Sicurezza informatica

Ivan Dalla Zuanna

ivan@x-globe.nethttp://www.x-globe.net

Informazioni di base

Cosa è la digitalizzazione?

Processo di trasformazione attuato su una immagine, un

suono, un documento in un formato interpretabile da un

computer.

• Dematerializzazione: convertire i documenti cartacei in

documenti digitali, e spesso tale attività viene eseguita con

strumenti professionali quali scanner, oppure con semplici

smartphone

• Digitalizzazione: il processo di dematerializzazione

restituisce un formato elaborabile.

Digitalizzazione

Capacità digitale nel 2014: 5000 ExaBytes

Digitalizzazione

Digitalizzazione

C’era una volta

• Fino a circa 10 anni fa, utilizzare un computer non

comportava particolari preoccupazioni nella protezione dei

dati

• Per evitare la perdita dei dati era sufficiente fare il BACKUP

periodicamente e questo serviva principalmente a prevenire

disastri in caso di guasti seri.

• Per bloccare l’accesso da parte di terze persone nel

computer era sufficiente impostare una password

• L’utilizzo di un buon antivirus ci garantiva buona sicurezza

dalle minacce in circolazione

Cosa è cambiato?

Con l’aumento delle reti informatiche e Internet (oltre 4 miliardi di

dispositivi collegati) abbiamo visto un aumento dei problemi legati a:

• Intrusione

• Divulgazione non autorizzata di informazioni

• Interruzione e distruzione di servizi offerti dall’utenza

Questi problemi hanno spinto i legislatori dei paesi più industrializzati,

a istituire un settore specifico che si occupi della sicurezza, del

trattamento e della salvaguardia degli strumenti informatici e delle

informazioni in esse contenute.

Cosa succede ora?

Venerdì, 12 Maggio 2017• CCN-CERT (Spagna) dirama la notizia di un attacco massivo

Cosa succede ora?

Venerdì, 12 Maggio 2017• In 24 ore sono compromessi circa 300.000 computer in 150

paesi

• In Spagna viene confermata la compromissione di grosse

aziende tra cui la “Telefonica”

• In Inghilterra le reti informatiche di 25 Ospedali vengono

bloccate impedendo alle strutture di operare, dirottando i casi

più gravi su quelle rimaste funzionanti.

• Si presume che il malware sia circolato via posta elettronica

anche se tutt’ora il “paziente zero” non è stato trovato.

Come ha funzionato?

• Ha sfruttato una vulnerabilità nota (EternalBlue) sviluppata dalla NSA

• Una volta infettato il computer fa la scansione dell’intera rete alla ricerca di

postazioni di lavoro con la stessa vulnerabilità

• Individuate le macchine vulnerabili i file in esse contenuti vengono cifrati con

estensione WCRY.

• A questo punto i dati sono in ostaggio, presenti nei computer ma illeggibili. Per

poterli recuperare viene chiesto un riscatto di 300$ in bitcoin e il prezzo sale

man mano che il tempo passa.

Nuove Varianti

• E’ stato scoperto da un ricercatore che scrive firmandosi “MalwareTechBlog”

un Kill-switch che consente di disattivare il malware.

• Poche ore dopo la notizia dell’esistenza del Kill-switch sono state diffuse nuove

varianti con Kill-switch differenti o senza.

Ma come, la NSA usa vulnerabilità?

• Si! E non è la sola!

• Virus di stato! In italia abbiamo avuto il caso di Hackig Team di Luglio 2015

• Mercato nero di Ransomware

• Mercato di Exploit (Falle nella sicurezza), e i clienti sono: GOVERNI, AZIENDE,

PRIVATI, TERRORISTI

Chi sono i colpevoli?

I COLPEVOLI SONO COLORO I QUALI HANNO LASCIATO

ESPOSTI E VULNERABILI I PROPRI SISTEMI……OLTRE

AGLI AUTORI DEL MALWARE.

Come mi posso difendere?

Occorre iniziare a pensare la sicurezza in modo

nuovo, perseguendo tre obiettivi:

• Disponibilità (condizioni ambientali, problemi

hardware e software, attacchi esterni)

• Integrità (Corrette, coerenti e affidabili, quindi corretta

elaborazione, adeguate prestazioni ecc.)

• Riservatezza (Limitazione dell’accesso alle sole

persone autorizzate)

FIREWALL

• In informatica il firewall è una barriera tagliafuoco

virtuale per la difesa perimetrale di una rete

informatica.

• Il firewall gestisce il traffico tra le reti, effettuando un

filtraggio passivo e attivo attraverso delle politiche che

sono predisposte dall’amministratore di sistema.

• Tiene traccia degli attacchi subiti ed è in grado di

ispezionare il traffico di rete a più livelli.

Ma quale installo?

• 1° Generazione: La prima generazione di firewall detta “packet filtering

firewall”, sono funzionalità di base non il linea con il GDPR

• 2° Generazione: La seconda generazione di firewall detta “stateful

firewall”, Questi sono in grado di monitorare il traffico e lo stato delle

connessioni bloccando pacchetti fasulli, restano sensibili a vulnerabilità

DoS.

• 3° Generazione: Vengono chiamati anche UTM, nella terza generazione

il controllo è in grado di riconoscere il traffico di un’applicazione

indipendentemente dalla porta utilizzata, oltre a eseguire i controlli delle

generazioni precedenti.

• Personal Firewall: È molto diffuso il firewall personale, generalmente

svolto dall’antivirus oppure dal sistema operativo dell’elaboratore che si

sta utilizzando, meno efficace del controllo perimetrale.

Ma come funziona?

• Si mette in mezzo tra la nostra rete e Internet e cerca di difenderci

controllando quello che sta succedendo.

• Si occupa di collegare eventuali sedi remote, o utenti esterni

• Ci avvisa se sta succedendo qualcosa che non va ed è il caso di

intervenire.

Ma come funziona?

Bene ora sono al sicuro!

• No, non sono ancora al sicuro, ora devo difendere i

miei dati dal vero “anello debole”…che si trova tra il

monitor e la sedia!

• Mi serve un antivirus.

Cos’è un antivirus?

• Abbreviando molto la sua definizione un antivirus è un

sistema, spesso solamente software, che rileva i

virus informatici e li neutralizza.

• sono complessi, delicati e necessitano di costanti

aggiornamenti, quotidiani o anche più frequenti,

perché nuovi virus e più in generale nuovi “malware”

sono sempre in produzione (144 milioni nel 2016).

…Ma io uso Mac e Linux!

• Nel 2016 il numero di malware per utenti

Mac OS è aumentato del 370% e la

tendenza è in continuo aumento.

• Anche Linux non è al sicuro, essendo la

base per molti dispositivi IoT c’è un

aumento dei malware nati per infettare

dispositivi autonomi collegati a internet.

• Android rappresenta quasi il 30% dei

dispositivi infetti

Ma cosa vuol dire malware?

I malware sono software che operano a danno

l’utente, però non hanno necessariamente il

comportamento del virus.

• gli AD (software sovvenzionati da pubblicità);

• le backdoor (un metodo per saltare i controlli di autenticazione e accedere a un

elaboratore);

• i BHO (Browser Helper Object, piccolo software assistenti che si integrano nei

browser);

• i fraudtool (software che fingono funzioni note, come i vecchi utility, chiedendo

denaro)

• i hijacker (software che dirottano le connessioni);

Ma cosa vuol dire malware?

I malware sono software che operano a danno l’utente,

però non hanno necessariamente il comportamento

del virus.

• i keylogger (software che rilevano le digitazioni);

• i rootkit (software che prendono il controllo del computer, generalmente all’invio,

nascondendosi);

• gli spyware (software che rilevano le attività online senza avere il consenso);

• i trojan (software che creano delle vulnerabilità una volta entrati nel sistema);

• i worm (un software in grado di replicarsi da solo senza particolari legami a file).

• i ransomware (codificano i dati e chiedono il riscatto).

OK! Ora ho firewall e antivirus…

• Gli antivirus rilevano gran parte delle categorie di

malware, ma alcune ne restano escluse e vanno

trattate a parte. Può capitare con il phishing e altri

metodi fraudolenti.

• La prevenzione quindi consiste anche nella

preparazione degli utenti, si consideri che alcuni

ransomware sono tuttora liberi di circolare senza che

gli antivirus siano in grado di rilevarli…

PHISHING

Come posso essere un po’ più

tranquillo?

• In una parola BACKUP!

• Con il termine backup in inglese s’intendono, tra l’altro, “i rinforzi” ed è

così che va visto questo meccanismo. E’ un sistema di ridondanza fisica

dei contenuti, ovvero la copia dalla memoria dei computer in dispositivi di

memorizzazione di altro tipo che permettano di recuperare i dati in caso

di disastro. Molti chiamano i dati trasferiti “copia di sicurezza” o “di

riserva” per identificare lo scopo di questi contenuti.

Cosa salvare? Quando? Come?

• Ogni realtà, privata o pubblica, individua i dati più importanti a suo modo,

generalmente in un ventaglio che va dai documenti (file, foto, ecc.),

alle cartelle, dai database ai volumi, ecc., ma in quest’ultimo periodo

stanno acquistando importanza anche tablet e smartphone, che

contengono sempre più dati.

• I dati sono soggetti a “volatilità”, ovvero a cambiamenti periodici,

pertanto anche le copie dovranno rispettare una pianificazione attinente.

• I dispositivi di copia sono i più svariati: dalle chiavette USB ai supporti

ottici CD/DVD, dalle cartucce a nastro agli hard disk portatili, dai NAS

ai sofisticati sistemi di storage server. Anche se oggi è molto utilizzato in

backup “online” o “cloud” va ricordato che questo sistema non è altro

che un supporto di memorizzazione normale che si trova in una sede

remota.

Strategie di Backup

• PIANIFICAZIONE: la pianificazione deve essere adeguata alla volatilità (GFS)

• DESTINAZIONE: Il supporto di backup deve essere scelto considerando che non

deve essere accessibile da nessuno in rete. Se si vogliono evitare cause

ambientali deve essere portato fuori dalla sede.

• ALLERTA: la procedura di backup deve informare se è andata a buon fine oppure

no.

• VERIFICA: vanno eseguite verifiche periodiche dell’efficienza del sistema di copie

tramite ripristini a campione dei files.

• STORICITA’: Non è raro che ci si accorga di aver perso dei dati quando tutti i

supporti sono stati utilizzati. Con uno storico Settimane, Mensile, Trimestrale ecc.

ecc. posso tornare indietro.

• DISASTER RECOVERY: La configurazione non viene salvata se non si fa un

disaster recovery.

• CODIFICA: I Backup vanno cifrati, in modo che siano illeggibili in caso di furto

FIREWALL, ANTIVIRUS, BACKUP…

CI SIAMO QUASI! Ora dobbiamo a stabilire CHI PUO’ FARE COSA:

Policy di ACCESSO

POLICY DI ACCESSO

• Limitare l’accesso ai dati per competenza

• Limitare l’utilizzo di dispositivi personali, o servizi personali (chiavette usb,

caselle email, smartphone personali)

• Limitare l’utilizzo del WI-FI, usando password complesse e isolando il wifi dalla

rete aziendale. Ci sono software che sono in grado di provare 100.000 password

wifi al secondo.

• Limitare il numero di utenti esterni e scegliere lo standard VPN

• Utilizzare Password complesse 12/14 caratteri e cambiarle spesso, evitando di

usare sempre la stessa. Alcuni computer integrano dispositivi biometrici

• Se ho utenti che usano Tablet, Smartphone, Notebook aziendali devo

considerare il caso di smarrimento e furto.

POLICY DI ACCESSO – Hid injector

• Con l’aumento delle misure di sicurezza informatiche e del livello di affidabilità

delle apparecchiature e dei software, la ricerca di falle nel sistema si è

concentrata sull’unico elemento che non è cambiato molto negli anni:

l’utente. In particolare, alcuni attacchi informatici e violazioni a sistemi protetti

oggi vengono perpetrati proprio sfruttando l’anello debole del sistema, l’utente, e

l’innata curiosità di ognuno di noi.

POLICY DI ACCESSO – Hid injector

• Troppo costosa? C’è anche in versione wifi.

E’ Tutto qui? Automotive

PURTROPPO NO! WannaDrive…

Smartphone

Virus Miner

• l malware che non ti aspetti entra nel computer e non lo danneggia, né si ruba i

tuoi dati, ma come un vampiro gli succhia tutte le risorse, rallentandolo

all’inverosimile. Lo scopo? Fare mining di bitcoin e altre criptovalute, a tua

insaputa. Sono i virus miner. Che, come i minatori ufficiali, fanno eseguire ai

computer complessi processi crittografici per estrarre le monete digitali.

Virus IoT

• Mirai (dal giapponese 未来, “futuro”) è un malware progettato per operare su

dispositivi connessi a Internet, specialmente dispositivi IoT, rendendoli parte di

una botnet che può essere usata per attacchi informatici su larga scala.

• La botnet creata da Mirai è stata scoperta nell’agosto del 2016 da

MalwareMustDie, un’organizzazione no-profit impegnata nella ricerca per la

sicurezza informatica ed è stata utilizzata lo stesso anno in svariati attacchi DDoS.

E il Cloud?!

• E’ un fenomeno che continua a crescere in popolarità nel mondo

business ma è tutto oro quello che luccica?

• Maggiore flessibilità, consente agli utenti di usufruire di più

mobilità, fornisce alle organizzazioni maggiore storage e riduce

l'onere che grava sui reparti IT utilizzando i sistemi di calcolo

convenzionale - il tutto ad una frazione di costo delle tradizionali

tecnologie informatiche.

• I rischi associati con il cloud computing dipendono naturalmente

da diversi fattori come il tipo di attività, la quantità di dati in

outsourcing e il fornitore del servizio selezionato. Tuttavia, le

principali preoccupazioni emerse riguardano questioni come la

posizione, l’accesso e il recupero dei dati nel cloud.

• i clienti del cloud devono interessarsi alle pratiche e alle

procedure adottate dal fornitore di servizio in materia di recupero

dei dati in caso di violazione della sicurezza o perdita dei dati

• Nel corso del normale svolgimento dell'attività, l'ubicazione fisica

dei dati può apparire irrilevante. Tuttavia, il luogo dove si trovano

i dati determina il tipo di normativa applicabile per la loro

protezione.

DISTRUZIONE

• Quando dismetto i sistemi? Li butto!

• E la cancellazione Sicura?!? Si devono adottare tecniche di

sovrascrittura software e demagnetizzazione hardware.

Grazie per l’attenzione!

Ivan Dalla Zuanna

ivan@x-globe.nethttp://www.x-globe.net