Spear phishing, altro che…

Leggo qui che ad un grosso ente pubblico USA sono stati sottratti 75 Gbyte di dati personali relativo a quasi quattro milioni di cittadini, compresi i soliti dati come numeri di carta di credito, numeri di conto corrente bancario eccetera. Come è stato effettuato l’attacco si legge qui: spear phishing. Lo spear phishing è un phishing mirato, che invece di inviare mail a indirizzi a caso, invia mail realizzate appositamente per colpire i dipendenti di una specifica organizzazione, cercando di convincerli a inserire le proprie credenziali in una pagina civetta o ad eseguire del codice che comprometterà il loro pc. Lo spear phishing è alla base degli attacchi di maggiore scalpore degli ultimi tempi, compreso quello a RSA dello scorso anno.

È una forma di social engineering,  come tale si basa su comportamenti scorretti da parte degli utenti. Il che vole dire che si contrasta con un insieme di misure tecnologiche, di politiche ma soprattutto di sensibilizzazione specifica all’utenza. Esercitazioni di spear phishig possono mostrare come, se ben praticato, percentuali molto elevate del personale di un’organizzazione possono consegnare all’attaccante le proprie credenziali, mentre ad un attaccante spesso bastano quelle di un solo utente… Una volta avuto accesso alla rete aziendale con le credenziali di un utente, le possibilità di accesso a informazioni riservate o di praticare ulteriori attacchi per accedere alle credenziali di altri utenti sono generalmente ampissime. Trovo abbastanza curioso che ci sia sempre tanta attenzione al testing delle applicazioni web, e così poca al testing dei propri utenti. Eppure, un’attività di sensibilizzazione mirata può essere estremamente efficace, in modo misurabile.

 

Posted in ict, Sicurezza | Tagged , , , , , | Comments Off on Spear phishing, altro che…

Con il cloud, gestire le password è più importante

Leggevo in questi giorni  della disavventura di “un’azienda farmaceutica” alla quale un dipendente licenziato avrebbe cancellato un certo numero di macchine virtuali, causando un danno considerevole. Cercando in rete, ho trovato qual’era probabilmente la notizia: questa. Cosa la rende interessante? Dopotutto, notizie di amministratori di sistema che una volta licenziati causano danni non sono certo una novità, né lo è il fatto che ci sia stato un problema nella revoca delle credenziali dopo il licenziamento.
Secondo me, l’aspetto interessante è vederla dalla prospettiva del cloud. Penso che abbiamo tutti presenti le immagini, rese famose dal fallimento della Lehman Brothers,  dei dipendenti licenziati che se ne vanno con i loro scatoloni. La logica è di allontanare subito il dipendente licenziato dal posto di lavoro, per evitare ritorsioni. Per quanto spiacevole, è una logica comprensibile, e nel caso dei sistemi informativi corrisponde alla revoca delle credenziali. Con il public cloud però, la cosa diventa ancora più critica, perché il dipendente, una volta allontanatosi con lo scatolone, spesso può accedere ad applicazioni e dati esattamente come quando era in ufficio. Il problema è reso ancora più critico dall’uso di dispositivi mobili. Con i sistemi “tradizionali”, lo stesso problema si poneva soprattutto in caso di disponibilità di accessi remoti, ma è proprio qui che nasce la vera differenza. Supponiamo di aver correttamente revocato le credenziali di un utente. In una gestione tradizionale, è molto probabile che abbiamo risolto il problema, perché lo scambio di credenziali per l’accesso remoto non è frequente, e spesso neppure possibile. Con il cloud invece, le risorse possono essere ancora tutte disponibili, perché accedute via Internet, anche con delle credenziali occasionalmente condivise da un altro utente. La cosa è immediata: il dipendente viene accompagnato fuori con il suo scatolone, lo posa in macchina, si siede e accende il tablet. Non può più accedere con le sue credenziali, o non le vuole usare per non essere subito scoperto? Bene, proviamo quelle di Tizio che ho saputo il mese scorso; oplà, il gioco è fatto, i dati aziendali se ne vanno. Molto diverso da dover rientrare nella sede per usare una postazione con l’accesso ai servizi interni.

 

Posted in ict, Sicurezza | Tagged , , , , , | Comments Off on Con il cloud, gestire le password è più importante

E-voting: alla discarica anche in Irlanda

In a final vote of no confidence, Ireland’s ill-fated e-voting machines are finally headed to the scrap heap.” (Irish Times, 29 gugno 2012)

Almeno nella sua versione Direc-recording Electronic (DRE) il voto elettronico perde sempre più appeal. Io spero (pensando a casa nostra) che esempi come questo e ancora più quello olandese, facciano riflettere meglio chi pensa che per risolvere i problemi di frodi e di efficienza del voto basti mettere un computer più o meno modificato. Le possibilità di manipolare i dati sono troppe, e chi pensa che bastino hardening e procedure più o meno rispettate per renderlo utilizzabile non ha mai veramente avuto a che fare con l’hardening e il rispetto di procedure in un ambiente ostile e propenso alla frode. E tutto questo senza considerare problemi ben più complessi che vengono introdotti, come quelli legati alle emissioni elettromagnetiche (Tempest), anche queste verificate nella pratica in Olanda. Il voto elettronico non è più economico (questo dimostrano tutti gli studi che ho letto al riguardo) e non è più sicuro, anzi: mentre le frodi con il voto tradizionale sono locali, con il voto elettronico si rischiano frodi su larga scala. L’unico vantaggio è che è più veloce nel conteggio, ma per quello basterebbe molto meno: schede stampate e conteggio elettronico. E per quanto riguarda le frodi di casa nostra, prima fra tutte la compravendita di voti fatta fotografando la scheda (o il monitor) con il telefonino, non cambia assolutamente niente. Invece di ragionare su come rendere “sicuro” il voto elettronico, come se fosse già scontato doverlo usare, proviamo a ragionare partendo dalle frodi…

Posted in ict, Sicurezza | Tagged , , , , | Comments Off on E-voting: alla discarica anche in Irlanda