Si pensa che questo veloce sviluppo sia dovuto all’utilizzo di misure di sicurezza rinforzate da parte degli organi finanziari, come le “tastiere virtuali” che si gestiscono con il mouse per evitare che i keylogger rubino informazioni dalla battitura di password o dati sensibili in modo tradizionale. I cyber criminali sono al lavoro per cercare di superare questa nuova protezione. Solo qualche mese fa, infatti, i laboratori di Panda Software hanno individuato Banbra.DCY, un Trojan bancario progettato per catturare le schermate video per osservare esattamente quali caratteri venissero inseriti attraverso le nuove tastiere virtuali.

Un’altra tecnica comune è quella di usare codici maligni realizzati per attacchi pharming. Ciò consiste nella manipolazione del DNS (domain name system) che collega i navigatori alle pagine webdesiderate e li riconduce a falsi siti legati a servizi finanziari per recuperare i dati introdotti. Banker.CHG ne è un esempio tipico.

Luis Corrons, direttore tecnico dei laboratori di Panda Software afferma “i Trojan bancari sono una delle più grandi minacce di Internet e gli attacchi che li utilizzano possono avere effetti devastanti sulle 'finanze' degli utenti. Questi codici sono creati specificatamente e possono essere installati ed operare in maniera celata. Per questo motivo sono necessarie tecnologie preventive per rilevare nuove minacce attraverso l’analisi del comportamento”.

Per tutti gli utenti che volessero analizzare il proprio PC è disponibile la soluzione gratuita online di Panda Software, TotalScan o la versione beta di NanoScan, lo scanner online che rileva il malware attivo in meno di un minuto.

Fonte: i-dome