Repertorio notizie pubblicate sul sito
|
Repertorio delle notizie più recenti pubblicate sul sito. Preoccupazioni per possibili trojan sui computer dei Consumatori. Per leggere l'articolo cliccare qui. Considerazioni personali sugli “insider’s” interni partendo dal presupposto che i dipendenti costituiscono: la minaccia più seria, la prima linea di difesa, la risorsa più pregiata. Uno studio del servizio segreto USA e del CERT della Carnegie Mellon University descrive tratti e motivazioni più frequenti di un insider ostile interno. E questo perché è cambiata la percezione di una volta che considerava le minacce portate dall'esterno alla rete aziendale preminenti rispetto a ciò che potevano fare gli utenti interni: è ormai acclarato che gli attacchi portati da persone apparentemente fidate e in vario modo 'interne' all'azienda (dipendenti, consulenti, partner...) sono molto più dannosi, in proporzione, di quelli portati da hacker esterni on quanto un 'insider' è considerato affidabile, quindi meno controllato. In Italia, non esistono molte ricerche sulla percezione esatta che le aziende italiane hanno del crimine informatico e del peso che gli insider hanno in questi fenomeni. Un'indagine IBM su circa 150 imprese nazionali ha mostrato che metà (51%) delle aziende italiane intervistate ritiene che le minacce alla sicurezza aziendale provengano oggi dall'interno delle rispettive organizzazioni. Di contro, questo pericolo è evidenziato dal 66% delle aziende a livello mondiale. Buona parte (75%) dei responsabili IT italiani è poi convinta che il crimine organizzato dotato di competenze tecniche stia sostituendo la figura dell'hacker solitario e, in misura minore (50%) che una minaccia emergente proviene anche dai sistemi non protetti presenti nei Paesi in via di sviluppo. Sono tre le principali motivazioni che inducono un “interno” ad agire: la curiosità e la sfida: molti insider non considerano affatto ciò che fanno come un attacco all'azienda, ma piuttosto come una sfida attraverso cui dimostrare competenze e pazienza. Gli attacchi più comuni portati per questo motivo comprendono il forzare account di posta, fare penetration test non autorizzati o arrivare a informazioni sensibili come il salario del collega; la vendetta: e' la spinta degli insider che pensano di avere motivi di rivalsa nei confronti dell'azienda in generale o di qualche collega in particolare. Sono pericolosi perché hanno uno scopo preciso e forti motivazioni (tra i casi scoperti l’indagine ha rilevato che il 92% del campione agiva per vendetta); il guadagno: cresce il numero degli insider che rubano informazioni sensibili per conto di qualcuno esterno all'azienda. Gli attacchi più comuni rilevati: Sabotaggio: distruzione fisica di parte dell'infrastruttura IT o dei sistemi collegati. Furto di informazioni o di beni: sottrazione di informazioni digitali, furto di documenti cartacei, furto di oggetti informativi fisici. Inserimento di 'bad code': bombe a tempo, ossia software programmato per danneggiare un sistema in un certo momento, e le bombe logiche, che si attivano non a tempo ma secondo determinate condizioni. Virus: il portatore di virus più pericoloso è sempre l'utente disattento, ma anche gli insider usano introdurre virus nelle loro imprese. Attacchi a livello di protocollo: DNS spoofing, TCP sequence, hijacking delle sessioni TCP/IP, Denial of Service….. Attacchi a livello di sistema operativo - Sono portati soprattutto da parte di utenti tecnici e con privilegi di accesso, che sanno quali vulnerabilità ci sono nei loro sistemi e quali non sono state 'patchate'. Social engineering - La buona vecchia 'ingegneria sociale' è ancora un mezzo diffuso ed efficace per carpire le informazioni necessarie ad aumentare i propri livelli di autorizzazione in rete o per raggiungere altri dati importanti. (A. Caricato, ANSSAIF) La Business Continuity si occupa solo di disastri? In un recente Seminario, mi sono state fatte delle domande interessanti sulla Business Continuity. Avevo accennato che abbiamo or ora terminato, con l’approvazione del Business Continuity Plan da parte del CdA, quanto previsto dalla normativa della Banca d’Italia, ossia l’impianto di misure di continuità finalizzate alla mitigazione dei danni derivanti da eventi catastrofici che possano colpire i processi vitali e altamente critici della banca o di sue controparti rilevanti. Affermazioni o domande del tipo: “avete quindi terminato”, “siete pronti ad affrontare i disastri”, “la Business Continuity tratta solo di eventi di coda?”, mi hanno fatto molto riflettere. L’affermazione “avete terminato”, mi ha fatto pensare per un attimo a quanto fu studiato all’epoca del passaggio all’anno 2000 e all’euro. Furono studiati e predisposti dei piani di emergenza, in caso qualcosa fosse andato a male. Quell’esperienza, validissima, di pianificazione a tavolino di cosa fare in caso di interruzione di un processo aziendale critico, è stato un momento fondamentale, ma è poi terminata, non è proseguita, non è entrata, come dice l’amico Perazzo, nel “DNA delle persone”. Una funzione di Business Continuity, opportunamente collocata, doveva nascere allora (le eventuali eccezioni non fanno che confermare la regola) e diventare pienamente operativa. Per trovare un lavoro così sistematico, di mitigazione del rischio, elaborato congiuntamente dai responsabili dei processi operativi e di business e dalle funzioni di supporto (ICT, Logistica, Sicurezza, ecc.), ci si deve riferire all’attuale progetto, nato a seguito dei noti tragici fatti e sulla base di linee guida emanate dalla Banca Centrale. Mi domando: quante volte in azienda un piano di mitigazione di un rischio inatteso avrebbe potuto salvare l’immagine della banca ed evitare la perdita di importanti clienti? Mi ricordo di un collega che mi accennava alle conseguenze derivanti dall’interruzione del sistema informativo nel momento di massimo picco nella raccolta delle richieste per un’ OPA. Così pure di quella volta che una filiale, non avendo il collegamento TP con il sistema centrale, dovette chiamare la Forza Pubblica per placare gli animi dei dipendenti di un’azienda. In questo caso non fu assunta nessuna azione di emergenza, perché nessuno aveva intenzione di assumersi il rischio di pagare. “Abbiamo terminato?” Chiaramente no. Inizia ora la fase ciclica di manutenzione dell’impianto. Guai a fermarsi. Perché l’azienda non si ferma (per fortuna). “La Business Continuity si occupa solo di eventi estremamente rari?” In questo momento sì. La preoccupazione, lo ricordiamo, è che, a fronte di un disastro ampio e di lunga durata, possano continuare ad operare processi vitali quali il sistema degli incassi e pagamenti, i regolamenti fra banche, ecc. Di conseguenza, i progetti or ora terminati hanno tenuto conto del fatto che si fronteggiano eventi eccezionali e, quindi, livelli di servizio altrettanto eccezionali possono essere accettati.In casi quali il 9/11, la solidarietà a livello locale, istituzionale, nazionale ed internazionale è stata tale da compensare l’imprevedibilità dell’evento. Ma la domanda se la “business continuity in azienda si occupa solo di disastri”, fa riflettere.Ora che è stata instaurata la funzione di BCM, dotata di idonee risorse, sponsorizzata dal Vertice aziendale, e si è creato un ciclo di gestione e sviluppo, perché non pensare anche ad una sua utilità, che potremmo chiamare “quotidiana”, cioè rivolta agli incidenti che hanno una probabilità di accadimento, ossia misurabili? Perché non prevenire interruzioni quali quelle esemplificate in precedenza, stilando dei piani e formalizzando le azioni di mitigazione del rischio e di accettazione di quello residuo? Come beneficio si avrebbe un ufficio al di sopra delle parti che potrebbe riportare al top management delle proposte operative. Non ultimo, pensiamoci bene, la business continuity vedrebbe nei “process owners” un forte sponsor, specialmente ora che tutti ne hanno apprezzato la qualità e pragmaticità di approccio. Mi risulta che qualche realtà aziendale abbia già iniziato a procedere in tal senso. ANSSAIF potrebbe quindi chiamare queste realtà ed i soci ad un seminario da tenersi all’inizio dell’anno per approfondire questa tematica (indicativamente a metà febbraio). Invito pertanto tutti a fornirci, entro la prima settimana di gennaio, la propria disponibilità ad intervenire con la propria esperienza e le proprie idee al seminario. A.C.Wright Considerazioni personali sugli insider's interni – Parte seconda Abbiamo già detto che In Italia non esistono molte ricerche sulla percezione esatta che le aziende italiane hanno del crimine informatico e del peso che gli insider hanno in questi fenomeni, specialmente se si tratta di insider interni. Di contro, nei contesti lavorativi più moderni e sviluppati la valutazione dello “human factor” ha già da diversi anni un ruolo chiave nelle procedure di sicurezza. L’obiettivo in tali ambiti è quello di convincere le persone, al di là delle prescrizioni, ad attuare un comportamento sicuro, facendo leva anche sulla loro sfera motivazionale. Sul versante della sicurezza informatica e della prevenzione del crimine i fattori maggiormente indagati sono connessi alla percezione del rischio di attacco (per la valutazione delle vulnerabilità dei sistemi di sicurezza legate al fattore umano). Da tali ricerche è emerso che il rispetto di una procedura di sicurezza da parte delle persone si basa su una serie di schemi cognitivi ed atteggiamenti che costituiscono la percezione di rischio. Oltre a tali fattori occorre ovviamente considerare anche le condizioni di ergonomia della procedura e l’entità del rallentamento del processo lavorativo (alcune misure di sicurezza molto lunghe e complesse possono rappresentare un fastidio eccessivo per l’operatore). Ogni misura di sicurezza da rispettare costituisce infatti spesso una nuova dinamica da inserire nel processo di lavoro, in pratica una nuovo compito che l’operatore deve aggiungere al suo normale lavoro e tale inserimento deve essere “digerito” da tutti. Normalmente le fasi critiche nell’applicazione di una operazione di security informatica sono due: la prima fase si manifesta all’inizio, con l’introduzione della nuova prescrizione, quando le persone devono abituarsi alla novità e devono quindi superare le fisiologiche rigidità all’innovazione; la seconda fase critica si manifesta invece dopo un certo periodo di tempo, quando l’abitudine alla routine e l’assenza di incidenti che “legittimano” la misura precedentemente adottata abbassano l’attenzione e inducono al non rispetto della procedura di sicurezza in questione. Per tale motivo, ANSSAIF, partendo dal presupposto che dietro ad ogni tecnologia di sicurezza c’è una persona che deve utilizzarla, ritiene che anche la psicologia umana sia un fattore che deve essere considerato da chi progetta e gestisce la sicurezza informatica. Ecco quindi il perché della collaborazione con il socio ICAA (International Crime Analisys Association), finalizzato a predisporre ed utilizzare strumenti predisposti allo scopo con l’obiettivo di misurare i livelli di “preparazione psicologica” rispetto alla sicurezza informatica all’interno delle aziende utilizzando appositi strumenti. Uno di questi è il PRA (Psychological Risk Assesment), strumento realizzato dall’ICAA che valuta il livello di percezione del rischio di attacco informatico (interno ed esterno) e la diffusione di atteggiamenti e comportamenti potenzialmente facilitanti gli attacchi. La somministrazione di questo strumento è preceduta da una fase di osservazione dell’organizzazione al fine di individuare alcune esigenze specifiche. I ricercatori effettuano, prima dell’intervento, un breve colloquio con la dirigenza aziendale e con i responsabili della sicurezza per rilevare alcuni possibili “punti deboli” da misurare. I questionari utilizzati vengono somministrati ad un campione rappresentativo dell’azienda (di ampiezza variabile) e sono assolutamente anonimi. In aggiunta ai questionari vengono impiegate delle brevi interviste semistrutturate ai responsabili della sicurezza. Lo strumento PRA consente di evidenziare aree di rischio per quanto riguarda il fattore umano nell’ambito del processo di sicurezza informatica delle organizzazioni pubbliche e private. Il tempo di somministrazione dello strumento è estremamente breve (circa 20 minuti) e l’analisi dei dati ottenuti consente la realizzazione di un report molto efficace sullo stato della sicurezza della specifica organizzazione legato al “fattore umano” e di progettare un intervento correttivo basato su elementi di rischio realmente presenti nello specifico contesto di intervento. Chi fosse interessato ad approfondire l’argomento può scrivere a Questo indirizzo e-mail è protetto dallo spam bot. Abilita Javascript per vederlo. (A. Caricato – ANSSAIF) Perché non ci sono più attacchi massicci di virus? Vi ricordate i tempi di NIMDA, CODE RED, GAOBOT, e così via? Perché non si bloccano più le aziende? Perché milioni di computer non si fermano più, tutti assieme, un dato giorno? Ci sono tanti virus, tanti computer ogni giorno si bloccano, ma non è un attacco preoccupante. Almeno come in passato. I giornali ne parlano poco. I possessori di computer dormono sonni tranquilli. Sono convinti di essere protetti. Lo sono veramente? Hanno l’ultima versione dell’antivirus? Siamo certi? Una nostra indagine ha rivelato che su 100 utenti che hanno a casa il personal computer, tutti hanno un antivirus, ma solo il 45% si ricorda di quando ha scaricato l’ultimo aggiornamento! Il 5% è caduto dalle nuvole ed ha chiesto addirittura spiegazioni! Hanno tutti un personal firewall attivato? Sono state inserite delle regole per impedire l’uscita dal pc di informazioni personali? Il 75% ha risposto di no. Allora una domanda viene spontanea: non è che questa apparente "tranquillità" sta progressivamente indebolendo le difese? Non delle aziende, ma bensì di coloro che utilizzano il computer a casa, dove tengono dati personali e da dove fanno transazioni su Internet. Abbiamo accennato tempo fa alla nostra preoccupazione: non si sta preparando un attacco massiccio? Correggiamo la domanda: non è che criminali (non trascurando i terroristi) stanno installando “trojans” sui computer e da lì si preparano a prelevare dati o ad attaccare le aziende? Milioni di computer potrebbero diventare dei temibili nemici. Ecco allora l’invito nuovamente ai media: sensibilizzate, nel dovuto modo, i consumatori. Come il Cliente aggiunge l’olio al motore per evitare di perdere l'auto ed i soldi, così aggiunga sicurezza al computer. Ne basta poca: quella suggerita dal venditore o dal negoziante sotto casa. Nulla di più. Noi chiaramente siamo sempre disponibili a fornire informazioni ed aiuto. Un progetto di ricerca sulla percezione del rischio Il progetto di ricerca, promosso dall’ICAA (International Crime Analysis Association), da ANSSAIF (Associazione Nazionale Specialisti Sicurezza Aziende Intermediazione Finanziaria) e dall’ISCOM (Istituto Superiore delle Comunicazioni e delle Tecnologie dell’informazione) è iniziato nel settembre 2005 con le prime analisi pilota ed è giunto all’apice nell’aprile 2006 con la costituzione di un’equipe di ricerca coordinata dal Criminologo dell’ICAA Marco Strano e composta da rappresentanti di ANSSAIF, ISCOM, Symantec; è stato inoltre avviato un Comitato Scientifico al quale partecipano anche esperti di alcune tra le principali Banche italiane (Monte dei Paschi di Siena, Banca Sella, San Paolo – Imi, Banca Intesa Unicredit e Artigiancassa, e di BNL Direct Services. La relazione è allegata nell'area Eventi -- Convegni. L'inganno può arrivare via video Il nostro laboratorio ci avverte che una nuova forma subdola, tesa a far scaricare sul computer un software realizzato da un hacker, consiste nell'indurre un utente di Internet a scaricare un video clip. Il video può riguardare un argomento di generale interesse. Una volta scaricato il file con il video, all'atto di eseguirlo giunge un messaggio che richiede di scaricare un software per eseguirlo, dato che non risiede nel computer dell'utente. Quando questi scaricherà il "codec" in realtà memorizzerà sul computer un software che compirà una serie di operazioni tese a catturare sia i file (ad esempio: i documenti, file .doc) sia i dati digitati (inclusi codici utente, password, ecc.), per inviarli, alla prossima connessione Internet, all'hacker. E' necessario avvisare tutti i colleghi del pericolo e ricordare loro di non scaricare alcunchè da Internet. False email che sembrano provenire da Google. Il laboratorio avverte che stanno pervenendo alle aziende italiane false richieste di sponsorizzazione del sito, inserendolo tra i primi nelle ricerche eseguite dai "navigatori" sul Web. Nuovo attacco di Phishing tramite SMS. Abbiamo appreso che una nuova truffa avviene tramite SMS ed è indirizzata ai Clienti che hanno chiesto di essere avvisati, con tale mezzo, di una spesa avvenuta con la propria carta di credito. La nuova frode avviene in questo modo. Al correntista perviene un SMS che notifica la presenza di problemi e invita a connettersi (un possibile testo è il seguente: “"Attenzione, chiami il numero 0Y-XXXXXXX per verificare la transazione effettuata con carta di credito al fine di evitarne usi fraudolenti".). Una volta ottenuti i dati della carta dal Cliente (che era il fine ultimo del criminale!), la comunicazione telefonica cade o la sua prosecuzione viene rimandata ad un altro momento (“guasti tecnici”, una delle motivazioni). Il cellulare riceverà poi un SMS (questa volta vero) dal quale risulterà che è stata fatta una spesa consistente! La raccomandazione è sempre la stessa: non fornire mai i dati personali, anche se sembra che la richiesta pervenga da una fonte certa! Non dare per esatti i riferimenti del richiedente! La buona norma, da ricordare ai nostri Clienti, è quella di essere loro a contattare – in questi casi – la banca o la Società che gestisce la carta di credito e chiedere conferma della veridicità della richiesta. Nuovo attacco di Phishing per telefono Una nuova frode è in corso tramite SMS nel quale vi è un invito a chiamare un determinato numero telefonico. Al Consumatore viene richiesto il numero della carta di credito, ai fini di presunte irregolarità. Maggiori dettagli nella prossima Newsletter. Influenza aviaria: è avvenuta una mutazione? Il sito Al Jazeera (cliccare qui per leggere l'articolo) avverte del pericolo, chiamato "Fujan like strain". In effetti, l'Organizzazione Mondiale della Sanità avverte che si sono verificati altri casi di infezione, fra i quali 4 casi di decessi in Turchia e 7 in Egitto, di cui uno a Ottobre. E' quindi bene avere un piano da attivare in caso di una pandemia influenzale (aviaria o meno). Ricordiamo ai responsabili della Business Continuity in banca che il Joint Forum (Comitato di Basilea) ha già dato delle indicazioni in merito ai piani da predisporre. Diciamo questo, in quanto, fatta esclusione per alcuni grandi Gruppi Bancari, la maggior parte delle Aziende non ha formalizzato un piano da attuare in caso di pandemenia. Siccome, alla base delle soluzioni di continuità da adottare, ci sono degli oneri economici e delle azioni che dovrebbero prevedere un accordo preventivo con le Organizzazioni Sindacali, ci permettiamo di fare questa raccomandazione. Nuova truffa via SMS Si tratta dell'ultima truffa scoperta dalla Polizia Postale, che in pratica cerca di replicare le tecniche del phishing attraverso il sistema di controllo delle transazioni effettuate a mezzo SMS. Per leggere la notizia completa clicca qui. Un sito insegna come non farsi scoprire dagli antivirus! "Un semplice ma geniale software per camuffare i vostri eseguibili.Può rendendere qualsiasi lato server di un trojan invisibile agli antivirus". Questa è un invito, comparso oggi, ad imparare a come nascodere un trojan da voi costruito. E' tratto da un sito italiano acceduto dai ragazzi. Segue quindi la descrizione dettagliata (che ovviamente non riportiamo). Così facendo, nel giro di poco tempo avremo dei software in grado di non essere intercettati dagli antivirus! Il consiglio che diamo sempre alle aziende è di avere almeno due software antivirus e di tenere gli occhi bene aperti! BS25999-1 Pubblicata una nota di commento. Nella sezione "Business Continuity" dell'Area Riservata ai Soci, è scaricabile una nota sullo standard di prossima emanazione. |
|
