30 apr/mag/giu 2015
Anno VI
light
sicurezza informatica e delle informazioni
IDENTITÀ DIGITALE Social Engineering, un problema reale
PRIMO PIANO I cyberattacchi e la sindrome del lunedì
CYBERCRIME Gli attacchi DDoS sono un (grosso) rischio per le aziende
Edisef s.r.l. ROC n°17883 ISSN 2037 - 5611 Pubbl. mensile registrata presso il Tribunale di Roma il 7/10/2010 n°379 Poste Italiane S.p.A. Spedizione in abbonamento postale - 70% Roma Aut. n. C /RM/109 2010
INDICE
4 PRIMO PIANO
ATTUALITÀ
6 La sicurezza dei dati resta una priorità per le aziende Laurance Dine
12
CYBERCRIME
Gli attacchi DDoS sono un rischio per le aziende: ecco perché
12
No monkey per cozyduke
15
Ivan Straniero
Per accedere ai contenuti da QRCode, devi utilizzare un lettore QR. Inquadra il codice QR tramite la fotocamera digitale del tuo telefono. Il tuo cellulare aprirà l’indirizzo corrispondente. Se non hai un lettore QR installalo sul tuo cellulare o smartphone, puoi trovarne molti gratuiti nei negozi/ store di applicazioni per il tuo cellulare (iTunes, App storr, Android market, Blackberry Appworld, Ovi store, ecc.).
Information Security n. 30 apr/mag/giu 2015
QR
Morten Lehn
1
INDICE
19
IDENTITÀ DIGITALE
Social engineering: un problema reale. 74 aziende su 100 sono vulnerabili Elena Vidotto, Marco Zanovello
25 I cyberattacchi e la sindrome del lunedì
Information Security n. 30 apr/mag/giu 2015
Fabio Caravaglios
2
SCENARI
EDITORIALE
di Maria Giulia Mazzoni Direttore Responsabile
PREVENIRE È (MOLTO) MEGLIO CHE CURARE sono progressivamente interessate da una massiccia digitalizzazione degli archivi, perché avere le informazioni catalogate e sempre disponibili è un lusso che rischiamo di pagare a caro prezzo. Basti pensare a quanto avvenuto negli Stati Uniti all’inizio del mese. Il database dell’Office of Personnel Management (OPM), un’agenzia che raccoglie i dati di tutti gli impiegati federali tra cui anche quelli di chi lavora con la sicurezza nazionale (ha accesso a informazioni riservate), è stato violato da un gruppo di hacker. A dare la notizia è stata la stessa Amministrazione USA che ha poi precisato che questa violazione è di fatto la seconda in pochi giorni che ha interessato i computer di un’importante agenzia federale americana. Ed è facile tirare le somme riguardo alla gravità della faccenda. Va da se che violazioni, attacchi, e pericoli per la sicurezza aziendale (e nazionale) devono quindi essere costantemente contrastati con ogni mezzo possibile ed è per questo che noi di Information Security siamo (sempre più) convinti che prevenire sia meglio che curare. Anche in questo numero infatti ci concentriamo su quanto sia fondamentale proteggere il proprio ‘patrimonio informatico’ e nel farlo ci domanderemo cosa si intenda per ‘sindrome del lunedì’, analizzeremo assieme a Laurence Dine come gli attacchi alla sicurezza dei dati stiano diventando sempre più diversificati per entrare poi nel dettaglio delle più efficaci strategie di difesa, seguiremo inoltre Straniero nell’analisi degli attacchi DDOS, vi parleremo del CozyDuke e indagheremo su una particolare tipologia di attacco portata a termine dal “sociale engineering”. Buona lettura. u
Information Security n. 30 apr/mag/giu 2015
anche dati, codici di accesso ed identità (digitali) sono sempre più oggetto di complessi attacchi informatici. Di per se l’affermazione non fa scalpore, soprattutto se detta ad un pubblico, come il vostro, da sempre molto attento alle questioni di sicurezza, ma la portata del fenomeno ed il sempre più ampio ricorso alle tecnologie informatiche in ogni campo della vita personale e sociale, ci chiama ad una seria riflessione. Ed il perché è presto detto. Il problema su cui siamo tutti concentrati oggi non è, o almeno non dovrebbe essere, quello di analizzare e classificare la potenza, l’efficacia o la portata degli attacchi informatici cui siamo esposti, quanto piuttosto trovare il modo di essere impermeabili ad essi. Garantire una perfetta inaccessibilità alla mole (sempre più grande) di dati conservati è infatti divenuto oggi di primaria importanza per gli utenti, per le aziende ed anche per le pubbliche amministrazioni che
3
COMITATO CONSULTIVO
www.informationsecuritynews.it Piero Giovanni Caporale - Sicurezza Organizzativa e Gestionale Settore ICT - DigitPA Raoul Chiesa - Founder, Security Brokers Inc. Isabella Corradini - Professore di Psicologia sociale della Facoltà di Psicologia dell’Università degli Studi dell’Aquila e Presidente del Centro Ricerche Themis Mauro Cosmi - Value Team S.p.A Elena Ferrari - Docente del Dipartimento di Informatica e Comunicazione dell’Università dell’Insubria Pierfrancesco Ghedini - Direttore Dipartimento Tecnologie dell’Informazione e Biomediche - Azienda USL di Modena – in qualità di AISIS (Associazione Italiana Sistemi Informativi in Sanità) Gianpiero Guerrieri - Dirigente Analista. Direttore UOC Sistema Informativo, Sistema di Reporting Aziendale e ICT - Azienda Ospedaliera San Giovanni Addolorata Giovanni Hoz - Direttore Sistemi Informativi Policlinico A. Gemelli Andrea Lisi - Professore a contratto di Informatica Giuridica - Scuola Professioni Legali, Facoltà Giurisprudenza - Università del Salento, Presidente di ANORC (Associazione NazionaleOperatori e Responsabili della Conservazione Sostitutiva), Coordinatore del Digital&Law Department Studio Legale Lisi, Studio Associato D&L - Business&Legal Consultancy, ICT &International Trade, Executive Management SCiNT - Study&Research Centre Giovanni Manca - Esperto di digitalizzazione documentale nella PA e sicurezza ICT Alberto Manfredi - MSc, CISA, CISSP, GCFA, CRISC - Presidente Cloud Security Alliance - Italy Chapter
Carlo Maria Medaglia - Docente e coordinatore RFID Lab - CATTID Università La Sapienza di Roma Baldo Meo - Responsabile Comunicazione Garante per la protezione dei dati personali Elio Molteni - Presidente AIPSI, ISSA Italian Chapter Alessandro Musumeci - Direttore Centrale Sistemi Informativi (DCSI), Ferrovie dello Stato Silvano Ongetta - Presidente AIEA, Associazione Italiana Information Systems Auditors Massimo F. Penco - Presidente Associazione Cittadini di Internet, Membro del Antiphishing Working Group, Vice presidente Gruppo Comodo Filomena Polito - Presidente APIHM - Associazione Privacy and Information Healthcare Manager Andrea Rigoni - Director General GC-SEC Global Cyber Security Center Giuseppe Russo - Chief Technology Officer - Oracle Hardware group Marco Scattareggia - KEY DATA ANALYICS - Practice Manager Corrado Aaron Visaggio - Ricercatore in Ingegneria del Software presso il Dipartimento di Ingegneria dell’Università degli Studi del Sannio Anthony Cecil Wright - Presidente ANSSAIF, Associazione Nazionale Specialisti Sicurezza in Aziende di intermediazione Finanziaria Stefano Zanero - Responsabile Tecnico, Secure Network
PER COLLABORARE La collaborazione è sempre gradita ma deve rispettare alcune caratteristiche tecniche. Articoli – I testi devono essere originali, liberi da diritti d’autore verso terzi e non sottoposti ad altre pubblicazioni. La decisione sull’eventuale pubblicazione è ad esclusiva discrezione della Redazione. I testi devono pervenire in formato elettronico in qualsiasi forma di Word Processing e non devono superare le 15.000 battute (spazi inclusi). Grafici, loghi e immagini a corredo devono pervenire in redazione in f.to jpg, tiff, pdf o eps con risoluzione minima di 300 dpi. Testi e immagini devono essere inviati a: redazione@edisef.it oppure visti in originale a: EDISEF - Via A. Toscani, 26 - 00152 ROMA
Information Security Anno V - n. 30 Aprile/Maggio/Giugno 2015 Direttore Responsabile Maria Giulia Mazzoni Collaboratori Alberto Blasi, Sarah Ferri Grafica e impaginazione Giulia Pissagroia Redazione Oriana Mazzini Gestione e Servizi Marco Bompiani ROC – Registro Operatori di Comunicazione n. 17883 – Pubblicazione bimestrale registrata presso il Tribunale di Roma il 7/10/2010 n. 379 Codice ISSN: ISSN 2037-5611 Edisef Roma Poste Italiane S.p.A. Spedizione in Abbonamento Postale – D.L. 353/2003 (conv. in L. 27/02/2004 n. 46) Art. 1 Comma 1 – DCB Roma – Euro 10,00 BONIFICO BANCARIO Banca Popolare del Lazio Ag. 45 Piazzale della Radio 41 00146 ROMA IBAN: IT80 U051 0403 205C C036 0001 434 Siti internet www.edisef.it www.informationsecuritynews.it Abbonamenti Via Antonio Toscani, 26 00152 Roma Tel. 06.53.730.96 Fax 06.58.200.968 e-mail: info@edisef.it Finito di stampare nel mese di Giugno 2015 presso: C.S.R. SRL TIPOGRAFIA Via di Pietralata, 155 00158 Roma