Cerca nel blog

2014/12/05

Mega-attacco a Sony Pictures, buona occasione per ripassare le proprie norme di sicurezza

Sony Pictures ha subito un'aggressione informatica di portata senza precedenti basato in parte, secondo le prime informazioni, su un particolare malware, analizzato qui da Trend Micro e battezzato Wiper (“azzeratore”) per la sua tendenza a cancellare il contenuto dei computer infettati, tanto da rendere impossibile riavviarli senza un ripristino del sistema operativo. Ma ci sono indicazioni che chi ha commesso l'attacco conosceva già dettagli della struttura interna della rete informatica di Sony Pictures.

Molte fonti citano la Corea del Nord come paese istigatore dell'attacco, ma per ora mancano prove concrete (chi ha compilato il malware usava il coreano come lingua di sistema, ma questo non dimostra nulla): quello che si sa è che le rivendicazioni citano un film della Sony Pictures di prossima uscita, The Interview, che mette ampiamente alla berlina il leader nordcoreano.

Quello che colpisce di questo attacco è la sua portata: sono stati trafugati terabyte di dati, compresi cinque film non ancora distribuiti; è stato preso il controllo di vari account Twitter di Sony Pictures; sono stati disseminati dettagli del personale e dei loro stipendi, oltre a comunicazioni interne che rivelano cosa si pensa, fra i dirigenti, delle varie celebrità di Hollywood. Ma tutto questo è stato reso possibile da una disinvoltura impressionante nella gestione della sicurezza da parte della Sony: interi elenchi di password erano custoditi in semplici file di testo o spreadsheet privi di qualunque cifratura. Sembra che dall'attacco devastante di tre anni fa contro il Sony Playstation Network non sia stato imparato davvero nulla.

Quale che sia la sua origine, l'attacco è una buona occasione per ogni responsabile di sistemi informatici per ripassare e riesaminare la sicurezza dei siti aziendali che gestisce e per far capire ai dirigenti che è necessario investire in sicurezza (vera, non di facciata) e in educazione del personale, affinché diventi chiaro che una mail normale non è un messaggio privato e che mettere le password in un documento Excel non cifrato è da incoscienti.


Nessun commento: