Furto dei dati aziendaliCome ti rubo in casa!
Tecniche di investigazione nell’informatica moderna
Bologna, 9 giugno - Smau 2010 Bologna Fiere
Dott. Stefano [email protected]
Creative Commons Attribuzione-Non opere derivate 2.5
mercoledì 30 giugno 2010
Obiettivi del seminario
• Presentazione del fenomeno dello spionaggio industriale
• Riferimenti giuridici
• Formazione alle PMI
• Sensibilizzazione dell’infrastruttura IT alle problematiche dello spionaggio industriale
• Case study
mercoledì 30 giugno 2010
Dott. Stefano Fratepietro
• IT - Security specialist per il CSE Consorzio Servizi Bancari S.c.r.a.l
• Consulente di Informatica forense per tribunali, forze dell’ordine (Polizia Postale, Carabinieri e Guardia di Finanza) e privati
• Casi di importanza nazionale come Buongiorno! Vitaminic e Telecom Pirelli Ghioni
• DEFT Linux project manager
mercoledì 30 giugno 2010
Spionaggio industriale
Attività condotta tra competitori per ottenere in maniera illecita informazioni industriali e commerciali
strettamente riservate
mercoledì 30 giugno 2010
Luclar International, marzo 2007
mercoledì 30 giugno 2010
Coop vs Esselunga, settembre 2009
mercoledì 30 giugno 2010
Ducati vs Mv Augusta, maggio 2009
mercoledì 30 giugno 2010
Consorzio industriale ASI, febbraio 2010
mercoledì 30 giugno 2010
Centinaia e centinaia di casi l’annomai venuti alla luce per evitare un
danno d’immagine all’azienda
mercoledì 30 giugno 2010
30%
50%
10%
10%
Tradimento interno dal basso Dipendente che cambia lavoroTradimento interno dall’alto Attacco informatico
Statistiche in un anno di attività (2009)
Su base annua di 30 interventi circa
mercoledì 30 giugno 2010
Previsioni per il 2010
0
22,50
45,00
67,50
90,00
2006 2007 2008 2009 2010
Fonte: Il sole 24 ore, 31 marzo 2010
mercoledì 30 giugno 2010
Riferimenti giuridici
• Il reato di spionaggio industriale in Italia corrisponde per la legge a "violazione di segreto industriale", ed è punito dagli articoli 621, 622 e 623 del Codice penale
mercoledì 30 giugno 2010
Riferimenti giuridici
• Art. 621 c.p. Rivelazione del contenuto di documenti segreti. Chiunque, essendo venuto abusivamente a cognizione del contenuto, che debba rimanere segreto, di altrui atti o documenti, pubblici o privati, non costituenti corrispondenza, lo rivela, senza giusta causa, ovvero lo impiega a proprio o altrui profitto, e' punito, se dal fatto deriva nocumento, con la reclusione fino a tre anni o con la multa da lire duecentomila a due milioni. Agli effetti della disposizione di cui al primo comma e' considerato documento anche qualunque supporto informatico contenente dati, informazioni o programmi (1). Il delitto e' punibile a querela della persona offesa. (1) Comma aggiunto dall'art. 7, L. 23 dicembre 1993, n. 547.
mercoledì 30 giugno 2010
Riferimenti giuridici
• A r t . 6 2 2 c . p . R i v e l a z i o n e d i s e g re t o professionale. Chiunque, avendo notizia, per ragione del proprio stato o ufficio, o della propria professione o arte, di un segreto, lo rivela, senza giusta causa, ovvero lo impiega a proprio o altrui profitto, e' punito, se dal fatto può derivare nocumento, con la reclusione fino ad un anno o con la multa da lire sessantamila a un milione. Il delitto e' punibile a querela della persona offesa
mercoledì 30 giugno 2010
Riferimenti giuridici
• Art. 623 c.p. Rivelazione di segreti scientifici o industriali. Chiunque, venuto a cognizione per ragione del suo stato o ufficio, o della sua professione o arte, di notizie destinate a rimanere segrete, sopra scoperte o invenzioni scientifiche o applicazioni industriali, le rivela o le impiega a proprio o altrui profitto, e' punito con la reclusione fino a due anni. Il delitto e' punibile a querela della persona offesa.
mercoledì 30 giugno 2010
Spionaggio del passato
• Intercettazioni telefoniche, telecamere, microspie ambientali
• Individuo infiltrato o corrotto all’interno del contesto aziendale
• Copiatura di documenti con cartacarbone o fotocopiatore
mercoledì 30 giugno 2010
Spionaggio del presente
• Intercettazioni telematiche (navigazione web, VoIP, chat, e-mail)
• Keylogger su personal computer, palmari e cellulari
• Dispositivi controllati remotamente
• Computer come cassaforte dei segreti aziendali
mercoledì 30 giugno 2010
Principali canali per la fuga di informazioni
• Posta elettronica (aziendale o esterna)
• Memorie di massa esterne (penne usb, hard disk esterni)
• Navigazione Internet troppo permissiva
• Attacco informatico
mercoledì 30 giugno 2010
Chiusura dei canaliPosta elettronica
• Bloccare l’invio e la ricezione di posta elettronica su rete Internet da parte degli account personali dei dipendenti
• Utilizzo di caselle di posta d’ufficio per spedire/ricevere posta su Internet
• Blocco dei siti Internet che offrono servizi di webmail, file sharing, instant messenger, webproxy
mercoledì 30 giugno 2010
Chiusura dei canaliMemorie di massa esterne• Uso di lettori DVD/CD eliminando tutti i
masterizzatori dalle postazioni di uso generico
• Bloccare l’utilizzo di dispositivi esterni su tutte le postazioni o limitarne l’uso al solo hardware aziendale censito
• Controllo degli accessi e sistemi ad agente access control
mercoledì 30 giugno 2010
Chiusura dei canaliUtilizzo di soluzioni NAC
NAC -> Network Access Controll
Accesso controllato ad ogni singola risorsa del sistema informatico aziendale mediante la definizione di policy
distinte per gruppi di utenti o computer
Supporto multi OS senza l’obbligo, in alcuni casi, di installazione di un agent sul sistema
mercoledì 30 giugno 2010
• Soluzioni gratuite ed open source come Free NAC: http://freenac.net
• Soluzioni commerciali, closed source e vendute spesso su appliance come CounterACT della ForeScout: http://www.forescout.com/counteract
Chiusura dei canaliUtilizzo di soluzioni NAC
mercoledì 30 giugno 2010
Chiusura dei canaliAttacco informatico• Formare il dipendente alla cultura della sicurezza IT
• Mettere in sicurezza la rete aziendale esposta su Internet
• Utilizzo di Firewall
• Utilizzo di concentratori VPN per gli accessi dall’esterno
• Utilizzo di sonde IDS/IPS
• Mantenere in sicurezza la rete aziendale interna utilizzando sistemi con policy di accesso e monitoraggio delle attività
• Mantenere aggiornati tutti i sistemi informativi
mercoledì 30 giugno 2010
E se il fatto fosse già accaduto?
mercoledì 30 giugno 2010
Indagine interna
• Individuare tutti gli strumenti informatici utilizzati
• Computer
• Cellulare / Palmare
• Memorie di massa esterne
• Preservare i dispositivi originali sostituendoli con delle copie clone ove possibile
• Analisi del perimetro di azione del dipendente
mercoledì 30 giugno 2010
Indagine interna
• Lavorare, dove possibile, sulle copie fedeli delle memorie di massa dei dispositivi in analisi
• Documentare tutte le procedure, dall’acquisizione all’analisi dei dati, da produrre in un eventuale scenario giuridico
• Coinvolgere un avvocato se necessario
mercoledì 30 giugno 2010
Ma le grandi aziende?• C’è chi si assume il rischio senza prendere
misure preventive investendo zero
• C’è chi è paranoico a discapito dei processi di produzione investendo ingenti somme di denaro
• C’è chi adotta misure intermedie investendo il minimo indispensabile
E c’è chi vende servizi di IT - Security e CF e si fa bucare il computer in albergo (Ghioni - Kroll)
mercoledì 30 giugno 2010
Ma le grandi aziende?Un modello sicuro• Uso vietato della rete aziendale ai
consulenti esterni dei propri computer portatili aventi sistema operativo Windows
• Uso consentito della rete aziendale ai consulenti esterni dei propri computer portatili, a patto che abbia un sistema operativo diverso da Windows, previo controllo accordato ed approfondito in precedenza da parte dello staff tecnico
mercoledì 30 giugno 2010
Cases study
mercoledì 30 giugno 2010
Case study - 1
• Sede italiana dell’azienda: 200 dipendenti
• Sedi commerciali in tutto il mondo con personale multi etnico
• Produzione e vendita di cosmetici
Causa: una azienda estera produce la stessa ed identica fragranza di profumo rivendendolo a metà prezzo nella nazione di produzione
Sospetto: dipendente di nazionalità estera con frequenti trasferte in quella nazione
mercoledì 30 giugno 2010
Case study - 1
Il dipendente sospettato ha in uso un computer portatile che non lascia mai incustodito tantè che tutte le sere è uso
abituale portarsi il computer a casa con la scusante di lavorare anche durante i week end
Come ci accedo ai suoi dati!?!?!?
ASTUZIA!mercoledì 30 giugno 2010
Case study - 1
Tecnico della Symantec (attore) venuto a posta in azienda per visionare tutte le postazioni di lavoro portatili per prevenire la
diffusione del super virus
Ritiro di tutti i computer portatili alle 14:00 nella sala riunioni, ad accesso consentito solo ai partecipanti all’attività, per
l’aggiornamento locale delle postazioni di lavoro
Clonazione della memoria di massa del computer portatile sostituendo l’hard disk originale con quello clonato
mercoledì 30 giugno 2010
Case study - 1Risultanze
• Il dipendente aveva una corrispondenza diretta con l’azienda concorrente
• Furono recuperati file cancellati con le richieste dell’azienda concorrente e i progetti / ricette in allegato
• Il dipendente fu allontanato dall’azienda la settimana successiva alla comunicazione delle risultanze della perizia
mercoledì 30 giugno 2010
Case study - II
• Piccola azienda di circa 30 dipendenti
• Nessun responsabile informatico in loco
• Produzione e progettazione di macchinari industriali
Causa: l’azienda concorrente per 8 mesi è riuscita ad imporsi al meglio sul mercato offrendo gli stessi macchinari a prezzi inferiori
Sospetto: fuga delle informazioni commerciali e sospetto di copiatura di interi progetti
mercoledì 30 giugno 2010
Case study - II
Non c’è alcun sospetto sui dipendenti, non ci sono postazioni portatili, non esistono fornitori esterni che
lavorano in loco
Da un primo colloquio con il cliente, l’impressione è stata quella di paranoia e non rassegnazione del fatto che
l’azienda concorrente stesse andando meglio
Non era così!!!mercoledì 30 giugno 2010
Case study - II
L’intervento viene fatto nella notte, ad azienda chiusa. Presenti in loco vi era solo l’AD e la persona di fiducia
L’infrastruttura informatica era molto semplice: una rete piatta in classe C, 2 server e circa 10 workstation
I computer venivano lasciati accesi durante la notte
Su una delle postazioni accese ad un certo punto notiamo che il puntatore del mouse inizia a muoversi da solo
sfogliando le direcotry del computer
mercoledì 30 giugno 2010
Case study - II
• Il file server era esposto direttamente su Internet con il Desktop Remoto abilitato
• Su tutti i computer era installato vnc server a totale insaputa dell’azienda
• Il computer dell’AD aveva un keylogger che oltre a catturare tutto ciò che venisse digitato, eseguiva degli screen shot
Decidemmo di intervenire al mattino per acquisire di dischi per poi scoprire che:
mercoledì 30 giugno 2010
Case study - II
• Consegna alla Polizia Postale della perizia e dei log di sistema con gli indirizzi IP Internet che hanno acceduto nel tempo sul server
• Bonifica su tutti i computer e server presenti in azienda
• Installazione di un Firewall configurato a modo
Ad analisi terminate si proseguì con:
mercoledì 30 giugno 2010
Case study - III
• Azienda di 40 dipendenti
• Personale tecnico informatico esterno
• Produzione di componenti di precisione
Causa: in corrispondenza di un forte calo degli ordini, il responsabile della produzione viene assunto nell’azienda concorrente
Sospetto: furto dei progetti
mercoledì 30 giugno 2010
Case study - III
Il dipendente era solito lavorare in un ufficio isolato ed appartato senza colleghi con cui collaborare
I file dei progetti risiedevano su un due computer di uso quasi esclusivo del sospettato con totale libertà di utilizzo
sulla rete locale e Internet
mercoledì 30 giugno 2010
Case study - III
• Il backup dei progetti veniva fatto su un hard disk esterno custodito in cassaforte
• Nella rete dell’azienda non vi era alcun dominio di rete
• I fatti potevano risalire ad almeno 6 mesi dall’intervento
Il colloquio con l’AD non fu molto produttivo questo perchè completamente disinteressato ai tipici usi
dell’infrastruttura informatica aziendale
mercoledì 30 giugno 2010
Case study - III
• I file potevano essere stati spediti da quel computer direttamente su Internet
• Il dipendente ha collegato svariate volte il proprio computer portatile alla rete aziendale per usi privati
• Nei computer è stato rilevato l’utilizzo di una penna usb non appartenente all’azienda
Ad analisi terminate le uniche risultanze furono:
mercoledì 30 giugno 2010
Ricapitolando...
• Reagire in tempi brevi porta ad una maggiore possibilità di ottenere risultanze utili
• Vietare ai dipendenti l’utilizzo di materiale informatico personale all’interno del contesto aziendale comporta ad una maggior tracciabilità degli eventi sospetti
mercoledì 30 giugno 2010
Conclusioni
Ignorare la problematica è uno sbaglio
La paranoia è eccessiva
Prevenire è sicuramente meglio di curare...
... ma se proprio bisogna curare, farlo tempestivamente e senza improvvisare!
mercoledì 30 giugno 2010
Riferimenti
• http://www.corriere.it/cronache/09_maggio_19/donofrio_mvagusta_ducati_72ecc4f8-4487-11de-a9a2-00144f02aabc.shtml
• http://www.lastampa.it/_web/cmstp/tmplrubriche/tecnologia/grubrica.asp?ID_blog=30&ID_articolo=4891&ID_sezione=&sezione=
• http://quotidianonet.ilsole24ore.com/2007/09/25/38198-spionaggio_industriale_esselunga.shtml
• http://www.comunicati-stampa.net/com/cs-35672/
• http://www.umbriainnovazione.it/portaldata/umbriainnovazionefile/0dossier_segreto_industriale.pdf
• http://steve.deftlinux.net/didattica
mercoledì 30 giugno 2010
Domande?
Dott. Stefano [email protected]
Creative Commons Attribuzione-Non opere derivate 2.5
Bologna, 9 giugno - Smau 2010 Bologna Fiere
mercoledì 30 giugno 2010
Top Related