Cerca nel blog

2016/09/21

Sono a un simposio internazionale di sicurezza informatica. Vi racconto cosa si dice

Questo articolo vi arriva gratuitamente grazie alle donazioni dei lettori. Se vi piace, potete farne una per incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ultimo aggiornamento: 2016/09/21 15:50.

Sono stato cortesemente invitato ad assistere al simposio Cybersecurity and Managerial Challenges “A continuing challenge for a modern society” che si tiene oggi e domani al Franklin College di Lugano (www.cmcsymposium.org). I relatori sono di tutto rispetto e promettono di toccare argomenti estremamente interessanti per la sicurezza informatica aziendale, nazionale e internazionale. Proverò a raccontarvi più o meno in tempo reale gli eventi salienti della giornata. Intanto date un’occhiata al programma e all’elenco dei relatori.

Jacob Keidar, ambasciatore d’Israele a Berna, parla dell’approccio israeliano alla sicurezza informatica. Quasi il 5% del PIL israeliano viene investito in ricerca e sviluppo, e le forze armate fanno sinergia massiccia con le università per formare le nuove leve della sicurezza informatica nazionale, che spesso vanno poi a occupare posti chiave nelle aziende private o le fondano. Il 25% degli informatici israeliani ha così una formazione di origine militare (per cui non c’è da stupirsi, aggiungo io, se quando si parla di aziende informatiche israeliane salta quasi sempre fuori un legame militare).

Morris Mottale, professore della Franklin University, parla dell’evoluzione della teoria cibernetica con una bella citazione dell’informatica di Star Trek (riferita alla Serie Classica che compie cinquant’anni). Prevede un inesorabile aumento della sorveglianza informatica governativa e considera che uno dei pericoli principali sia l’insider ai livelli intermedi di un’organizzazione di sicurezza nazionale.

Siim Alatalu, Head of International Relations che collabora con il CCD COE (Cooperative Cyber Defence Centre of Excellence) della NATO in Estonia, parla della cooperazione internazionale per la sicurezza informatica nazionale. Sottolinea che da luglio di quest’anno oltre la metà della popolazione mondiale è online; Internet non è più territorio esclusivo dei paesi occidentali, e questo cambia tutti gli equilibri. Dice che ci sono 17 paesi con “capacità offensive dichiarate” in campo informatico (cita Russia, Cina e Corea del Nord “e altri paesi”). Cita gli attacchi a livello nazionale in Estonia (2007), Georgia (2008) e Ucraina (2014) e il Manuale di Tallinn (il libro di testo principale sulle leggi internazionali applicabili alla guerra informatica), di cui uscirà prossimamente un’edizione aggiornata. Anche per lui la minaccia chiave è il fattore umano: l'utente innocente che non si rende conto di fare qualcosa di pericoloso (97% degli incidenti informatici). In Estonia è stato reso obbligatorio un corso preliminare di addestramento alla sicurezza informatica per tutti i dipendenti, dall’utente di base fino al manager e allo specialista, e altri paesi europei stanno imitando questo approccio.

Daniele Mensi, vicepresidente di Ubiquity, parla di crimine informatico finanziario su piattaforme mobili. Conferma attraverso due casi vissuti personalmente una teoria molto interessante: gli errori vistosi e le palesi sgrammaticature nelle mail di phishing sono intenzionali, perché permettono di valutare la vulnerabilità e l’ingenuità della vittima potenziale. In altre parole, gli errori selezionano i bersagli migliori. Ci sono oggi tre miliardi di persone connesse a servizi mobili e altre due si aggiungeranno entro il 2020: quasi un raddoppio in quattro anni. Nell’UE, nel 2013 (ultimo anno per il quale sono disponibili dati), l’ammontare delle transazioni fraudolente tramite carte di credito e debito è stato di 1,44 miliardi di euro (lo 0,039% del valore totale delle transazioni). Le frodi con carta non presente sono passate dal 46% al 66%. Uno dei problemi principali nel migliorare la sicurezza, nota Mensi, è che non c’è armonizzazione nelle forme di sicurezza fornite dalle banche.

Matthias Bossardt, Head of Cyber Security and Data Protection di KPMG, affronta i dati sugli attacchi informatici in Svizzera: il 54% delle aziende ha subito attacchi informatici negli ultimi 12 mesi. Dal 14 aprile in UE ci saranno multe fino a 20 milioni di euro o il 4% del fatturato annuale per chi non rispetta le norme sulla protezione dei dati; qualcosa di analogo ci sarà prossimamente anche in Svizzera. Meno della metà delle aziende svizzere ha un piano di risposta agli incidenti di sicurezza informatica e svolge esercitazioni di sicurezza (dati 2016). Sottolinea che in questo momento uno dei canali preferiti per gli attacchi informatici è costituito dai fornitori dell’azienda bersaglio.

Francesco Arruzzoli di STE Spa fa sul palco una dimostrazione in tempo reale (con parecchi intoppi, ma il messaggio è abbastanza chiaro) di penetrazione in un sistema informatico di un’azienda immaginaria: attaccano una periferica di un amministratore di sistema (un vivavoce USB). La periferica originale viene sostituita fisicamente (grazie a una persona che finge di essere un addetto alle pulizie che ha un tesserino falso, ottenuto fotografando da lontano quello originale) con una copia il cui microcontroller viene simulato con un Arduino e quindi ha molte funzioni aggiuntive utili agli aggressori: in particolare ha la capacità di iniettare malware nel PC al quale è collegato, emulando una tastiera. Usando una sequenza di digitazioni preregistrate, viene aperta una sessione di terminale senza conoscere la password dell’amministratore, viene creato un nuovo account amministratore e viene fatto reboot. Il malware si nasconde all’occhio dell’utente usando l'omografia Unicode per assumere un nome apparentemente legittimo (svchost.exe). Non viene spiegato come sfugge all’antivirus. Fatto questo, viene usato Metasploit per trovare una vulnerabilità nel PC. Una volta trovata, viene sfruttata per prendere il controllo dell’intero datacenter aziendale. Morale della storia: qualunque cosa possa andare storta in una demo lo farà. Perla finale: viene presentato come reale un video di hacking di segnali stradali che in realtà era un falso realizzato per marketing virale, come descrivevo nel 2008.

Neil Hindocha della danese Fortconsult parla di Internet delle Cose: usando Shodan.io e Massscan trovano oltre 60.000 dispositivi (sensori di domotica, antifurto, serrature, sensori sismici, porte di carceri, 15.000 Bancomat, automobili, robot industriali, sensori di monitoraggio della pressione di oleodotti, impianti nucleari e molto altro) che comunicavano in chiaro. E i dati sono anche scrivibili. Quando ha presentato questo problema a DEF CON, venti minuti dopo qualcuno ha iniettato nei sensori sismici in Giappone un terremoto di grado Richter 9.1. Questa falla è ancora aperta. Bello l’accenno a Stuxnet (guardate il documentario Zero Days per i dettagli); magnifici gli scenari di attacco informatico, basati su questa falla, in grado di paralizzare una città o una nazione. Maggiori informazioni sono qui. La mia domanda a Hindocha è stata come mai non c’è crittografia o autenticazione su queste comunicazioni: la risposta è che il protocollo MQTT era stato concepito per le comunicazioni satellitari con sensori in ambienti remoti e impossibili da aggiornare, e poi è stato usato per altri scopi e ci si è dimenticati della sicurezza. Un classico.

William Long, della Sidley Austin LPP londinese, parla delle novità normative dell’UE in materia di responsabilità e protezione dei dati. In particolare ha presentato la NIS Directive, una direttiva europea sulla sicurezza informatica che cerca di mettere ordine nel caos legislativo dei vari paesi ed entrerà in vigore nel 2018, dando nuovi diritti ai cittadini (cancellabilità, rifiuto di profilazione, portabilità dei dati) e obblighi di annuncio alle autorità europee delle violazioni di sicurezza entro 72 ore. Divertentissime le acrobazie linguistiche alle quali Long (essendo britannico) è costretto a causa della Brexit. Interessante la portata di questa normativa, che varrà anche per le grandi aziende extra-UE che detengono dati sui cittadini UE (Facebook, Google, Apple e Microsoft, per esempio). Viene citato anche il caso dirompente di Max Schrems contro Facebook davanti alla Corte di Giustizia Europea, che ha avuto impatto su oltre 5000 aziende che adottavano le norme sul safe harbor per la gestione dei dati personali.

Carolina Reggiani, criminologa, esplora brevemente la psicologia dell’hacker (nell’accezione popolare del termine, ossia “criminale informatico”), smontando miti e luoghi comuni. Citati, in particolare, Mitnick e McKinnon.

Federico Luperi, di ADNKronos, parla del danno alla reputazione dopo un attacco informatico, visto oggi come uno dei rischi più importanti per un’azienda. Cita i casi di Ashley Madison, Mossack Fonseca, e spiega alcune delle tecniche di gestione di questo danno.

Con questo si conclude la giornata. Il simposio prosegue domani, ma non ci potrò essere per via di una conferenza che devo tenere a Milano. Spero che  questo resoconto sia stato interessante e utile quanto lo è stato per me partecipare.

Nessun commento: