Contatta il reparto vendite 800 13.40.41 | Richiedi il Supporto Partner EN flag

KNOWLEDGE BASE

Knowledge Base

Vai al Video

Data Breach Defence - 1° Parte

Oggi sempre più, la diffusione dell’informatica connessa e dei servizi in Rete espone al rischio di attacchi informatici, perché anche il singolo computer di casa o dell’azienda, ma anche la LAN aziendale, sono affacciati sul resto del mondo attraverso Internet; questo problema pesa ancora di più dalla diffusione del “lavoro agile” che ha visto allargare la “superficie” delle reti aziendali estendendole virtualmente dai server in sede alle abitazioni dei singoli lavoratori. Tale estensione di fatto implica che il computer del singolo utente non è più collegato con un cavo all’hub o switch della LAN aziendale e da qui al server, ma che al server stesso si accede dall’esterno, cosa che apre la porta a numerosi rischi.

A questo pericolo si aggiunge la “delicatezza” del computer del singolo utente, che non solo dev’essere protetto con strumenti idonei ma che va “maneggiato” con attenzione, perché anche lapertura di un messaggio di posta elettronica espone al rischio di infezione del computer, la quale, estremizzando, potrebbe propagarsi al server dell’azienda.

 In questo tutorial verrà affrontato il problema della Data Breach, ossia dell’effrazione dei dati informatici, in tutte le sue declinazioni, analizzandone origini e cause; in un tutorial correlato saranno proposti e valutati contromisure e rimedi. 

I sette strati della Cyber Security

La sicurezza informatica è qualcosa che può essere schematizzata con l’immagine seguente, la quale propone idealmente i 6 strati o mantelli che proteggono l’anima: i mission-critical assets che sono in sostanza gli asse determinanti per proseguire un’attività, sia essa d’impresa o di servizio pubblico e privato. Per asset si intendono dati, operatività dei computer ecc.

data breach defence 7 strati

Quello più esterno cui è esposta la minaccia è la Perimeter Security (sicurezza perimetrale) dell’infrastruttura) e quella più interna, ossia l’ultimo schermo contro il cyber-attacco è la Data Security (protezione dei dati attraverso la protezione dello storage e dello scambio di dati).

Ogni strato è una forma di difesa che può contare su determinati strumenti tecnologici e comportamenti dell’utente, che può essere superato dalla minaccia ma che di fatto è una tutela in più.

La Network Security è la sicurezza della rete locale intesa come ostacolo algli accesso non autorizzati, la Endpoint Security quella del singolo Client o Server su cui si eseguono le applicazioni o risiedono i dati (nonché la connessione tra i dispositivi e la relativa rete), mentre la Application Security è, appunto, la protezione dell’applicazione, dell’accesso alle applicazioni, del loro accesso ai dati Mission Critical.

Riguardo agli asset Mission Critical va precisato che non tutti i dati richiedono lo stesso tipo e livello di protezione, quindi è opportuno classificare e identificare i dati veramente vitali e concentrarsi sul proteggere quelli, invece di dedicare la protezione genericamente a tutti.

Agli strati suesposti se ne aggiunge uno, che è il fattore umano, come schematizza l’immagine seguente, la quale aiuta a comprendere come il primo elemento di vulnerabilità, davanti a un’infrastruttura dotata di una protezione articolata e strutturata, sia l’utente.

Per questa ragione non basta adottare e implementare soluzioni di sicurezza IT ma occorre prima di tutto informare e formare il personale affinché non commetta errori come, ad esempio, l’apertura di un alllegato di una e-mail infetta o di Phishing.

Sicurezza Informatica e analisi del rischio

Senza un'analisi preventiva della situazione dell’infrastruttura da proteggere, ogni intervento di sicurezza può rivelarsi inefficace. L’analisi del rischio è dunque la prima operazione da compiere e consta sostanzialmente nella raccolta di informazioni sul funzionamento e sulla struttura dell’infrastruttura IT, sulle minacce esistenti, le vulnerabilità dei sistemi e gli impatti che potrebbero avere, in modo da potersi tracciare il quadro completo della situazione.

Una volta determinato il rischio bisogna quantificarlo e valutarlo, ossia decidere se è ridotto, grande, accettabile o inaccettabile (se si verifica mette fuori uso il sistema).

Banner

Tutti gli asset aziendali sono soggetti a rischio, indipendentemente dalla loro natura. Identificare i rischi è fondamentale per agire preventivamente laddove possibile o per preparare un piano di emergenza.

La prima cosa da fare è scegliere l’approccio giusto e questo, per quanto riguarda i cyber attacchi,  corrisponde a mettersi nei panni dell’hacker: solo entrando nella mente di chi vuole attaccare la vostra infrastruttura sarete in grado di difendere meglio la vostra rete, le vostre applicazioni e in generale gli asset Mission Critical.

Stabilito che il primo step è un’analisi accurata dei rischi ai quali un determinato asset aziendale è sottoposto, possiamo avere quello che effettivamente è un piano d’azione contenente delle strategie correttive che ci permettono di minimizzare i rischi laddove questi siano significativi; bisogna quindi capire se va fatto qualcosa e come, rammentando che ogni cambiamento, aggiornamento o potenziamento dell’infrastruttura IT può far emergere nuove vulnerabilità e richiede quindi di eseguire da capo l’analisi del rischio.

L’analisi dei rischi permette di prendere decisioni su come mitigare il rischio e decidere i controlli di sicurezza e le misure di sicurezza da mettere in atto, ovvero valutare se strumenti eventualmente esistenti sono appropriati e idonei a proteggere dai rischi. All’analisi del rischio consegue la gestione del rischio o Risk Management.

La valutazione del rischio dev’essere vista come strumento per prendere decisioni e non per raccogliere dati o per fare i calcoli

L’analisi del rischio può essere fatta appoggiandosi a strumenti informatici e concretizzata in un prospetto degli asset e dei rischi correlati: un esempio è il foglio di calcolo Excel proposto nell’immagine seguente dove è indicato quali sono gli asset che devono essere protetti, la lista degli elementi che contengono informazioni (posta elettronica, computer, smartphoner, sistema gestionale) ecc.

asset

In questo foglio Excel si vede un diagramma con la percentuale di adempimenti sistemati e quelli che sono ancora da sistemare.

Qualsiasi intervento correttivo di un problema causato da una minaccia concretizzata o preventivo di un solo aspetto o categoria di minacce, se rimane a sé stante non può mai fornire garanzie, tantomeno sostituire quelli presi a seguito di un’analisi del rischio ben strutturata ed eseguita.

Banner

L’importanza di essere consci di quelli che sono i rischi e le aree di esposizione (le aree deboli) è oggi qualcosa di inderogabile se si vuol mettere al riparo la propria attività da eventi che possono pregiudicarla seriamente, siano essi agenti esterni (cyber attacchi) che guasti e arresti di applicazioni e sistemi operativi.

Banner

L’analisi del rischio può essere semplificata dall’utilizzo di tool informatici in grado di compiere quelle analisi che l’uomo da sé non può condurre: i Pen Testing sono tra di questi, ma anche strumenti di ricerca delle vulnerabilità e simulazione di attacchi. 

Riguardo all’individuazione delle aree di esposizione, esistono tool in grado di verificare se e dove esistono; tool anche gratuiti come quello di LIBRAESVA (www.libraesva.com) uno strumento completamente gratuito per verificare dove vi sono delle aree di esposizione al rischio all'interno della posta elettronica.

Peraltro l’analisi dei rischi serve anche a valutare se esistono possibilità che venga compromessa l’integrità, disponibilità e riservatezza dei dati personali custoditi dai soggetti GDPR, onde evitare di incorrere nelle relative sanzioni previste dal Regolamento.

Chiaramente l’analisi dei rischi comporta costi in termini sia di denaro (budget) che di impegno delle risorse umane (effort) ma il budget non è un problema quando non si riesce a valorizzare quanto incide una certa falla di sicurezza sul business. E qui si entra nel concetto di BIA (Business Impact Analisys) ossia analizzare e quantificare il danno che farebbe al business l’aver trascurato una minaccia che poi si concretizza.

Il tema analisi e gestione dei rischi è tanto importante quanto poco applicato: capita la situazione di MSP i cui clienti soggetti al GDPR hanno espletato tutta la parte riguardante la privacy senza consultarli relativamente alla gestione dei rischi, nemmeno per quel concerne il perimetro informatico.

Non solo il responsabile dell’infrastruttura IT e quindi l’MSP deve essere interpellato perché competente in materia di sicurezza informatica, ma occorre anche che esso aiuti la realtà aziendale a redigere un documento di analisi e gestione (cioè cosa fare e chi deve farlo in caso si concretizzi il rischio ipotizzato) dei rischi, se non altro perché in caso di Data Breach ed eventuale ispezione del Nucleo Ispettivo della Guardia di Finanza bisogna esibire anche un qualcosa di scritto che tuteli, ossia che dimostri che in qualche modo si è cercato di prevedere i rischi e di approntare procedure per scongiurarli. Infatti la negligenza è seconda solo al dolo, quando si tratta di esporsi a sanzioni in caso di violazione del GDPR; l’errore, invece, spesso è perdonato.

Proprio il GDPR, aggiunge problematiche inerenti ai rischi legati al trattamento dei dati personali, che potrebbero essere trafugati o accidentalmente essere diffusi e quant'altro.

Minacce legate all'accesso fisico ai sistemi IT

Uno degli attacchi che possono essere portati ai dati è quello che passa dall’accesso fisico a un computer, sia esso una singola workstation o un client o server di rete; per accedere, l’attaccante deve conoscere o carpire le credenziali, ovvero riuscire ad annullare la password di accesso al sistema operativo. Siccome almeno in Windows esiste una modalità con la quale si può bypassare la login utente (per esempio resettando la password con Kali Linux, l’ideale sarebbe attivare anche la password del BIOS, che è un qualcosa di ormai trascurato da molti, ma che presenta un livello di protezione sicuramente più resiliente rispetto all’autenticazione del sistema operativo. Sicuramente in un computer con una password del BIOS diventava un po' più difficile fare il reset della password Windows, perché tale modalità di autenticazione non permette neppure il bootstrap del sistema operativo.

Certo, si potrebb obiettare che anche la password del BIOS può essere aggirata, ma tale operazione spesso richiede l’apertura del computer e il reset della memoria CMOS (o il distacco della pila di memoria del SETUP).

Altra minaccia legata all’accesso fisico ai computer è quella che deriva dalla connessione di periferiche di storage, come la tipica chiavetta USB, della cui sicurezza non si è certi; queste potrebbero contenere file autoeseguibili o eseguibili che portano virus all’interno del computer o si connettono a siti Internet dai quali parte un attacco informatico che magari carpisce le credenziali di accesso alla macchina o penetra la rete sfruttando una richiesta implicita che, pur non essendo stata fatta manualmente dal computer, è stata generata dal virus: una richiesta che apre le porta al controllo da remoto o all’introduzione di contenuti pericolosi.

Ecco perché una delle operazioni da compiere consiste nel bloccare, anche mediante tool di sicurezza, l’utilizzo delle porte USB: per esempio l’accesso ai dati o le applicazioni che richiedono l’accesso al PC.

Stesso discorso potrebbe applicarsi ad altri lettori di periferiche come l’unità a dischi ottici (DC-ROM e DVD): anche in questo caso esistono rischi connessi ad applicazioni autoeseguibili che addirittura possono andare in esecuzione senza mostrare alcun segno di ciò che fanno, semplicemente perché sono scritte in modo da non interfacciarsi con l’utente mediante lo schermo. Si tratta di applicazioni che possono, anche in questo caso, rubare dati o credenziali o connettersi a Internet a siti pericolosi per installare nel computer codice malevolo.

Anche in questa situazione la soluzione consiste nel bloccare l’accesso ai supporti se non da parte dell’amministratore del sistema; oppure proteggerli con un software di sicurezza adeguato.

Il ruolo dell'Endpoint Security

La visione della cybersecurity deve essere a 360 gradi, quindi una visione completa e non limitata a questo o quell’aspetto. In questo contesto è fondamentale la sicurezza dell'endpoint, per vari motivi: il primo è che un attacco in qualche maniera va impattare su un endpoint, ossia il Client o Server (il device in generale). Quindi la prima protezione dev’essere quella del device, perché un attacco inizia sull’endpoint per andare a prendere informazioni rubare il dati o transita attraverso l’endpoint; in ogni caso un cyber-attacco coinvolge l’endpoint. Come mostra l’immagine seguente, ad oggi il 76% degli avvisi di sicurezza viene generato dagli endpoint ed è correlato ad essi, ed il 40% delle violazioni di sicurezza avviene a livello dell’endpoint.

 endpoint

Gli endpoint sono i più comuni punti di accesso per l’hacker che voglia introdursi in una rete locale aziendale e spesso contengono tante informazioni che possono aiutare a fare un'analisi molto approfondita di quello che sta succedendo, cosa importante perché gli attacchi sono sempre più complessi e difficili da individuare.

I vettori di attacco a disposizione degli hacker sono tantissimi: sempre più si utilizzano alcune specifiche vulnerabilità, soprattutto le vulnerabilità zero day e qui di quelle ancora ignote e per le quali non è stato implementato un rimedio. Vettori sono spesso anche le e-mail infette e di phishing, ma un cyber-attacco può essere anche di tipo bruteforce.  

Una volta che l’hacker ha penetrato un endpoint utilizza strumenti per propagare l’attaco alla rete cui l’endpoint è connesso. E purtroppo, sempre più si tratta di tool leciti per fare cose non lecite.

Lo schema di attacco e penetrazione della rete è proposto nell’immagine seguente.

 schema attacco

Questo perché l'utilizzo di tool del genere è difficilmente individuabile dalle classiche soluzioni endpoint protection perché spesso si tratta di tool presenti nel sistema operativo e che quindi l'antivirus ne considera non sospetto l’utilizzo.

Tra questi tool troviamo ad esempio Powershell e Nmap.

Ognuno di questi tool viene impiegato anche più volte per fare alcune cose che sono tipiche di un attacco, quindi la parte di Execution, di evasione della difesa, i movimenti laterali all’interno della rete cui appartiene l’endpoint e così via.

Sicuramente chi fa il Sys Admin sa che esistono Psexec, Pstools, Rexec, però un utente comune no, quindi è importante dotatris di strumenti di protezione endpoint capaci di controllare l’utilizzo di certi tool., giacché, ad esempio, Powershell è qualcosa che è già nel sistema operativo Windows e ci si può fare qualsiasi cosa. Anche fare una Privilege Escalation (ossia passare da utente normale ad amministratore) sfruttando una vulnerabilità 0-day è facile; per non parlare del fatto che spesso i computer Windows vengono consegnati con già attivato l’utente amministratore, che è l’unico, quindi l’attaccante non deve neppure fare la fatica di eseguire una Privilege Escalation. Perché il computer gira con l’utente che può fare qualsiasi cosa. Un generico malware può quindi installare un servizio con ilcomando sc.exe seguito dal nome dell’eseguibile che si scarica tramite Internet e a quel punto nel computer è installato un RAT (Remote Access Trojan) che all’inizio può non far nulla per non insospettire, ma che può essere sfruttato in ogni momento per portare un attacco da remoto.

Le soluzioni di protezione che vengono utilizzate sono sempre al passo di quelle che sono a livello tecnologico le tipologie di attacchi che vengono veicolati e questo è uno dei motivi per cui i vendor periodicamente rilasciano aggiornamenti dei loro programmi di sicurezza IT, ad esempio per capire come controllare il comportamento di tool leciti sfruttati dagli attaccanti per capire quando sono utilizzati in maniera sospetta.

La protezione non è solo tecnologia, ma affinché sia efficace è anche importante avere una certa esperienza in fatto di cyber security e questo è uno dei problemi che si riscontrano con maggiore frequenza: la mancanza di personale qualificato a livello di sicurezza IT all'interno delle aziende.

Come mostra il grafico nell’immagine seguente, che divide le minacce relativamente alla persistenza, alcune tipologie di attacchi sono molto veloci e quindi è più facile individuarli con la tecnologia, mentre in altri casi come sfruttamento delle vulnerabilità, ci sono esempi di attacchi molto sofisticati che durano mesi e anni ed è chiaro che questi attacchi molto più complessi sono difficilmente individuabili dalle tecnologie, se non l’intervento del tecnico.

persistenza

Quindi ai tool di sicurezza informatica va affiancato l'esperto che va ad analizzare tutti i movimenti lenti che cercano di non far scoprire quello che sta facendo l’hacker.

Per fare qualche esempio, un ramsomware è molto veloce e solitamente è attacco immediato e facile da individuare, malgrado la sua preparazione possa essere anche più lung; ma attacchi come ad esempio minacce finanziare... le classiche e-mail di cambio IBAN possono durare anche settimane. Attacchi di spionaggio industriale o istituzionale, invece, possono durare mesi e anni ed  è chiaro che bisogna avere competenze molto alte per poter fare un'analisi.

Vulnerabilità del codice nello schema CI/CD

Quando si parla di vulnerabilità di sicurezza nel software si pensa di solito ad errori di programmazione, ma le vulnerabilità (o falle) di sicurezza possono anche essere introdotte di proposito con il preciso scopo di trasformare un software in un vettore d'attacco. In casi del genere l'obiettivo (il target dell’attacco) riceverà il software compromesso direttamente dal suo fornitore e pertanto lo riterrà sicuro e lo eseguirà; questa tecnica prende il nome di Supply Chain Attack.

Il ricorso ad attacchi di questo tipo è sempre più frequente: basti pensare al noto caso di SolarWins e della sua soluzione Orion utilizzata per attaccare alcuni dipartimenti del governo americano; tale caso offre interessanti spunti di riflessione sia per chi sviluppa software sia per i vendor e per gli utenti finali.

Banner

Prima di vedere nel dettaglio di che si tratta occorre fare una premessa riguardante le modalità con cui il software oggi viene sviluppato e distribuito oggi: la tecnica che si utilizza per la maggiore è la Continuous Integration and Continuous Delivery (CI/CD); in pratica lo sviluppatore che effettua delle modifiche sul codice innesca l’esecuzione di un processo automatizzato. La pipeline CI/CD  ha lo scopo finale di creare il prodotto da distribuire agli utenti finali e quindi si tratta di una pipeline composta da diversi stadi di testing, di integrazione, fino ad arrivare al processo di deployment del prodotto finale.

Proprio questo aspetto è stato oggetto di attacco nella vicenda SolarWinds: gli attaccanti hanno compromesso i server di continuous integration di SolarWinds che utilizza una soluzione CI/CD della Brainstem sviluppando un malware ad hoc il cui scopo preciso era quello di modificare durante l'esecuzione della pipeline il codice sorgente di Orion la back door che poi è stata utilizzata per attaccare il governo americano.

Non è chiaro come il malware sia stato installato sui server di SolarWinds: si sono fatte varie ipotesi tra cui credenziali trafugate, compromissioni delle e-mail e si suppone che gli attaccanti abbiano utilizzato tecniche di ingegneria sociale (Social Engineering) per ottenere delle credenziali di accesso a questi server.

L’attacco è iniziato nel 2019 e per mesi gli attaccanti hanno avuto il pieno controllo dei server di Continuous Integration rimanendo del tutto non identificati; addirittura dopo aver inserito con successo una back door in una delle versioni di Orion hanno rimosso il malware al fine di eliminare le proprie tracce dai sistemi.

Il fattore umano: l'anello debole della Cyber Security - Rischi legati alla Social Engineering

Secondo statistiche, il 90% delle Data Breach inizia con qualcuno che clicca su una e-mail, il che avvalora la tesi secondo cui l’anello debole della Cyber Security è sempre il fattore umano e questo perché spesso le aziende investono nella Cyber Security intesa come tecnologia hardware e software, ma trascurano il primo livello di difesa che sono i comportamenti umani.

 In questo contesto l’adesione massiccia allo Smart Working ha enfatizzato il peso dei comportamenti umani, attraverso una serie di situazioni alle quali sino a poco tempo prima nessuno  era abituato: il distanziamento sociale, l’isolamento, la disperata ricerca a volte di informazioni “Googlando” a destra e manca ha dato luogo a una serie di vulnerabilità, perché le persone a casa hanno fatto più uso personale del computer utilizzato anche per connettersi al lavoro da remoto. Tale situazione è ben prospettata nell’immagine seguente.

smartworking

I dipendenti mediamente non hanno la consapevolezza di tutta una serie di vulnerabilità e di problematiche in grado di pregiudicare la funzionalità dei sistemi informativi delle aziende per le quali lavorano e questo apre le porte agli attacchi.

 

La formazione tradizionale, per queste tematiche non è più sufficiente, perché la formazione in aula o ancor peggio fatta di ore ed ore dietro un schermo non è utile: il rischio è che di 100 persone che partecipano a un corso formativo ne arrivi il 20%.

Occorre cercare un percorso formativo basato su tecniche innovative con cui catturare l’attenzione del dipendente che deve fare il corso e fargli capire che le informazioni che sta ricevendo servono innanzitutto ad esso; questo perché spesso si vede la formazione come qualcosa di noioso cui si deve partecipare per far contenta l’azienda, ma non è così. Quindi il primo punto è far percepire al personale che la formazione che sta facendo è una formazione prima di tutto per tutelare i suoi dati e quelli dei suoi cari e a questo punto il comportamento virtuoso é a beneficio anche dell’azienda.

 

Nel concetto di formazione rientra anche il metterle in guardia da chiamate sospette, e-mail sospette che richiedono informazioni personali e via di seguito, anche se si tratta di informazioni apparentemente irrilevanti, perché non è detto che solo comunicando username, passord, PIN ecc. si corrono dei rischi; a volte anche dati come la propria squadra o lo sport preferito, il nome del compagno di banco a scuola, date di nascita e via di seguito possono essere pericolose. Per capire ciò basti pensare che molti siti prevedono domande segrete (eBay è uno di questi) per il recupero delle credenziali e un attaccante può portare attacchi di tipo Bruteforce accelerati dall’utilizzo di specifici dizionari contenenti parole, password o gli username più comunemente utilizzati, che si basano su ricorrenze, nomi e soprannomi ecc. Questi indizi possono essere aggiunti ai dizionari prima di portare gli attacchi, come keyword, dopo averli carpiti al malcapitatato.

E-mail come vettore di attacchi informatici

Tanti attacchi partono dalle e-mail e dalla loro apertura da parte delle persone; questo è un fattore da non trascurare perché per rendere sicura in’infrastruttura IT aziendale non basta avere antivirus, firewall, protezioni endpoint meticolose, se poi la condotta di una persona che ingenuamente cade in una trappola vanifica tutto.

Di fronte a ciò non bisogna commettere l’errore di pensare che l'attacco possa colpire soltanto l’utente poco preparato e poco attento, perché oggi gli attacchi sono ben più complessi e difficili da identificare.

Oggigiorno viene molto utilizzata l'email come strumento per portare attacchi informatici perché ha tre grossi vantaggi:

  • l’attacco via e-mail è praticamente anonimo perché è praticamente impossibile risalire immediatamente all’identità dell’attaccante;
  • i costi di una campagna massiva di cyber-attack tramite e-mail sono bassissimi;
  • la posta elettronica è uno strumento molto diffuso in ambito aziendale e istituzionale e in un’azienda viene utilizzata praticamente da tutti i soggetti, il che garantisce un’ampia superficie di attacco a chi avesse intenzioni tutt’altro che buone.

A questi si aggiunge il più grande dei vantaggi: portando un attacco tramite e-mail è l’utente o il proprietario del computer o della rete ad aprire le porte all’hacker, il quale non deve fare tutta la fatica che farebbe se ricorresse solo ad altre metodiche.

In virtù di ciò, oggi si può parlare di franchising degli attacchi via e-mail, nel senso che da 3-4 anni ci sono dei veri e propri subaffittatori di codice malevol, quindi se prima gli attaccanti verosimilmente erano anche collocati in determinate aree geografiche e scrivevano in un italiano discutibile perché lavoravano con Google Translate, quindi generavano delle e-mail quantomeno sospette, oggi chi scrive queste e-mail trabocchetto è collocato un po’ ovunque e utilizza servizi del Dark Web collocati in certe aree  geografiche, ma conosce la lingua e sa creare messaggi molto credibili.

I soggetti che vendono codice malevolo per ransomware sul Dark Web percepiscono una provvigione ad ogni riscatto pagato dall’attaccante, ma anche il creatore del codice.

In ogni caso nessun attacco e-mail riuscirebbe senza il fattore umano, perché nessuna e-mail potrebbe fare danno se l’utente non fa click sul link, non esegue una macro corrotta, non attiva una componente specifica; tale pericolo viene acuito dal fatto che spesso esistono link in bianco nascosti all'interno delle e-mail, ovvero inseriti in oggetti invisibili in modo che se anche l’utente più accorto per errore vi clicca sopra magari perché sta toccando il mouse, può incorrere in un attacco.

Oltre al fattore umano appena descritto esiste il fattore sociale; in questo contesto rientra il concetto di “business e-mail compromised” che fondamentalmente significa che un attaccante si finge  un C- level (si chiamano così le figure Chief, quindi CEO, CFO ecc.) o quantomeno chi in azienda ha facoltà di richiedere prestazioni che possono essere pagamenti o altri tipi di prestazioni amministrative. Questo tipo di attacchi presume uno studio anche lungo, mirato a capire non soltanto tramite l’e-mail ma anche tramite Social Network (per esempio tramite LinkedIn) chi è il proprietario o l’Amministratore Delegato dell’azienda per poi sostituirsi a esso, almeno nelle comunicazioni.

Nel campo del Phishing troviamo di tutto, nel senso che Phishing è una distorsione della parola Fishing, ossia pesca: concettualmente consiste nel lanciare esche e attendere che qualcuno “abbocchi”.

Esistono diversi tipi di Phishing, come ad esempio quello di massa con campagne globali lanciate per catturare il più possibile dati a volte poco rilevanti: più che altro identità digitali. Un esempio è stata una campagna su Instagram nel 2020 con cui è stata catturata una quantità impressionante di dati perché le persone erano terrorizzate dall’indea di perdere i propri dati di accesso a Instagram. L’e-mail inviata era strutturata molto bene e conteneva qualcosa del tipo: “se entro due giorni non confermi i dati ti blocchiamo l'account Instagram”. Molti ci sono cascati cliccando il link riportato nella e-mail.

Esiste inoltre un Phishing molto più mirato, che va a colpire soggetti specifici. Un esempio è la penetrazione della casella di posta del CEO di un’azienda ma non finalizzata a un attacco immediato, bensì a spiarne l’attività e i contenuti (per esempio analizzare l’agenza e capire quando il CEO è in trasferta) per poi costruire un attacco ben strutturato con e-mail in grado di essere estremamente credibili.

Una delle cose da evidenziare è che la problematica dell’e-mail secutiry è tanto più rilevante quanto maggiore è l’utilizzo degli strumenti IT; per esempio con lo Smart Working è esplosa. Per dare qualche numero, nel periodo marzo-aprile 2020 LIBRAESVA che è il principale vendori di soluzioni e-mail security ha rilevato un +667% di attacchi Phishing, la nascita di 2.877 siti web malevoli (correlati al Phishing, ossia quelli cui puntano le e-mail esca) e la triplicazione di attacchi Business E-mail Compromise.

Cloud Security: casi di Data Breach a danno di grandi aziende

Uno degli ambiti in cui si può verificare una Data Breach è quello del Cloud, quindi esistono soluzioni di sicurezza a tema, per le quali d parla di Cloud Security; a questo riguardo può essere interessante esporre casi di Data Breach verificatisi, che rappresentano le minacce più critiche e ricorrenti all’interno degli ambienti Cloud.

Per esporli si può prendere il report della Cloud Security Alliance che si intitola Top Threats to Cloud Computing: Egregious Eleven Deep Dive e descrive 11 minacce a 9 Big Company che sono state colpite da esse.

La prima Big Company colpita è stata Capital One, che ha subito una compromissione delle credenziali IAM (Identity and Access Management) e le sono stati sottratti 106 milioni di record.

La seconda è Disney: tramite un attacco di Credential Stuffing si è verificata una perdita di molteplici user account che sono stati poi successivamente venduti in “mercati alternativi”.

La terza è Dow Jones: qui un AWS-Database Elasticsearch per un errore del fornitore è stato realizzato senza alcuna password di accesso, con la conseguenza che è stato accessibile a chiunque.

Andiamo alla quarta realtà, GitHub, nel quale un attaccante è riuscito a metterne down (fuori servizio) l’infrastruttura Cloud per 5 minuti.

Quinta: IMPERVA; qui si è verificata la compromissione di un’istanza AWS EC2 e la successiva perdita di dati degli utenti.

Sesta azienda è stata Ring: un'applicazione Android invia informazioni e dati degli utenti a compagnie di marketing di terze parti.

Settimo caso: Tesco, dove delle immagini in uno storage Cloud erano memorizzate senza alcun meccanismo di cifratura quindi pubblicamente accessibili.

Tesla è l’ottavo esempio: qui c’è stato l'accesso illecito ad un server Kubernetes e il conseguente accesso a dei Bucket S3.

Nona azienda ad essere oggetto di Data Breach è Zoom: l’attacco ha permesso di accedere a delle sessioni da parte di sconosciuti.

Banner

Questo breve elenco di eventi indica che gli ambienti Cloud stanno certamente portando innegabili vantaggi, ma che la sicurezza in essi resta comunque un fattore critico.

Dipendenti infedeli e Data Breach

Nelle aziende, una Data Breach si può verificare anche per l’azione di dipendenti e collaboratori infedeli che causano o favoriscono la fuga di dati; una fuga che può costare la violazione del segreto industriale, per esempio, e che in assenza di una stategia può addirittura restare impunita.

Questo argomento trova un valido esempio in un caso giudiziario reale della Corte d’Appello di Torino del 2017, che riguarda un direttore commerciale infedele, citato in giudizio per un milione e 200.000 euro per violazione del brevetto e per essersi accordato con la concorrenza in violazione dei suoi vincoli contrattuali.

Nel corso del processo viene fatto l’esame tecnico del PC del dipendente che però lo consegna già formattato; a questo punto viene fatta un’estrazione forense del computer in esame, perché esistono tool in grado di andare e estrarre i dati anche su dischi formattati o con partizioni rimosse (di solito purché non siano stati formattati a basso livello).

Nel computer vengono trovate delle chat ed e-mail scambiate con i concorrenti e che sostanzialmente dimostrano la sua infedeltà, condotta che ha comportato un grave danno per l’azienda cui il direttore appartiene.

In primo grado il Tribunale di Torino condanna questo dipendente a 370.000 euro di danni più le spese legali. Il dipendente propone appello alla Corte d'Appello di Torino e contesta l’illegittimità del prelievo delle chat e delle e-mail che a suo dire sono state acquisite in violazione della normativa sulla privacy; vince il ricorso la Corte d'Appello dichiara inutilizzabili le informazioni  perché prelevate in violazione della normativa privacy e condanna l’azienda a pagare oltre 50.000 euro di spese legalila quale quindi si è trovata ad aver perso i 370.000 euro e a pagare le spese.

A questo punto ci si può domandare dove sono stati fatti gli errori da parte dell’azienda.

Ebbene, innanzitutto in questa situazione è evidente che il danno deriva dal non  aver applicato, in azienda, il regolamento informatico che avrebbe dovuto definire esattamente che e-mail e chat erano strumenti di natura lavorativa e non personale.

Secondo errore: non erano state definite le regole dei controlli, cioè il fatto che quel PC poteva essere sottoposto a dei controlli che avrebbero coinvolto il dipendente a sua insaputa.

Terzo punto è l’obbligo di informativa, cioè bisognava avvertire il dipendente della possibilità di eseguire controlli sui suoi strumenti; senza tale informativa i dati rilevati sono inutilizzabili perché acquisiti in maniera illegittima.

Ultimo errore: le e-mail che erano state trovate nell’analisi forense del PC erano inerenti a una casella di posta personale e non aziendale e l’averle lette senza autorizzazione del dipendente stesso configura un reato previsto dal Codice Penale, ossia la violazione di corrispondenza. Quindi è sempre importante che le e-mail ispezionate appartengano a una casella aziendale e non privata.

Fra tecnologia e diritto deve esserci un coordinamento, perché la tecnologia permette di fare tante cose, mentre il diritto limita la possibilità di utilizzo della tecnologia. Senza coordinamento si rischia di andare a commettere gravi errori che poi hanno rilevanza legale.

tecnologie diritto

L’utilizzo della tecnologia deve avenire nel rispetto della normativa privacy e per quanto riguarda la Data Breach ci sono delle norme nel GDPR che prevedono adempimenti specifici da attuare. Questo comporta che nel team che va a gestire la Data Breach e i sistemi IT nel rispetto del GDPR occorre fare in modo che il tecnico sia un po’ anche giurista o che collabori con chi di Legge si intende, perché la tecnologia va debitamente considerata anche nel suo risvolto giuridico.

Ripe Ncc Member
vmware
CloudLinux
Plesk
HP
Microsoft