SICUREZZA INFORMATICASensibilizzazione degli utenti sul tema della sicurezza ITCovvero come riconoscere i pericoli generati dal cybercrime e come comportarsi in caso di attacco.

Lugano, 22 Gennaio 2016 camillo.aiolfi@newits.it

© NEW

ITS 20

16 -ca

millo.a

iolfi@n

ewits.

it

1

Il relatore: chi sono• Camillo Aiolfi, consulente informatico da qualche decennio.• Cosa faccio: manager, project manager e tecnologo (CTO) in campo informatico.• Cosa tratto: tecnologie dell’informazione e loro architetture.• Collaborazioni vecchie e nuove:

Università degli Studi di Milano, Geox, Michael Kors Europe, ER Europe, Emmeglobal, Coface Assicurazioni, Uniqa Assicurazioni, Chiara Assicurazioni, Consorzio Tutela Credito, AXA Assicurazioni, Kelyan SMC, Gruppo Bernabè (www.unieuro.it), IDC, IBM-S3 ora Toshiba, Unisys Italia, Progress Assicurazioni, Gruppo Tenaris, Texas Instruments, Unione Europea (“SEAMLESS - Small Enterprises Accessing the Electronic Market of the enLarged Europe by a Smart Service infrastructure”), Ministeri Tesoro e Grazia e Giustizia, Comune di Roma, Fiat New Holland, CERVED-Infocamere ed altre meno conosciute.

© NEW

ITS 20

16 -ca

millo.a

iolfi@n

ewits.

it

2

Chi dovrebbe seguire il corso• Tutti coloro che hanno a che fare con un dispositivo in grado di eseguire programmi software (PC, tablet, smartphone, POS, IoT … indipendentemente dalla piattaforma usata Windows, Linux, OSX, IOS, Android, …) • Come suggerito dalla norma ISO/IEC 27002:2013 - Information technology --Security techniques -- Code of practice for information security controls.

8.2.2 Information security awareness, education, and training Control

All employees of the organization and, where relevant, contractors and third party users shouldreceive appropriate awareness training and regular updates in organizational policies and procedures, as relevant for their job function. (Tutti i dipendenti dell’organizzazione e, ove rilevante, appaltatori e utenti di terze parti dovrebbero ricevere una appropriata formazione e regolari aggiornamenti circa le politiche e le procedure dell’organizzazione, come rilevanti per il loro ruolo lavorativo)

• Chi, conoscendo un po’ di inglese, esegue questo test e sbaglia anche una sola risposta: https://cybersecuritymonth.eu/references/quiz-demonstration/intro © NEW

ITS 20

16 -ca

millo.a

iolfi@n

ewits.

it

3

Sicurezza Informatica: cos’è• Da Wikipedia

Con il termine sicurezza informatica si intende quel ramo dell'informatica che si occupa dell'analisi delle vulnerabilità, del rischio, delle minacce o attacchi e quindi della protezione dell'integrità fisica (hardware) e logico-funzionale (software) di un sistema informatico e dei dati in esso contenuti o scambiati in una comunicazione con uno più utenti.• o altrimenti:

La sicurezza informatica si occupa della protezione dei sistemi informatici (servers, personal computers, reti e dispositivi di rete, tablets, smartphones, IoT, … ovvero dispositivi su cui viene eseguito qualsiasi genere di software) e dei dati che essi memorizzano e trattano.

© NEW

ITS 20

16 -ca

millo.a

iolfi@n

ewits.

it

4

Perché è importante• Permette alle persone di compiere il proprio lavoro, istruirsi, fare ricerca, comunicare e divertirsi.

• Supporta ogni processo di business esistente

• Protegge i dati personali e le informazioni sensibili.

• Combatte i cyber-criminali che per denaro, divertimento o idiozia costruiscono software malevolo destinato ad attaccare le strutture informatiche.

© NEW

ITS 20

16 -ca

millo.a

iolfi@n

ewits.

it

5

Il cyber-crime è un businessValore di un metodo di attacco per tipo di obiettivo

© NEW

ITS 20

16 -ca

millo.a

iolfi@n

ewits.

it

6

Perché siamo tutti coinvolti• Perché è a rischio chiunque sia connesso a internet o ad una rete, installi ed usi programmi di qualsiasi tipo e su qualsiasi dispositivo. Anche un lettore di codice a barre in un supermercato può essere una base d’attacco.• Ogni dispositivo «infetto» ha un valore intrinseco come base di partenza per altri attacchi. Anche i PC di casa o i tablet e gli smartphone personali.• Perché non è solo un problema informatico!• Il 10% delle misure di sicurezza è di natura tecnica.• Il 90% delle misure di sicurezza fa affidamento sul fatto che gli utilizzatori dei servizi informatici («VOI») utilizzino buone (ragionevoli) metodiche di protezione.• Esempio:

La serratura della porta è il 10%. Si confida che gli utilizzatori della porta chiudano la porta a chiave, controllino che la porta sia chiusa, si garantiscano che altri non la lascino aperta, mantengano il controllo delle chiavi, … è il 90%. Entrambe le parti sono indispensabili per una protezione efficiente. © N

EWITS

2016

-camil

lo.aiolf

i@new

its.it

7

Siamo tutti un obiettivo

© NEW

ITS 20

16 -ca

millo.a

iolfi@n

ewits.

it

8

Il contesto di sicurezza ITC

© NEW

ITS 20

16 -ca

millo.a

iolfi@n

ewits.

it

9

Obiettivi della sicurezza ITC• La sicurezza informatica punta solitamente a cinque obiettivi principali:

L' integrità, cioè garantire che i dati siano effettivamente quelli che si pensano e che non siano stati alterati in fase di comunicazione e memorizzazione. Es. garantire che i dati inviati via internet non vengano intercettati ed alterati. La confidenzialità, che consiste nell'assicurare che solo le persone autorizzate abbiano accesso alle informazioni. Es. fare in modo che i dati di conto-corrente siano visibili al solo proprietario o all’autorità. La disponibilità, che permette di mantenere il corretto funzionamento del sistema informativo in modo che dati e servizi siano accessibili quando richiesto. Es. fare regolare backup dei dati per garantire che siano ancora disponibili dopo un guasto di un disco. Il non ripudio, che permette di garantire che una operazione non possa essere negata. Es. ricevuta di ritorno delle email, certificazione dell’origine delle operazioni. L'autenticazione, che consiste nell'assicurare l'identità di un utente, cioè nel garantire a ciascun corrispondente che il suo partner sia effettivamente quello che crede. © N

EWITS

2016

-camil

lo.aiolf

i@new

its.it

10

I problemi di sicurezza• Il mancato raggiungimento di uno degli obiettivi citati da origine ad un problema di sicurezza / falla di sicurezza. Ad esempio, la perdita di una password e l’uso della stessa da parte di una persona non autorizzata origina una mancata autenticazione e quindi una falla.• I problemi di sicurezza sono generati sia da una operatività sbagliata che da problemi tecnici dovuti ad errori di progettazione dei sistemi informatici.• Uno dei principali problemi di progettazione è il cosiddetto «bug» o errore di programmazione.• Un problema di sicurezza da origine ad una vulnerabilità del sistema che può essere sfruttata da chiunque esterno ad una organizzazione per i propri obiettivi personali ovviamente diversi da quelli per cui il sistema è stato progettato; dal furto al danneggiamento alla truffa.

© NEW

ITS 20

16 -ca

millo.a

iolfi@n

ewits.

it

11

Lo sfruttamento delle falle• Che si fa quando si scopre una falla, una vulnerabilità? • La si coregge e si rilascia una correzione sia essa una nuova procedura o la sistemazione di un problema tecnico. • In entrambi i casi, qualcuno si dovrà far carico di applicare le nuove procedure o le correzioni dei problemi tecnici. • Fino al momento della correzione il sistema sarà più o meno esposto ad attacchi (interni od esterni) in funzione della gravità della vulnerabilità.• Durante il periodo di esposizione i sistemi possono essere sondati (exploit) per verificare la presenza della vulnerabilità in modo da poterla sfruttare ed iniettare una forma qualsiasi di infezione tra quelle citate in seguito.

© NEW

ITS 20

16 -ca

millo.a

iolfi@n

ewits.

it

12

Scoperta(qualcuno scopre il problema)

Pubblicazione(su banche dati CVE o comunicazione al produttore)

Presa in carico (il produttore prende in carico il problema e lo analizza)

Correzione(viene generata un correzione)

Rilascio al pubblico(la correzione viene caricata tra gli aggiornamenti)

Presa in carico (l’utilizzatore scarica l’aggiornamento e quindi la correzione)

Applicazione(la correzione viene applicata)

Ricerca sistemi vulnerabili (exploiting)

Ciclo di vita dei problemi

© NEW

ITS 20

16 -ca

millo.a

iolfi@n

ewits.

it

13

Vulnerabilità del sistema

Aggiornamento exploit kit(Analisi vulnerabilità e creazione sistema di esplorazione) Iniezione malware nei sistemi trovati

Quali sono le principali infezioni• Malware: è indubbiamente la definizione generica adatta per ogni software nocivo in grado di arrecare danno (più o meno esteso) al sistema. Nella sua definizione quindi rientrano tutte le categorie successive trattate nel glossario; infatti malware è l’acronimo di “Malicious Software“, letteralmente software dannoso.• Virus: il Virus replica in informatica le caratteristiche di virus biologici: altro non è che un programma che si replica e infetta tutti i computer a cui si connette, modificando il sistema per “assecondarlo” nell’infezione, spesso distruggendo funzionalità vitali per l’esecuzione dei programmi sani e del sistema.• Spyware: come suggerisce il nome questo malware “spia” gli utenti e cerca in tutti i modi di rubare le informazioni personali dal computer per inviarle al suo creatore• Trojan Horse: questo tipo di malware è tra i più diffusi e pericolosi; statisticamente 1 malwaresu 3 è un Trojan o agisce come un trojan integrando altre caratteristiche nocive. Letteralmente Cavallo di Troia (chiaro riferimento alla mitologia omerica in cui Ulisse espugnò Troia con l’inganno) il Trojan è un codice maligno nascosto all’interno di un altro software apparentemente utile (cavallo di Troia per ingannare gli utenti) ma che di nascosto attiva la connessione ad un server maligno senza che ne siate a conoscenza. Una volta stabilita la connessione, vengono scaricati altri malware per infettare il PC, utili per assumere il controllo completo del computer.• Adware: Adware è l’acronimo di Advertising-supported Software, letteralmente software supportato dalla pubblicità. Questo software è utilizzato per servire annunci pubblicitari sul computer (in alcuni casi senza il suo esplicito assenso) e spesso non possono essere chiusi / disabilitati dall’utente. Gli adware di per sè non sono dannosi (un PC infetto e bloccato non può mostrare pubblicità) ma il malware in questione manterrà costantemente annunci pubblicitari sul computer o all’interno di programmi e possono risultare piuttosto fastidiosi.• Botnet: malware che conferiscono il controllo del dispositivo (che verrà chiamato zombie) a un server centrale. Il gestore viene definito bot header e può impartire ordini ai computer infettati, indicando loro di infettare a loro volta altri dispositivi. Attualmente anche i dispositivi mobili possono essere inclusi in una Botnet.

© NEW

ITS 20

16 -ca

millo.a

iolfi@n

ewits.

it

14

Quali sono le principali infezioni (2)• Ransomware: malware che blocca un sistema in parte o in toto e offre le modalità di sblocco in cambio di un riscatto. Esempi: Polizia di Stato, Cryptolocker, Teslacrypt 3.0, …• Worm: Un worm (letteralmente "verme") è una particolare categoria di malware in grado di autoreplicarsi. È simile ad un virus ma, a differenza di questo, non necessita di legarsi ad altri eseguibili per diffondersi ma si diffonde spedendosi direttamente agli altri computer, ad esempio tramite e-mail o una rete di computer.

© NEW

ITS 20

16 -ca

millo.a

iolfi@n

ewits.

it

15

Regole di sicurezza generali

© NEW

ITS 20

16 -ca

millo.a

iolfi@n

ewits.

it

16

Dispositivi e files• Sul posto di lavoro possono essere usati solo dispositivi approvati dal responsabile della sicurezza.• I PC devono essere bloccati se non presidiati• I PC si devono bloccare automaticamente dopo un certo periodo di inattività.

Per esempio, 15 minuti• I PC devono richiedere una password per essere riattivati.• Non scaricare o installare programmi non certificati o conosciuti sui propri dispositivi (PC, tablets, smarthphones, …). • Quando scaricate una APP controllate sempre che il produttore (sviluppatore) sia affidabile e che le autorizzazioni richieste non siano eccessive.• Limitare lo scambio dei dispositivi di memorizzazione USB (chiavette, dischi esterni); collegarli solo a PC con antivirus aggiornato.• Se sfruttate un collegamento senza fili usate solo protocolli sicuri (HTTPS) e VPN prima di digitare una password o un pin.• I files devono essere memorizzati e salvati (backup) su un server e non sul PC.

Non sul desktop o sul disco C: © NEW

ITS 20

16 -ca

millo.a

iolfi@n

ewits.

it

17

Utenti e password• Le password devono essere conformi con le normative

DL 196/03: la parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi. In ogni caso: usate solo password complesse contenenti maiuscole e minuscole, numeri e caratteri non-alfabetici (~!#$%^&*) in un mix di almeno 8 caratteri che possiate facilmente ricordare e che siano difficili da indovinare.

• La password dove essere cambiata ogni 90 giorni. Deve durare almeno 7 giorni Può essere riusata almeno dopo 5 nuove password.

• 5 tentativi sbagliati di autenticazione devono bloccare l’utente• I sistemi ed i browser non devono essere configurati per memorizzare le passwords.• Gli utenti non devono MAI condividere le password con altri• Ove disponibile usate l’autenticazione in due fasi!! © N

EWITS

2016

-camil

lo.aiolf

i@new

its.it

18

Gestione delle password: suggerimenti• La password non dovrebbe essere una singola parola di dizionario (in qualsiasi lingua) ne un nome proprio o cognome. Non migliora la situazione la scrittura rovesciata (es. ossorinvece che rosso).• Evitare il vostro nome, la login name, nome dei figli, nome degli animali domestici, date di nascita, parole precedute o seguite da un numero (es: password1, 1password), abc123, qwerty123, password1 e niente altro facilmente indovinabile. • Evitare sequenze o caratteri ripetuti. Esempi: 123456, 654321, 222222, abcdefgh, o lettere adiacenti sulla tastiera (qwerty). • È consigliabile aumentare il più possibile la varietà dei caratteri presenti nella password. Tuttavia, il software per rubare le password verifica le conversioni lettere/simboli più comuni, come «&» per «e» o «x» per «per» o «0» per «o» oppure «$» per «s».• Non utilizzare la stessa password per tutto. I cybercriminali rubano le password da siti Web a bassissima sicurezza e poi tentano di riutilizzarle in combinazione con i relativi nomi utenti in ambienti più sicuri, come i siti Web delle banche. Usate i gestori di password (es. http://keepass.info/)• Usate i servizi di controllo delle password per controllarne la complessità (es. https://howsecureismypassword.net/)

© NEW

ITS 20

16 -ca

millo.a

iolfi@n

ewits.

it

19

Come ricordarsi una password complessaEsistono molti modi per creare una password lunga e complessa. Ecco qualche suggerimento per ricordarla facilmente:

© NEW

ITS 20

16 -ca

millo.a

iolfi@n

ewits.

it

20

Cosa fare Esempio Inizia con una frase o due. Le password complesse sono più sicure. Elimina gli spazi fra le parole della frase. Lepasswordcomplessesonopiùsicure. Abbrevia le parole o scrivile appositamente errate. Lepasswordcomplessesono+sicure. Aggiungi lunghezza con i numeri. Inserisci un numero significativo a fine frase.

Lepasswordcomplessesono+sicure2011.

Quando la frase è lunga si può usare la prima lettera di ogni parola Lpcs+s2011.

• Un PC impiegherebbe 50 anni per decodificare la password ottenuta. Ad esempio la parola «password» verrebbe indovinata istantaneamente.• Ovviamente: non usate esempi presi da queste slides o da fonti pubbliche di informazione.• Meglio frasi in italiano che in inglese.

Aggiornamenti di sicurezza• Il sistema operativo (windows/linux/android/ios) deve essere impostato per l’aggiornamento automatico delle modifiche di sicurezza e le correzioni.• Non usate software obsoleto non in manutenzione (discontinuato). Es. Windows XP, Windows 2003, IE9, ….• Lo stesso discorso vale per le applicazioni:

Per esempio, Microsoft Office Word, Excel, PowerPoint Adobe Reader /Acrobat

• Lo stesso discorso vale per le applicazioni di sicurezza (antivirus, antimalware, firewall, ..) che devono essere sempre aggiornati. Per esempio, McAfee, Norton, Kaspersky, Sophos devono essere impostati per controllare la disponibilità di aggiornamenti ad ogni avvio ed in ogni caso periodicamente. Stesso discorso per le scansioni dei dischi.

• I software di sicurezza devono controllare anche le pagine Internet, le email, gli allegati ed i downloads

© NEW

ITS 20

16 -ca

millo.a

iolfi@n

ewits.

it

21

Sicurezza fisica• Bloccate le postazioni di lavoro quando non presidiate; bloccate portatili e dispositivi mobili in generale.

Usare il tasto Windows e “L” (premuti contemporaneamente) Usare Ctrl-Alt-Del e “Blocca” Usare il PIN dei dispositivi mobili

• Chiudere i documenti sensibili in archivi protetti (serve la chiave)• Eliminare i documenti sensibili in modo opportuno.• Non condividere MAI password, pin, smart cards e badge con altri.• Non lasciare che sconosciuti girino per gli uffici.• Segnalare sempre eventi ed attività sospette ai responsabili della sicurezza. © N

EWITS

2016

-camil

lo.aiolf

i@new

its.it

22

Le regole della Vs. organizzazione

© NEW

ITS 20

16 -ca

millo.a

iolfi@n

ewits.

it

23

Le regole di casa vostra:

Le minacce

© NEW

ITS 20

16 -ca

millo.a

iolfi@n

ewits.

it

24

Cosa è un URL?Per avere qualche strumento in più per l’individuazione di un tentativo di attacco internet è necessario comprendere la struttura di un URL.URL è l’acronimo di Uniform Resource Locator, ed è una sequenza di caratteri che identifica univocamente l’indirizzo di una risorsa in Internet, come un documento o un’immagine. E’ l’elemento che ci permette di trovare un sito web, cioè l’indirizzo che noi digitiamo nel browser quando cerchiamo una pagina o un file.

[http://][www.sub.post].[newits.it][/appunti/16-note/page.php][?code=123&sub=321]1. Protocollo: per la navigazione, normalmente HTTP o HTTPS (S=sicuro). Identifica le modalità di comunicazione con il server/sito remoto. 2. Sotto-dominio: identifica l’indirizzo interno al dominio (un po’ come gli interni di un condominio) del server/sito. Ricordare che un dominio può contenere più siti.3. Dominio: identifica l’indirizzo principale del server/sito. Molto raramente può essere seguito da un numero di porta nel formato :456. Es: http://www.newits.it:654/cartella.... Ad ogni nome di dominio è associato un indirizzo fisico (indirizzo IP) in formato numerico. Es. 193.4.123.994. Cartella/folder: nell’ambito di un sito identifica la cartella in cui è memorizzato il documento.5. Parametri: insieme di parametri usati dalla risorsa remota.Per i nostri obiettivi le informazioni critiche sono le prime 3.

© NEW

ITS 20

16 -ca

millo.a

iolfi@n

ewits.

it

25

1 2 3 4 5

Come analizzare un URL• In generale, quando si posiziona (hover) il cursore del mouse su un elemento di navigazione (link, bottone, immagine,…) visualizzato da un browser o client di posta, viene visualizzato l’URL al quale si sarà rediretti facendo un click. La visualizzazione viene fatta generalmente in basso a sinistra della finestra o immediatamente vicino all’elemento.• Se non siete sicuri del nome di dominio controllatelo! Ci sono vari siti che permettono di farlo. Es. http://whois.domaintools.com/; http://whois.eurid.eu/it/search.• Diffidate sempre degli URL con il solo indirizzo fisico. Es. http://123.8.44.78/page.php.• In un browser diffidate dei protocolli diversi ha HTTP e HTTPS.

© NEW

ITS 20

16 -ca

millo.a

iolfi@n

ewits.

it

26

• Diffidate dei nomi di dominio criptici, non facilmente identificabili con un fornitore o che, semplicemente, assomigliano al nome di un fornitore. Es. dimsrv12.com, servizi-apple.com, pinco-pallino.tv • Per registrare un dominio .it serve una partita IVA o un codice fiscale. • Il contenuto di una risorsa indirizzata da un URL può essere controllata all’indirizzo: https://www.virustotal.com/

Attenzione alle truffe (SCAM)• Non rispondere ad email, instant messages (WhatsApp, IM, Skype, ..), SMS, telefonate, ecc… che vi chiedono la vostra password. Non dovete MAI comunicare la password ad alcuno anche se sostiene di essere parte della vostra organizzazione, di essere un vostro collega o pubblico ufficiale (se non in possesso di documenti ufficiali di un tribunale).

• Non date informazioni private a chi non conoscete o a chi non ha una legittima necessità di usarle; ne di persona ne per telefono, email, IM, SMS, Facebook, Twitter, ecc..

Se avete dubbi, chiedete/segnalate tutti gli incidenti e le attività sospette ai responsabili della sicurezza o al responsabile del trattamento dati.

© NEW

ITS 20

16 -ca

millo.a

iolfi@n

ewits.

it

27

Indicatori chiave di truffa• Vi vengono chieste informazioni personali, password, informazioni finanziarie, codice fiscale o partita iva, denaro.• Email inaspettate o non sollecitate con links o allegati.• Interventi intimidatori che minacciano eventi funesti se non si interviene rapidamente. • Promesse di qualcosa di troppo bello per essere vero. Promesse di grandi offerte o collegamenti/links per reclamare un premio od una vincita. • Richieste di reindirizzare un messaggio di posta con allegati o links ai vostri amici o conoscenti. • Altri indicatori che l’email non è sicura:

Non è indirizzata a voi per nome. Es. Caro collega e non Caro Camillo. Il mittente non è specificato, non è qualcuno di vostra conoscenza oppure non coincide con l’indirizzo «Da:». Contiene errori di ortografia o grammatica. A volte l’italiano ci salva perché poco conosciuto. Ci sono allegati con nomi o estensioni sospette o, quantomeno, non rispondenti al testo del messaggio. (es: *.zip, *.exe, *.vbs, *.bin, *.com, *.pif, *.zzx) Contiene un link per visualizzare una e-card o per tracciare un pacco inaspettato. Contiene links a immagini o video da persone che non conoscete personalmente. © N

EWITS

2016

-camil

lo.aiolf

i@new

its.it

28

Le prossime slides includono qualche esempio del tipo di minaccia che potreste incontrare con suggerimenti su come proteggere voi stessi, i vostri dati, l’organizzazione, i suoi sistemi ed i clienti.Concetto BaseVOI controllate quello che decidete di USARE.VOI controllate quello che decidete di CLICCARE.

Molti attacchi alla sicurezza sono costruiti nella speranza che un utilizzatore clicchi un link nocivo oppure un allegato, una immagine, un video o icona in una email o pagina web. Inclusi i social. Cosa potete fareSTOP e PENSATE PRIMA di FARE un CLICK o CARICARE un programma/app sui vostri dispositivi

Il Vostro compito è quello di essere coscienti, attenti e diligenti. Sviluppate un “sano” scetticismo circa la sicurezza dei contenuti che ricevete. State sempre attenti ai segnali che le entità esterne lasciano nel tentativo di guadagnare l’accesso al Vostro PC, ai vostri dispositivi mobili, ai vostri dati ed alla vostra rete.

Minacce correnti

© NEW

ITS 20

16 -ca

millo.a

iolfi@n

ewits.

it

29

Il posto di lavoroIndividui che non conoscete possono accedere al Vostro spazio fisico, in ufficio o in altre locazioni che frequentate. • Non permettete accessi non autorizzati alla vostra area di lavoro.• Non permettete a nessuno di usare le vostre chiavi o il Vostro badge di sicurezza (ove applicabile)I vostri dispositiviI malintenzionati cercano sempre modi facili per rubare PC, cellulari ed altri dispositivi; è il modo più semplice per accedere ad un Sistema Informativo.• Bloccate o mettete sotto chiave I vostri dispositivi quando non li usate.• Se usate dischi esterni cifrateli oppure metteteli sotto chiave.• Non lasciate incustoditi I vostri dispositivi specialmente in luoghi ad accesso pubblico. La vostra passwordLa vostra password è anche una chiave. Ci sarà sempre qualcuno che cercherà di rubarla se è in piena vista o facile da determinare.• Non scrivere le passwords su PostIt o su carta in piena vista. • Cambiate spesso la vostra password e rendetela difficile da indovinare.

Segnalate immediatamente ogni violazione della sicurezza fisica.

Minacce fisiche

© NEW

ITS 20

16 -ca

millo.a

iolfi@n

ewits.

it

30

Le minacce prevalenti e persistenti alla vostra sicurezza arrivano nella vostra “Posta in arrivo”. Arrivano con mittenti diversi, possono persino sembrare legittimi messaggi e sembrare provenire da persone che potreste conoscere (phishing). Queste minacce hanno un fattore comune: sono progettate per indurti a cliccare su un allegato, un link oppure una immagine. Risultato: Cliccando si potrebbe lanciare un programma nocivo o essere ridiretti su un sito web nocivo con il risultato di vedere dati riservati comunicati all’esterno o di essere attaccati da un software malevolo (es. Cryptowall, Teslacrypt, ..) Stop: Non cliccare. Non assumere che i link nella vostra email siano automaticamente sicuri. Se qualcosa vi sembra strano non cliccate prima di verificare.Pensate: è normale che mi venga inviata questa email? se non potete identificare i mittenti e gli allegati come legittimi oppure non siete in grado di identificare come sicuri i link andando a controllare gli indirizzi web relativi allora potete logicamente concludere che non siete al sicuro. Click: solo dopo aver verificato di essere al sicuro. Proteggete i vostri account di posta. Segnalate tutti gli incidenti e le attività sospette ai responsabili della sicurezza.

Minacce via email: phishing

© NEW

ITS 20

16 -ca

millo.a

iolfi@n

ewits.

it

31

Minacce via email: allegati• Se vedete un messaggio nel vostro client di posta generalmente è già stato analizzato dagli antimalware. Tuttavia questo non indica un messaggio sicuro perché le analisi non sono sempre affidabili al 100% (soprattutto per i malware recenti o gli zero-days) e non tutti gli antimalware controllano i dati in arrivo in tempo reale.• Se un messaggio contenente allegati vi sembra strano per contenuto, nome o icone degli allegati o altro non aprite gli allegati.• Se proprio volete aprire un allegato sospetto, prima di aprirlo contattate eventualmente il mittente via email, IM (Skype, WhatsApp, ..) o telefono. Es. Un amico che non vedete da anni vi invia un messaggio del tipo «ti allego una raccolta di fotografie del nostro ultimo incontro». Un cliente vi manda la copia di un ordine, di una distinta di bonifico, ….• Ricordatevi: l’apertura del messaggio in generale non provoca danni come pure il salvataggio, senza apertura, degli allegati in una cartella di quarantena. In Outlook, ad esempio, gli allegati si possono salvare usando un click con il tasto destro del mouse sul nome dell’allegato.• Ricordatevi: anche se usate un servizio di WebMail (es. Gmail) gli allegati ed i link vengono aperti sul vostro dispositivo e quindi fare danni in locale.• I files possono essere controllati online anche da un insieme di antivirus all’indirizzo https://www.virustotal.com/. © N

EWITS

2016

-camil

lo.aiolf

i@new

its.it

32

Indicatori di phishing• Alcuni esempi includono:

“C’è un problema con il vostro conto” – cercando di convincervi ad digitare una password o seguire un link allo scopo di risolvere il problema. Email, pop-ups o notifiche Facebook che vi segnalano un rischio infezione del vostro computer. Tipicamente il testo della segnazione include uno o più links. Money Phishing – tentativo di estorcervi le credenziali di accesso a conti bancari. Spesso pretendendo di essere qualcuno in un’altra nazione che richiede assistenza a muovere grosse somme di denaro, oppure un amico bloccato all’estero senza denaro oppure un agente del fisco che vi intima di pagare tasse arretrate immediatementevia telefono.

• Nessuna organizzazione seria chiede di inviare credenziali, numeri di conto, IBAN o informazioni personali via email. Soprattutto non invia segnalazioni contenenti indicazioni del tipo «clicca qui!» e link in genere. Se avete a che fare con qualche fornitore che vi invia link da cliccare (es. bolletta telefonica) usate le segnalazioni con circospezione. © NEW

ITS 20

16 -ca

millo.a

iolfi@n

ewits.

it

33

Indicatori di phishing: esempi (1)

© NEW

ITS 20

16 -ca

millo.a

iolfi@n

ewits.

it

34

Controllate sempre che contenga il vostro nome e non un generico

Controllate che le informazioni riportate siano corrette

Controllate l’URL prima di cliccare.

Indicatori di phishing: esempi (2)

© NEW

ITS 20

16 -ca

millo.a

iolfi@n

ewits.

it

35

1. Il mittente ha senso.2. Il destinatario non è generico3. L’URL è corretto.

Indicatori di phishing: esempi (3)

© NEW

ITS 20

16 -ca

millo.a

iolfi@n

ewits.

it

36

1. Il mittente lascia perplesso (TVPH9???).2. Il destinatario è generico3. L’URL è critico.

Indicatori di phishing: esempi (4)

© NEW

ITS 20

16 -ca

millo.a

iolfi@n

ewits.

it

37

1. Il mittente sembrerebbe buono.2. Il destinatario è generico3. L’URL è critico: non coerente con il mittente.4. Ci sono link

• Normalmente una segnalazione di questo tipo (alert) contiene solo indicazioni del tipo «Collegati al tuo account e verifica» e raramente contiene links.• E’ improbabile che venga usato come mittente un indirizzo per la richiesta di informazioni (info).

Minacce via email: furto di indirizziIl furto di indirizzi email (email spoofing) è una tecnica utilizzata dagli spammer che consiste nell’invio di email con l’indirizzo del mittente falsificato. Gli spammer (persone specializzate nella spedizione di messaggi contenenti di solito pubblicità, virus o altri contenuti indesiderati) si servono degli indirizzi contraffatti per inviare messaggi a destinatari conosciuti dal mittente.

(DIMOSTRAZIONE)Queste minacce hanno un fattore comune: sono progettate per indurre i destinatari a cliccare su un allegato, un link oppure una immagine. Il titolare della mail, ignaro di tutto, se ne accorge solo dalle notifiche o dalle mail di segnalazione che gli arrivano. Un fenomeno, questo, di cui sono vittima utenti e provider di tutto il mondo e rientra nelle tecniche di social engineering. Se siete un destinatario: trattate i messaggi come in tutti i casi di phishing.Se avete subito il furto: l’indirizzo può essere stato costruito casualmente ma è molto probabile che un vostro contatto o voi stessi siate stati oggetto di un attacco andato a buon fine ed i contratti del client di posta siano stati spediti ad uno spammer.Cosa fare se avete subito un furto: non esistono soluzioni valide; anche eliminando la casella postale e quindi l’indirizzo rubato, i destinatari continueranno a ricevere email fasulle. Si può solo avvertire il provider usato dallo spammer. (vedi prossima slide)

© NEW

ITS 20

16 -ca

millo.a

iolfi@n

ewits.

it

38

Furto di indirizzi: cosa fare?Cosa fare se si subisce il furto di un indirizzo.Mentre i provider non possono impedire che qualcuno falsifichi gli indirizzi mail con il loro dominio, se sono informati di una frode in atto, possono prendere le necessarie misure.• Fate abilitare l’opzione SPF (Sender Policy Framework) da chi vi gestisce le caselle email. Gestite regole e filtri sui client di posta.• Chiedete ai contatti che conosci di inviarti quei messaggi fasulli.• Reperite le intestazioni del messaggio (varia in funzione del client di posta). Nell’ultima delle righe “Received”, prendete nota dell’indirizzo IP (il numero composto da quattro gruppi di cifre che solitamente appare dopo “from:”). E’ quello l’indirizzo dell’Internet Service Provider (ISP) che il mittente ha utilizzato per spedire le mail fasulle.• Andate su un sito come http://whois.domaintools.com/ e cerca l’indirizzo: otterrai il nome dell’ISP.• Contattate l’ISP tramite il suo recapito Abuse, chiedendo che il mittente sia bloccato per Spam.• Se ritenete di essere vittima di un furto di identità, consigliamo anche di sporgere denuncia agli organi di polizia. © N

EWITS

2016

-camil

lo.aiolf

i@new

its.it

39

Furto di indirizzi: cosa fare?Filtro in ricezione

© NEW

ITS 20

16 -ca

millo.a

iolfi@n

ewits.

it

40

Furto di indirizzi: chi avvertire?

© NEW

ITS 20

16 -ca

millo.a

iolfi@n

ewits.

it

41

Indirizzo rubato

Obiettivo

Navigare può essere pericoloso per il Vostro PCLa rete è una sorgente significativa di affari, intrattenimento e servizi. Tuttavia alcune delle stesse minacce viste per le email possono creare problemi di sicurezza anche in questo caso. La Minaccia Comune: Nella navigazione sul web i pericoli vengono dai link nocivi. La maggior parte delle minacce deriva dai click su link che lanciano virus e malware o che ridirigono su siti pericolosi. Risultato: Cliccando si potrebbe lanciare un programma nocivo o essere ridiretti su um sito web nocivo con il risultato di vedere dati riservati comunicati all’esterno o di essere attaccati da un software malevolo (es. Cryptowall, Teslacrypt, ..). Stop: non cliccare automaticamente su link Internet fino a quando non siete completamente sicuri della loro affidabilità. Questo include immagini, video e altri elementi di navigazione. Pensate: Controllate l’indirizzo di rete (URL) dei link in questione. Per qualsiasi link o bottone che indichi “Cliccare qui” / “Click here” muovete il cursore del mouse sul testo incriminato (senza cliccare) fino a quando viene visualizzato l’indirizzo di rete al quale si verrà reindirizzati ed analizzate l’indirizzo web visualizzato prima di procedure. Click: solo quando siete completamente confidenti che il sito web sia sicuro.

Segnalate tutti i siti web sospetti alla sicurezza.

Minacce Internet: link nocivi

© NEW

ITS 20

16 -ca

millo.a

iolfi@n

ewits.

it

42

I social media possono essere sospettiAnche se relativamente sicuri, l’enorme diffusione dei social network li ha resi appetibili per ogni genere di criminalità. Usate il buon senso e siate cauti visitando anche questi siti.La Minaccia Comune: come per le email, i post su FaceBook, LinkedIN, YouTube e altri sembrano portare a contenuti interessanti, video divertenti e a collegamenti con altri utenti e organizzazioni di interesse sia per il privato che per il lavoro. Risultato: In realtà forse state cliccando su links che lanciano malware o che indirizzano su siti diversi da quelli aspettati e pertanto mettono a rischio le vostre informazioni personali o i dati aziendali. Stop: non cliccare automaticamente su link Internet fino a quando non siete completamente sicuri della loro affidabilità. Questo include immagini, video, inviti e altri elementi di navigazione.Pensate: Controllate l’indirizzo web (URL) associate i link in questione. Investigate sulla loro validità muovendo il cursore del mouse (senza cliccare) e posizionandolo sull’elemento di navigazione (testo, video, immagine); guardate bene l’indirizzo web prima di procedere. Non inviate mai informazioni personali a caso.Click: solo quando siete completamente confidenti che il sito web sia sicuro.

Segnalate tutte le attività sospette sui social

Minacce Internet: social media

© NEW

ITS 20

16 -ca

millo.a

iolfi@n

ewits.

it

43

Minacce Internet: reputazioneNon fidatevi ciecamente dei giudizi in rete• La reputazione è l'opinione che gruppi di persone hanno, in generale, su qualcuno o qualcosa basato su comportamenti passati. I sistemi di gestione della reputazione rendono possibile l'utilizzo di questi giudizi online (es. http://www.yelp.it/). Gli utenti Internet possono accedere a questi sistemi per controllare il livello di affidabilità degli individui con cui operano online, ad esempio un venditore su un sito e-commerce. Un e-commerce, infatti, è l'applicazione più comune che sfrutta i sistemi di reputazione online, come ad esempio il sistema a 5-stelle di Amazon. • La Minaccia Comune: I sistemi di reputazione possono però essere bersaglio di attacchi di malintenzionati disposti a sfruttare queste relazioni di trust / affidabilità (Sybil Attack). In questo genere di attacco, ad esempio, vengono creati diversi utenti con cui manipolare i giudizi sia manualmente che attraverso programmi appositamente predisposti.• Risultato: Questi giudizi non veritieri vengono sfruttati per sondare e truffare gli utenti (anche via telefono: sono xxxx, 5 stelle in oltre 1000 giudizi, controlli su internet ….). Oppure per attaccare un concorrente con giudizi negativi.• Stop: non prendete per buono a priori qualsiasi giudizio online. Diffidate dei giudizi troppo buoni o estremamente negativi. • Pensate: usate il buon senso. Leggete sempre qualche commento prima di acquistare o aderire ad un servizio. Commenti troppo uniformi sono probabilmente falsi. • Click: solo quando siete completamente confidenti che il sito web ed i giudizi siano sicuri. © N

EWITS

2016

-camil

lo.aiolf

i@new

its.it

44

Minacce interne: insider threat• Per Insider Threat si intende una minaccia portata da un «hacker» (chiamato anche «cracker» o “black hat”) impersonato da un dipendente o da un funzionario di un'azienda, istituzione o agenzia. Il termine può anche applicarsi a una persona esterna che si pone come un impiegato o un pubblico ufficiale ottenendo false credenziali. Il cracker ottiene accesso ai sistemi informatici di impresa e quindi svolge attività destinate a causare danni all'impresa stessa. Purtroppo gli attacchi di questo tipo sono i più frequenti (ed anche i più facili da ordire).• Le minacce interne sono spesso portate da dipendenti scontenti o ex-dipendenti che credono di essere "oggetto di un torto" e si sentono giustificati ad ottenere vendetta. L'attività dannosa si verifica in genere in quattro passaggi.

In primo luogo, il cracker guadagna l'ingresso al sistema o rete. In secondo luogo, il cracker analizza la natura del sistema o della rete al fine di individuare i punti vulnerabili e dove si può fare il maggior danno con il minimo sforzo. In terzo luogo, il cracker imposta un PC da cui portare l'attacco. Infine, si esegue effettivamente l’attacco distruttivo.

• I danni causati da un insider possono assumere molte forme, compresa l'introduzione di virus, worm o cavalli di Troia; il furto di informazioni riservate e segreti aziendali; il furto di denaro; il danneggiamento o la cancellazione dei dati; l'alterazione dei dati per produrre disagio o false prove penali; e il furto dell'identità degli individui specifici nell'impresa• Attenti a colleghi ed ex-colleghi. © N

EWITS

2016

-camil

lo.aiolf

i@new

its.it

45

Conseguenze

© NEW

ITS 20

16 -ca

millo.a

iolfi@n

ewits.

it

46

Sono stato colpito?• I malware moderni sono sempre più sofisticati, polimorfi, di varia natura e simili nel comportamento ai virus reali di origine biologica: a volte mostrano sintomi visibili altre volte no.Difficile quindi capire se un malware ha colpito effettivamente un dispositivo e, soprattutto, non è semplice distinguere un problema tecnico dal risultato di un attacco / «infezione» che porta malfunzionamenti.

© NEW

ITS 20

16 -ca

millo.a

iolfi@n

ewits.

it

47

• Tuttavia ogni attacco ha un obiettivo per il cui raggiungimento il malware si deve manifestare: a volte l’intruso rimane latente per giorni ma alla fine si manifesta.• Se si viene inclusi in una Botnet usata per attaccare terzi i sintomi possono essere non percettibili. Dopo qualche tempo è probabile che un aggiornamento dell’antimalware individui e rimuova l’ospite indesiderato.• Una buona lista di sintomi è quella di KarsperskyLab di seguito allegata.

Sintomi di un attacco1. Il sistema va in crash all’improvviso. 2. Il computer è più lento. 3. L’attività dell’hard disk è eccessiva. 4. Si aprono finestre strane. 5. Compaiono messaggi inusuali. 6. I programmi non vanno come dovrebbero. 7. L’attività della rete è sempre intensa. 8. La casella di posta non funziona bene. 9. L’indirizzo IP è stato inserito in una blacklist. 10. L’antivirus è stato disattivato. © N

EWITS

2016

-camil

lo.aiolf

i@new

its.it

48

Sono stato colpito ….e ora?Come sempre: meglio prevenire che curare. In caso di attacco andato a buon fine però:

Se fate parte di una organizzazione avete un referente per la sicurezza che sarà in grado di aiutarvi o fare intervenire qualcuno che lo possa fare. E’ necessario individuare sia l’origine dell’attacco sia i suoi effetti. In entrambi i casi per provi rimedio. In alcune organizzazioni (e in alcune nazioni) è obbligatorio denunciare l’evento ai CERT (“Computer Security Incident Response Team”) siano essi privati o pubblici. In Italia non lo è. Il CERT Italiano è per ora una buona sorgente di informazioni (https://www.certnazionale.it/chi-siamo/). In ogni caso, non cercate di fare da soli o di farvi semplicemente aiutare da conoscenti e amici: fatevi aiutare da persone qualificate. Rimuovere un malware per tentativi può peggiorare la situazione. Il vostro amico più fidato si chiama «Salvataggio Giornaliero Ripristinabile». Se siete oggetto di una truffa: http://www.commissariatodips.it/

© NEW

ITS 20

16 -ca

millo.a

iolfi@n

ewits.

it

49

Normativa sul tema (1)• Principali normative italiane che fanno riferimento e o impattano la sicurezza ICT D.Lgs. n. 235 del 30 dicembre 2010 sul nuovo Codice dell'amministrazione digitale Provvedimento del Garante sulla privacy per gli amministratori di sistema del 27 novembre 2008 Legge 48 del 18 marzo 2008 sul crimine informatico DL 31 dicembre 2007, n. 248 con l'art. 34 per la proroga della Legge 31 luglio 2005, n. 155 sull'antiterrorismo al 31/12/2008. “Linee guida del Garante per posta elettronica e Internet”, Gazzetta Ufficiale n. 58 del 10 marzo 2007. Legge 231/2007 su antiriciclaggio http://www.camera.it/parlam/leggi/deleghe/testi/07231dl.htm D. Lgs.82/2005 - Codice dell’Amministrazione Digitale. Legge 31 luglio 2005, n. 155 sull'antiterrorismo. D.Lgs. 9 aprile 2003 n. 68 - Attuazione della direttiva 2001/29/CE sull'armonizzazione di taluni aspetti del diritto d'autore e dei diritti connessi nella società dell'informazione. D.Lgs. 196/2003 Codice in materia di protezione dei dati personali. Direttiva del Presidente del Consiglio dei Ministri - 16 gennaio 2002. Dipartimento per l’Innovazione e le Tecnologie pubblicata sulla G.U. n.69 del 22 marzo 2002 “Sicurezza Informatica e delle Telecomunicazioni nelle Pubbliche Amministrazioni Statali”. D.Lgs. 231/ 2001 - Disciplina della responsabilita' amministrativa delle persone giuridiche, delle societa' e delle associazioni anche prive di personalita' giuridica, a norma dell'articolo 11 della legge 29 settembre 2000, n. 300 http://www.camera.it/parlam/leggi/deleghe/testi/01231dl.htm Legge 18 agosto 2000 n. 248 contenente nuove norme di tutela del diritto d’autore. Legge 547/93 sulla criminalità informatica. Legge 633/41 e D. Lgs 518/92 Titolarità diritti sul software (legge diritto d’autore).

© NEW

ITS 20

16 -ca

millo.a

iolfi@n

ewits.

it

50

Normativa sul tema (2)• Codice Penale

Art. 615 ter c.p. Accesso abusivo ad un sistema informatico o telematico. Art. 615 quater c.p. Detenzione e diffusione abusiva di codici di accesso a sistemi informatici e telematici. Art. 615 quinquies c.p. Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico. Art. 640 ter c.p. Frode informatica.

• Direttive Europee Direttiva 2002/21/CE del Parlamento europeo e del Consiglio del 7 marzo 2002, che istituisce un quadro normativo comune per le reti ed i servizi di comunicazione elettronica (direttiva quadro). Direttiva 2006/24/CE del Parlamento Europeo e del Consiglio del 15 marzo 2006 riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione (modifica la direttiva 2002/58/CE). Linee Guida dell'OCSE sulla sicurezza dei sistemi e delle reti d'informazione: verso una cultura della sicurezza del luglio 2002.

© NEW

ITS 20

16 -ca

millo.a

iolfi@n

ewits.

it

51

Domande?Se conoscete un po’ di inglese e volete verificare le vostre conoscenze in tema di Sicurezza ICT provate questi tests.

https://cybersecuritymonth.eu/references/quiz-demonstration/intro © NEW

ITS 20

16 -ca

millo.a

iolfi@n

ewits.

it

52