skip to main | skip to sidebar
15 commenti

Sono a un simposio internazionale di sicurezza informatica. Vi racconto cosa si dice

Questo articolo vi arriva gratuitamente grazie alle donazioni dei lettori. Se vi piace, potete farne una per incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ultimo aggiornamento: 2016/09/21 15:50.

Sono stato cortesemente invitato ad assistere al simposio Cybersecurity and Managerial Challenges “A continuing challenge for a modern society” che si tiene oggi e domani al Franklin College di Lugano (www.cmcsymposium.org). I relatori sono di tutto rispetto e promettono di toccare argomenti estremamente interessanti per la sicurezza informatica aziendale, nazionale e internazionale. Proverò a raccontarvi più o meno in tempo reale gli eventi salienti della giornata. Intanto date un’occhiata al programma e all’elenco dei relatori.

Jacob Keidar, ambasciatore d’Israele a Berna, parla dell’approccio israeliano alla sicurezza informatica. Quasi il 5% del PIL israeliano viene investito in ricerca e sviluppo, e le forze armate fanno sinergia massiccia con le università per formare le nuove leve della sicurezza informatica nazionale, che spesso vanno poi a occupare posti chiave nelle aziende private o le fondano. Il 25% degli informatici israeliani ha così una formazione di origine militare (per cui non c’è da stupirsi, aggiungo io, se quando si parla di aziende informatiche israeliane salta quasi sempre fuori un legame militare).

Morris Mottale, professore della Franklin University, parla dell’evoluzione della teoria cibernetica con una bella citazione dell’informatica di Star Trek (riferita alla Serie Classica che compie cinquant’anni). Prevede un inesorabile aumento della sorveglianza informatica governativa e considera che uno dei pericoli principali sia l’insider ai livelli intermedi di un’organizzazione di sicurezza nazionale.

Siim Alatalu, Head of International Relations che collabora con il CCD COE (Cooperative Cyber Defence Centre of Excellence) della NATO in Estonia, parla della cooperazione internazionale per la sicurezza informatica nazionale. Sottolinea che da luglio di quest’anno oltre la metà della popolazione mondiale è online; Internet non è più territorio esclusivo dei paesi occidentali, e questo cambia tutti gli equilibri. Dice che ci sono 17 paesi con “capacità offensive dichiarate” in campo informatico (cita Russia, Cina e Corea del Nord “e altri paesi”). Cita gli attacchi a livello nazionale in Estonia (2007), Georgia (2008) e Ucraina (2014) e il Manuale di Tallinn (il libro di testo principale sulle leggi internazionali applicabili alla guerra informatica), di cui uscirà prossimamente un’edizione aggiornata. Anche per lui la minaccia chiave è il fattore umano: l'utente innocente che non si rende conto di fare qualcosa di pericoloso (97% degli incidenti informatici). In Estonia è stato reso obbligatorio un corso preliminare di addestramento alla sicurezza informatica per tutti i dipendenti, dall’utente di base fino al manager e allo specialista, e altri paesi europei stanno imitando questo approccio.

Daniele Mensi, vicepresidente di Ubiquity, parla di crimine informatico finanziario su piattaforme mobili. Conferma attraverso due casi vissuti personalmente una teoria molto interessante: gli errori vistosi e le palesi sgrammaticature nelle mail di phishing sono intenzionali, perché permettono di valutare la vulnerabilità e l’ingenuità della vittima potenziale. In altre parole, gli errori selezionano i bersagli migliori. Ci sono oggi tre miliardi di persone connesse a servizi mobili e altre due si aggiungeranno entro il 2020: quasi un raddoppio in quattro anni. Nell’UE, nel 2013 (ultimo anno per il quale sono disponibili dati), l’ammontare delle transazioni fraudolente tramite carte di credito e debito è stato di 1,44 miliardi di euro (lo 0,039% del valore totale delle transazioni). Le frodi con carta non presente sono passate dal 46% al 66%. Uno dei problemi principali nel migliorare la sicurezza, nota Mensi, è che non c’è armonizzazione nelle forme di sicurezza fornite dalle banche.

Matthias Bossardt, Head of Cyber Security and Data Protection di KPMG, affronta i dati sugli attacchi informatici in Svizzera: il 54% delle aziende ha subito attacchi informatici negli ultimi 12 mesi. Dal 14 aprile in UE ci saranno multe fino a 20 milioni di euro o il 4% del fatturato annuale per chi non rispetta le norme sulla protezione dei dati; qualcosa di analogo ci sarà prossimamente anche in Svizzera. Meno della metà delle aziende svizzere ha un piano di risposta agli incidenti di sicurezza informatica e svolge esercitazioni di sicurezza (dati 2016). Sottolinea che in questo momento uno dei canali preferiti per gli attacchi informatici è costituito dai fornitori dell’azienda bersaglio.

Francesco Arruzzoli di STE Spa fa sul palco una dimostrazione in tempo reale (con parecchi intoppi, ma il messaggio è abbastanza chiaro) di penetrazione in un sistema informatico di un’azienda immaginaria: attaccano una periferica di un amministratore di sistema (un vivavoce USB). La periferica originale viene sostituita fisicamente (grazie a una persona che finge di essere un addetto alle pulizie che ha un tesserino falso, ottenuto fotografando da lontano quello originale) con una copia il cui microcontroller viene simulato con un Arduino e quindi ha molte funzioni aggiuntive utili agli aggressori: in particolare ha la capacità di iniettare malware nel PC al quale è collegato, emulando una tastiera. Usando una sequenza di digitazioni preregistrate, viene aperta una sessione di terminale senza conoscere la password dell’amministratore, viene creato un nuovo account amministratore e viene fatto reboot. Il malware si nasconde all’occhio dell’utente usando l'omografia Unicode per assumere un nome apparentemente legittimo (svchost.exe). Non viene spiegato come sfugge all’antivirus. Fatto questo, viene usato Metasploit per trovare una vulnerabilità nel PC. Una volta trovata, viene sfruttata per prendere il controllo dell’intero datacenter aziendale. Morale della storia: qualunque cosa possa andare storta in una demo lo farà. Perla finale: viene presentato come reale un video di hacking di segnali stradali che in realtà era un falso realizzato per marketing virale, come descrivevo nel 2008.

Neil Hindocha della danese Fortconsult parla di Internet delle Cose: usando Shodan.io e Massscan trovano oltre 60.000 dispositivi (sensori di domotica, antifurto, serrature, sensori sismici, porte di carceri, 15.000 Bancomat, automobili, robot industriali, sensori di monitoraggio della pressione di oleodotti, impianti nucleari e molto altro) che comunicavano in chiaro. E i dati sono anche scrivibili. Quando ha presentato questo problema a DEF CON, venti minuti dopo qualcuno ha iniettato nei sensori sismici in Giappone un terremoto di grado Richter 9.1. Questa falla è ancora aperta. Bello l’accenno a Stuxnet (guardate il documentario Zero Days per i dettagli); magnifici gli scenari di attacco informatico, basati su questa falla, in grado di paralizzare una città o una nazione. Maggiori informazioni sono qui. La mia domanda a Hindocha è stata come mai non c’è crittografia o autenticazione su queste comunicazioni: la risposta è che il protocollo MQTT era stato concepito per le comunicazioni satellitari con sensori in ambienti remoti e impossibili da aggiornare, e poi è stato usato per altri scopi e ci si è dimenticati della sicurezza. Un classico.

William Long, della Sidley Austin LPP londinese, parla delle novità normative dell’UE in materia di responsabilità e protezione dei dati. In particolare ha presentato la NIS Directive, una direttiva europea sulla sicurezza informatica che cerca di mettere ordine nel caos legislativo dei vari paesi ed entrerà in vigore nel 2018, dando nuovi diritti ai cittadini (cancellabilità, rifiuto di profilazione, portabilità dei dati) e obblighi di annuncio alle autorità europee delle violazioni di sicurezza entro 72 ore. Divertentissime le acrobazie linguistiche alle quali Long (essendo britannico) è costretto a causa della Brexit. Interessante la portata di questa normativa, che varrà anche per le grandi aziende extra-UE che detengono dati sui cittadini UE (Facebook, Google, Apple e Microsoft, per esempio). Viene citato anche il caso dirompente di Max Schrems contro Facebook davanti alla Corte di Giustizia Europea, che ha avuto impatto su oltre 5000 aziende che adottavano le norme sul safe harbor per la gestione dei dati personali.

Carolina Reggiani, criminologa, esplora brevemente la psicologia dell’hacker (nell’accezione popolare del termine, ossia “criminale informatico”), smontando miti e luoghi comuni. Citati, in particolare, Mitnick e McKinnon.

Federico Luperi, di ADNKronos, parla del danno alla reputazione dopo un attacco informatico, visto oggi come uno dei rischi più importanti per un’azienda. Cita i casi di Ashley Madison, Mossack Fonseca, e spiega alcune delle tecniche di gestione di questo danno.

Con questo si conclude la giornata. Il simposio prosegue domani, ma non ci potrò essere per via di una conferenza che devo tenere a Milano. Spero che  questo resoconto sia stato interessante e utile quanto lo è stato per me partecipare.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (15)
Che figata, complimenti!! Attendo aggiornamenti! :)
Nel paragrafo "Daniele Mensi" c'è aggiuneranno al posto di aggiungeranno.
Aspetto anche io qualche altra info in merito e magari un articolo sui casi più eclatanti raccontati.
ciao Paolo , grazie, ottimo resoconto.
Bel resoconto, ma io non accetto la comune accezione.
Hacker <> Cracker, come Chimica <> Veleno.
Le parole sono importanti, come sa chiunque abbia a che fare con codici, formule o semplicemente usernames + passwords.
Mi sono emozionato leggendo della teoria di Daniele Mensi.. questi criminali informatici ne sanno una più del diavolo.
Bellissimo (e chiarissimo) resoconto, complimenti!
Molto interessante. Grazie. Peccato non aver il tuo resoconto sulla seconda giornata
Ho dei dubbi sull'affermazione di Neil (o Neal, in rete ci sono entrambi) Hindocha sull'iniezione del falso sisma. L'episodio è accaduto il primo agosto di quest'anno ma in rete non ci sono notizie riguardo ad un hackeraggio. E' anche vero che non ci sono notizie di una giustificazione, nei media si parla prima di disturbi e poi di un fulmine, non ho trovato nient'altro.

In Italia ciò non potrebbe avvenire perché non esiste un sistema automatico come quello giapponese. In Giappone i grossi terremoti hanno epicentro in mare a decine di chilometri di distanza per cui fra l'arrivo delle prime onde sismiche, percepite solo dai sismometri, e l'arrivo delle onde distruttive passano decine di secondi. In Italia la differenza è di pochi secondi e il sistema è semiautomatico: ci sono uno o più umani che prima controllano proprio che non si tratti di un falso allarme.
Ma il Barba c'era?
Ne sentiremo delle belle?
https://blog.kaspersky.it/possible-yahoo-password-leak/9004/
"gli errori vistosi e le palesi sgrammaticature nelle mail di phishing sono intenzionali, perché permettono di valutare la vulnerabilità e l’ingenuità della vittima potenziale"

Non mi è chiaro questo punto, in che modo?
Se qualcuno è così gentile da spiegarmelo, lo ringrazio fin d'ora.
Se ti parlassi di shodan e delle "mie" macchine... brrr.... metà sono aperte D:
@ Gian Piero
Evidentemente si teorizza una volontà di filtrare le potenziali vittime della truffa scegliendo volontariamente solo coloro che non si insospettiscono della grossolanità della messinscena. Mi pare molto discutibile come teoria, magari in alcuni casi errori possono rendere la truffa meno perseguibile penalmente, ma in genere il phishing dovrebbe puntare alla platea più ampia possibile e gli errori/sgrammaticature sono tipiche di traduzioni automatiche piuttosto antiquate.
Salve Paolo, sono Francesco Arruzzoli, la ringrazio del resoconto, in particolare quello relativo al nostro intervento, dal palco l'avevamo percepita molto peggio (o lei è stato troppo buono con la recensione ;-) ), a parte che non abbiamo potuto completare il lab con un altro paio di esempi forti (tenuti x il gran finale) per mancanza di tempo in quanto il break per il pranzo ci ha tolto 20 min. dei 60 previsti e a parte Murphy che ha detto la sua, purtroppo per motivi logistici e tecnici dell'ultimo momento, siamo stati costretti a preparare tutta la dimostrazione sullo striminzito pulpito (e non come avevamo chiesto su un tavolo predisposto) che tra l'altro essendo completamente in metallo ci ha costretto a tenere in mano tutte le componenti elettroniche scoperte necessarie per la demo...il resto è storia.

Le prometto però che appena ripeteremo il lab in un prossimo evento, se sarà interessato, le manderò personalmente l'invito.

Saluti

Francesco Arruzzoli
@gm Grazie.
Rimango comunque perplesso. L'email di phishing non conta sulla qualità ma deve far leva sul il maggior numero di persone possibile. Devono solo cliccare su un link o aprire un allegato o inserire le proprie credenziali. Se l'email è ben confezionata, la probabilità di avere un numero di adescati cresce: non vedo perchè creare delle email grossolane e abbassare tele probabilità.
Altrimenti si potrebbe ipotizzare lo scopo di stilare una lista di indirizzi email con alta propensione ad abboccare per poi rivenderla, ma mi sembra un po' rocambolesca come ipotesi (per quanto non si può escludere nulla).
Boh