Information Security 31 by Edisef Srl

Anno VI

lug/ago/set 2015

sicurezza informatica e delle informazioni

IDENTITÀ DIGITALE Tutto quello che avreste voluto sapere su SPID

PRIMO PIANO A tu per tu con Massimo Vulpiani

SCENARI La sicurezza dell’ambiente virtuale

Edisef s.r.l. ROC n°17883 ISSN 2037 - 5611 Pubbl. mensile registrata presso il Tribunale di Roma il 7/10/2010 n°379 Poste Italiane S.p.A. Spedizione in abbonamento postale - 70% Roma Aut. n. C /RM/109 2010

INDICE

4 PRIMO PIANO

ATTUALITÀ

6 Quando la sicurezza è una questione di maturità Massimo Vulpiani, Robert Griffin

9 Lo sfruttamento del firmware delle unità a disco rigido e a stato solido

CYBERCRIME

James Walter, Alexander Matrosov

Non si arrestano le frodi creditizie in italia: 25.500 casi nel 2014

Per accedere ai contenuti da QRCode, devi utilizzare un lettore QR. Inquadra il codice QR tramite la fotocamera digitale del tuo telefono. Il tuo cellulare aprirà l’indirizzo corrispondente. Se non hai un lettore QR installalo sul tuo cellulare o smartphone, puoi trovarne molti gratuiti nei negozi/ store di applicazioni per il tuo cellulare (iTunes, App storr, Android market, Blackberry Appworld, Ovi store, ecc.).

Information Security n. 31 lug/ago/set 2015

Maria Luisa Cardini

INDICE

IDENTITÀ DIGITALE

Tutto quello che avreste voluto sapere su SPID Andrea Sassetti

WEB SECURITY

Sicurezza, occhi puntati sull’accessibilità al dato

Information Security n. 31 lug/ago/set 2015

Giuseppe D’Amelio

SCENARI

21 La sicurezza dell’ambiente virtuale Morten Lehn

EDITORIALE

di Maria Giulia Mazzoni Direttore Responsabile

SE IL DATO SANITARIO FINISCE NEL MIRINO dovuti al fatto che le informazioni legate alla salute dei pazienti sono dieci volte più preziose rispetto ad altre. Un trend, quindi, destinato ad una sensibile impennata nei prossimi anni, visto soprattutto il massiccio utilizzo di device mobili da parte di medici e pazienti. Le cartelle cliniche informatizzate, le app medicali e i tablet, sempre più parte integrante della vita lavorativa dei nostri medici, rappresentano dunque una nuova sfida in materia di sicurezza che, soprattutto alla luce dell’importanza dei dati in essi contenuti, è imperativo vincere attraverso una grande attenzione al problema e soprattutto con una maggiore consapevolezza di esso. Una questione di maturità quindi, come sottolinea Massimo Vulpiani che dalle pagine della nostra rivista ha commentato i risultati di un altro importante report diffuso recentemente da RSA, perché quando siamo di fronte ad un attacco è importante, certo, valutarne la pericolosità, ma lo è altrettanto non prenderlo sotto gamba. Conoscere le proprie potenzialità di difesa, aggiornarsi e tenere sempre alta la guardia è quindi tanto importante quanto conoscere nei dettagli la pericolosità del proprio nemico. Soprattutto, e lo scoprirete proseguendo la lettura, se questo si chiama Equation Group, protagonista di un altro interessante approfondimento che troverete in questo numero, assieme ad un’analisi di CRIF sulle frodi creditizie in Italia, ad un articolo in cui Andrea Sassetti ci spiegherà tutto quello che dovremmo sapere su SPID, e ad altro ancora. Buona lettura. u

Information Security n. 31 lug/ago/set 2015

Se la sicurezza informatica è da sempre al centro dei pensieri di aziende di ogni tipo, costantemente impegnate a garantire l’inaccessibilità dei propri dati sensibili, c’è un settore che, forse nemmeno troppo inspiegabilmente, risulterebbe più in pericolo di altri, quello della sanità. A rivelarlo è il “2015 Healthcare Drill-Down Report” di Raytheon Websense che riporta una situazione più che allarmante: nel 2014, infatti, sono stati registrati attacchi sistematici ai sistemi informativi ospedalieri per un totale di un seicento per cento in più rispetto alle precedenti rilevazioni. Il mercato della sanità si deve quindi scontare, rivela sempre il report, con un numero di incidenti informatici maggiore del 340% rispetto alla media degli altri settori industriali. Numeri impressionanti,

ATTUALITÀ

POLIZIA DI STATO E BANCA SELLA, INSIEME CONTRO GLI ATTACCHI INFORMATICI Polizia di Stato e Gruppo Banca Sella hanno recentemente rinnovato l’accordo quadro che punta alla prevenzione ed al contrasto degli attacchi informatici che prendono di mira i servizi di home banking e pagamenti elettronici. In particolare, grazie all’accordo siglato, saranno intensificati i livelli di scambio dei dati e delle informazioni utili all’individuazione di procedure dedicate in grado di prevenire gli accessi illeciti, nonché per il contrasto di ogni altra tipologia di crimine informatico.

CYBERCRIME, NUOVO CENTRO STUDI È nato recentemente un nuovo centro di studi e ricerche sul Cybercrime che vede la collaborazione tra il dipartimento della pubblica sicurezza e il mondo accademico. Tra gli enti coinvolti nel progetto vi è infatti anche l’università di Trento, che assieme agli altri partner dell’iniziativa si propone di promuovere attività di formazione, specializzazione e perfezionamento del personale della polizia con particolare riguardo a quello della Postale.

Information Security n. 31 lug/ago/set 2015

REPORT SULLE MINACCE MCAFEE LABS

Tra i numerosi dati riportati, il nuovo report pubblicato da McAfee Labs include un’analisi relativa al malware indirizzato alle unità di elaborazione grafica (GPU), un’indagine delle principali tecniche di estrazione dati utilizzate dai cybercriminali e un’analisi retrospettiva dell’evoluzione del panorama delle minacce negli ultimi cinque anni. Particolarmente interessanti i risultati relativi agli attacchi che sfruttano l’architettura delle schede grafiche per eludere le difese che, spiega il report, sono sì un pericolo, ma gli attuali software di sicurezza sono in grado di scovarli.

ATTUALITÀ

COSA SONO (E A COSA SERVONO) I COMPUTER ESCA Tutti i report sulla sicurezza informatica danno in aumento il numero (e la pericolosità) degli attacchi. Un modo apparentemente molto efficace per contrastarli sembra essere quello dei ‘computer esca’. Si tratta di dispositivi di sicurezza informatica ideati da Gadi Evron (della startup Cymmetria) il cui processo è semplice ed efficace: questo sistema è progettato per attirare gli hacker in una sorta di trappola e neutralizzare l’attacco informatico prima che possa provocare danni considerevoli.

IN AUMENTO I MEGA-ATTACCHI L’ultimo rapporto sulla sicurezza reso noto da Akamai e relativo al secondo trimestre 2015 rivela che il numero degli attacchi DDOS è più che raddoppiato rispetto al 2014 e soprattutto che sono in aumento i cosiddetti mega-attacchi. Stando ai dati pubblicati dal report infatti, negli ultimi tre trimestri il numero di attacchi DDoS è sempre raddoppiato rispetto allo stesso periodo dell’anno precedente e sebbene nell’ultimo trimestre i cybercriminali abbiano preferito attacchi meno potenti, ma più lunghi, il numero di pericolosi mega attacchi è ancora cresciuto.

IL CISCO 2015 MIDYEAR SECURITY REPORT Information Security n. 31 lug/ago/set 2015

Qual è attualmente la minaccia più diffusa? Stando al Cisco 2015 Midyear Security Report si chiama Angler che, con la compromissione del 40% degli utenti esposti, è attualmente uno dei kit exploit più sofisticati e diffusi a causa del suo modo innovativo di sfruttare le vulnerabilità di Flash, Java, Internet Explorer e Silverlight. In particolare, questo malware riesce a eludere il rilevamento facendo ricorso a una tecnica denominata domain shadowing, che sfrutta le credenziali di dominio degli utenti.

PRIMO PIANO

QUANDO LA SICUREZZA È UNA QUESTIONE DI MATURITÀ

di Massimo Vulpiani

Regional Director Europe South di RSA

di Robert Griffin Chief Security Architect, RSA

Information Security n. 31 lug/ago/set 2015

RISPONDE MASSIMO VULPIANI, REGIONAL DIRECTOR EUROPE SOUTH DI RSA

Parliamo di cyber sicurezza. Una vostra recente ricerca ha rilevato che quasi il 75% delle organizzazioni da voi intervistate (e diciamo che il campione è decisamente significativo visto che la ricerca si basa su interviste ad oltre 400 professionisti suddivisi in 61 Paesi) non è ancora così matura per affrontare i rischi relativi alla sicurezza. Cosa intendete per ‘matura’? Abbiamo chiesto agli intervistati di valutare il proprio livello di maturità relativo alla cybersecurity basandosi sul NIST Cybersecurity Framework (http://www. nist.gov/cyberframework/cybersecurityframework-faqs.cfm). Nonostante il framework sia stato sviluppato in risposta a un a US Executive Order in risposta a infrastrutture critiche, è molto prezioso per le aziende, soprattutto perché si focalizza tanto sul processo quanto

sulla tecnologia. In questo modo l’autovalutazione non si basa solo sulla risposta alla domanda “quale tecnologia possiedi?”. Piuttosto, l’autovalutazione ha abilitato una più ampia comprensione della maturità in cybersecurity, per esempio attraverso domande quali “Fino a che punto usi il risk management per guidare la tua strategia di cybersecurity? Quanto approfonditamente conosci i tuoi asset e i rischi a loro associati? Quanto approfonditamente la tua strategia di sicurezza mappa gli obiettivi e le decisioni di business?”. Il livelli e i profili del Framework forniscono informazioni aggiuntive che aiutano le aziende a gestire la propria autovalutazione nei termini più appropriati per ogni azienda, in modo che siano più accurate e specifiche possibili. Quando si parla di sicurezza qual è oggi il principale pericolo per le aziende? La pericolosità dell’attacco o la sottovalutazione del problema?

Il più grande rischio per le aziende non è un attacco specifico, o nemmeno il generale incremento del numero di attacchi e della gravità degli stessi. Come mostra il Cybersecurity Poverty Index, il più grande rischio è che le aziende non sono preparate a individuare, comprendere e rispondere agli attacchi. Come indicato nel paragrafo introduttivo del Framework, le aziende devono avere “un approccio coerente e costante per identificare, valutare e gestire i cybersecurity risk”. La nostra speranza è che la ricerca mostri quanto importante sia per le aziende comprendere come si posizionano rispetto a tale approccio e di mettere in pratica misure efficaci per incrementare la capacità di identificare, valutare e gestire i rischi di cybersecurity. Un aspetto interessante della vostra ricerca riguarda una apparente contraddizione: dai dati si evidenzia che le dimensioni di un’organizzazione non corrispondono ad un’effettiva

PRIMO PIANO

Una recente ricerca ha rilevato che quasi il 75% delle organizzazioni prese in esame non è ancora così matura per affrontare i rischi relativi alla sicurezza. Cerchiamo di capire oggi cosa si intende per maturità

piccole aziende sono meno aggressivamente sotto attacco, ma spesso sono semplicemente meno consapevoli della gamma dei reali e potenziali attacchi che le minacciano. Credo che entrambi questi fattori abbiano contribuito al paradosso che avete evidenziato. RISPONDE ROBERT GRIFFIN, CHIEF SECURITY ARCHITECT, RSA C’è differenza tra l’approccio delle aziende italiane e quelle estere quando si parla di sicurezza? In generale, la nostra esperienza sia dalla ricerca, che dal continuo lavoro che

facciamo con i nostri clienti, mostra che c’è una simile gamma di maturità in cybersecurity – e nella strategia di cybersecurity – nella maggior parte dei paesi e geografie. In Italia, ho avuto contatti diretti con aziende operanti in settori diversi come servizi finanziari, telecomunicazioni e servizi gestiti, che mostrano un alto livello di maturità in termini di processi e di capacità descritte nel cybersecurity framework (CSF). Ho avuto modo, inoltre, di parlare con aziende, sia grandi che piccole, che non hanno ancora implementato azioni di risk management, piuttosto che un focus relativo a quale tecnologia viene utilizzata, che è il centro sia del CSF che

Information Security n. 31 lug/ago/set 2015

maturità, tanto che l’83% delle aziende intervistate – con oltre 10.000 dipendenti – valuta le proprie capacità “poco sviluppate” in termini di maturità complessiva. Come si spiega? Ci sono due fattori che crediamo contribuiscano a questo apparente paradosso. Prima di tutto, è molto probabile che molte delle più grandi organizzazioni siano molto più consapevoli delle loro reali capacità di cybersecurity (inclusi processi e persone, oltre alla tecnologia) e delle minacce che affrontano rispetto alle aziende di medio-piccole dimensioni. Con questa consapevolezza, le valutazioni dello stato delle loro capacità di cybersecurity potrebbero essere più accurate e conservatrici rispetto alle piccole aziende. In secondo luogo, le aziende più grandi sono spesso il principale focus per gli attacchi, e così queste aziende devono valutare le proprie capacità contro un ambiente estremamente più sfidante di quanto ammettano. Molte

È molto probabile che molte delle più grandi organizzazioni siano molto più consapevoli delle loro reali capacità di cybersecurity (inclusi processi e persone, oltre alla tecnologia) e delle minacce che affrontano rispetto alle aziende di medio-piccole dimensioni

PRIMO PIANO

basato solamente su quante tecnologie l’azienda ha implementato, non dice nulla circa il livello di rischio. Come mostra il CSF, puoi capire il tuo livello di rischio solamente se hai valutato quali sono i tuoi asset, chi potrebbe rubare o distruggere questi asset, come gli attacchi possono andare a segno, quale impatto possono avere, cosa puoi fare per scoraggiare o prevenire l’attacco, e cosa puoi fare per identificarlo velocemente. Questo approccio include anche la capacità di comprendere l’attacco profondamente e rispondere efficacemente se va oltre le tue difese. Il più grande rischio per ogni azienda è di non costruire un programma di cybersecurity su solide basi di risk management.

Information Security n. 31 lug/ago/set 2015

di quello che noi chiamiamo “Intelligence Driven Security”. Ho visto livelli simili di maturità in molti paesi, dall’Australia all’Austria, dagli Stati Uniti agli Emirati Arabi.

Entriamo ora nel dettaglio della metodologia. La ricerca ha permesso ai partecipanti di valutare autonomamente il grado di maturità dei programmi di cybersicurezza adoperando come metro di misura il NIST Cybersecurity Framework (CSF). Può spiegarci meglio? Il CSF fornisce delle linee guida per stabilire una strategia e un programma efficace di cybersecurity, sulla base di risk management piuttosto che su una lista di tecnologie. Questa strategia è basata su un modello di Identificazione / Protezione / Individuazione / Risposta / Recovery. L’appendice del CSF, “Core Program”, include sia i processi che la tecnologia che abilitano ognuno di questi elementi della struttura – “un set di azioni per raggiungere risultati di cybersecurity”. L’autovalutazione è basata

sulla valutazione dell’azienda su come si posizionano rispetto a queste azioni (per esempio “ID-AM.1: “Dispositivi e sistemi fisici all’interno dell’azienda”), piuttosto che in termini di tecnologie utilizzate rilevanti per quell’attività. Quest’ultimo approccio relativo alla valutazione della maturità solamente in termini di tecnologia, che è utilizzato in molti modelli di maturità (come SANS Top-20 Controls), è molto limitato e potenzialmente pericoloso, in confronto al modello molto più efficace proposto dal CSF. Usciamo per un momento dal ‘contesto’. Quale è secondo lei la principale fonte di rischio oggi per le aziende? Il più grande rischio è di non avere messo in atto un approccio di cybersecurity in grado di individuare, analizzare e rispondere agli attacchi. Lo scorso mese stavo parlando con un responsabile della sicurezza di un’importante azienda, che mi ha detto “Come possiamo conoscere il nostro livello di cyber risk? Noi misuriamo la percentuale di vulnerabilità risolte”. Questo approccio, come quello

La vostra ricerca dimostra con chiara evidenza che, malgrado le aziende continuino a investire enormi quantità di denaro nell’ultima generazione di firewall, anti-virus e sistemi di protezione, si sentano inadeguate a gestire i problemi. Lo sono davvero? E quale sarebbe, secondo lei, l’approccio giusto per affrontarli? Crediamo che il giusto approccio sia quello evidenziato dal CSF; e per questo motivo lo abbiamo utilizzato per la nostra ricerca Cybersecurity Poverty Index. Comunque, utilizziamo la definizione di Intelligence Driven Security per questo approccio, dando enfasi all’importanza di individuare/rispondere/recuperare, perché spesso questo approccio manca o è sottoutilizzato in molte aziende. Una parte importante è rappresentata dalla condivisione efficace sia all’interno che all’esterno delle aziende – intelligence non solo relative alle minacce, ma anche alle vulnerabilità, alle risposte efficaci, alle strategie che possono aiutare a raggiungere una migliore cybersecurity. Per questo motivo, abbiamo collaborato a lanciare nuovi standard creati per aiutare a favorire la condivisione, attraverso OASIS Cyberthreat Intelligence Technical Committee (OASIS CTI). Siamo convinti che la condivisione delle informazioni – inclusi strumenti come il Cybersecurity Poverty Index – siano elementi fondamentali per tutti per combattere le minacce. u

CYBERCRIME

LO SFRUTTAMENTO DEL FIRMWARE DELLE UNITÀ A DISCO RIGIDO E A STATO SOLIDO ”Equation Group” ha dato origine a una campagna di attacchi rari, ma estremamente sofisticati, a schemi crittografici molto complessi. Il malware include dei moduli per la riprogrammazione delle unità a disco rigido e a stato solido. Entriamo oggi nel dettaglio di funzionamento e pericolosità di James Walter e Alexander Matrosov McAfee Labs 2015

A febbraio è salita alla ribalta delle cronache una campagna di attacchi rari ma estremamente sofisticati. Si ritiene che la mente degli attacchi fosse l’”Equation Group”, così denominato per la sua affinità con gli schemi crittografici più complessi. La scoperta più allarmante è stata che il malware dell’Equation Group include dei moduli per la riprogramma-

zione delle unità a disco rigido e a stato solido. Una volta riprogrammato, un sistema compromesso rimane infettato anche se il disco rigido viene riformattato o il sistema operativo viene reinstallato. Inoltre, il firmware riprogrammato e il malware associato non sono rilevabili da parte del software di sicurezza. Questo report sulle minacce marca la prima disamina di McAfee Labs degli attacchi basati sul firmware.

tà a disco rigido (HDD) e a stato solido (SSD). Le unità HDD/SSD il cui firmware è stato riprogrammato possono ricaricare il malware associato ogni volta che i sistemi infettati si avviano. La minaccia poi persiste anche se le unità vengono riformattate o il sistema operativo reinstallato. Inoltre, dopo che hanno infettato l’unità, il firmware riprogrammato e il malware associato non sono rilevabili da parte del software di sicurezza.

A febbraio, la notizia della scoperta di una nuova campagna di attacchi (invero di durata molto lunga) si è diffusa rapidissimamente. L’”Equation Group”, così chiamato per la sua predilezione per gli schemi di crittografia ultrasofisticati e il malware associato, costituisce ora una delle minacce più sofisticate mai osservate.

Negli ultimi anni, Intel Security ha osservato molti esempi di malware con capacità di manipolazione del firmware o del BIOS. Abbiamo visto sia proofof-concept accademici che casi reali, fra i quali CIH/Chernobyl, Mebromi e BIOSkit. Abbiamo, inoltre, previsto questo specifico tipo di attacco nel report McAfee Labs 2012 Threats Predictions (Le principali minacce per il 2012 secondo McAfee Labs). I campioni specifici dell’Equation Group scoperti possono ora essere considerati come alcuni degli esempi di attacco firmware più visibili

Una delle scoperte più significative compiute dal gruppo di ricerca sulle minacce di Intel Security riguarda i moduli di riprogrammazione del firmware delle uni-

Information Security n. 31 lug/ago/set 2015

All’interno del Report McAfee Labs sulle minacce Maggio 2015, trova spazio la prima disamina degli attacchi basati sul firmware da parte di McAfee Labs. Il capitolo di apertura offre nuovi dettagli sul malware proveniente dall’organizzazione segreta Equation Group, autore di una minaccia capace di riprogrammare il firmware dell’unità disco rigido. La nostra analisi mostra che il firmware riprogrammato è in grado di ricaricare il malware associato ogni volta che il sistema infettato si avvia. Il malware persiste anche se il disco rigido viene riformattato o si reinstalla il sistema operativo.

CYBERCRIME

e avanzati mai osservati. I moduli di riprogrammazione del firmware HDD/SSD dell’Equation Group Il malware dell’Equation Group si compone di numerosi moduli o “piattaforme”, ognuna con una specifica funzionalità.

Information Security n. 31 lug/ago/set 2015

Alcuni moduli dell’Equation Group risalgono al 2001, quindi sono piuttosto vecchi per essere dei malware. Ciononostante, sono una delle piattaforme di attacco più sofisticate che abbiamo mai visto. I ricercatori delle minacce continuano a individuare nuovi comportamenti ogni anno.

I moduli di riprogrammazione del firmware HDD/SSD scoperti più di recente sono stati compilati dal 2010 in poi. Sono state trovate versioni del plug-in sia a 32 sia a 64 bit. Anche se i campioni analizzati colpiscono solo i sistemi Microsoft Windows, ci sono indizi dell’esistenza di versioni anche per i sistemi Apple iOS e OS X. I nuovi moduli che puntano a Windows sfruttano i vecchi moduli dell’Equation Group, ancora molto efficaci, che compiono due azioni. Un modulo riprogramma il firmware HDD/SSD con il codice appositamente

scritto per la marca e modello dell’unità HDD/SSD. Il secondo modulo inserisce un’API in un’area nascosta dell’unità HDD o SSD. Tramite l’API il firmware riprogrammato è in grado di memorizzare e caricare lo specifico codice payload che esegue varie funzioni, pur rimanendo invisibile al sistema operativo. Nonostante questi nuovi moduli siano simili per sofisticazione agli altri moduli dell’Equation Group, i ricercatori delle minacce continueranno a scoprire nuovi comportamenti per molti anni.

•

Queste funzioni apportano grossi e importanti vantaggi all’Equation Group. • Persistenza: il firmware riprogrammato può sopravvivere alla riformattazione del disco e alla reinstallazione o alla creazione della nuova immagine del sistema operativo. • Invisibilità: l’area di memorizzazione occulta è nota solo al firmware e rimane intatta anche se l’unità HDD/SSD viene riformattata. • Firmware persistente: in alcuni casi gli elementi chiave del firmware riprogrammato sopravvivono alla sostituzione (reflashing) del firmware HDD o SSD. Non rilevabilità: il firmware riprogrammato e il malware associato non sono rilevabili da parte del software di sicurezza dopo che hanno infettato l’unità.

Come già detto, il codice di riprogrammazione del firmware è specifico per i diversi produttori di HDD/SSD, fra cui Western Digital, Samsung, Maxtor, Toshiba, IBM e Seagate. La sezione delle

risorse del modulo (nls_933w.dll) che abbiamo analizzato contiene un piccolo driver in modalità kernel x86 (circa 20 kB) in grado di comunicare con le unità disco rigido infette tramite l’interfaccia di comando ATA. Il processo di aggiornamento del firmware richiede che l’unità interessata abbia dei comandi ATA non documentati. Tali serie di comandi sono già pronte e sono usate spesso, sia per scopi leciti (per esempio indagini giudiziarie, analisi forensi) sia illeciti. I comandi ATA sono comunemente usati per controllare e manipolare il comportamento meccanico ed elettrico delle unità. Possono, inoltre, controllare oppure attivare/disattivare funzioni specifiche. Esempi di comandi di Maxtor: • Check power mode • Download microcode • Flush cache • Device configuration identify • Security erase unit • Security unlock • Smart write log Molti comandi ATA sono comuni a diversi produttori, quindi il modulo di riprogrammazione del firmware ne trae vantaggio ogni volta che è possibile. Il file nls_933w.dll è stato compilato nel 2010. Tuttavia, inserisce un driver aggiuntivo (win32m.sys—MD5: 2b444ac5209a8b4140dd6b747a996653) nel sistema, che era stato compilato nel 2001. Il driver infettato viene memorizzato nella directory %WINDIR%\System32\ drivers\win32m.sys dei computer delle vittime. Nonostante esistano esempi più recenti dei moduli HDD, questo sembra essere la versione 3.0.1. Meccanismo di infezione dei moduli firmware HDD/SSD L’impatto e le metodologie dell’infezione sono diversi a seconda delle varie

CYBERCRIME

piattaforme dell’Equation Group. Tuttavia, sussistono delle modalità specifiche e ripetitive nell’invio dei moduli firmware HDD/SSD.

me e TripleFantasy si nota l’utilizzo di primitive simmetriche per la codifica/ decodifica:

Il vettore iniziale dell’infezione è un exploit basato su web. L’Equation Group impiega un attacco di tipo “watering hole” (abbeveratoio), con il quale infetta i siti web frequentati dalle vittime. Quando la vittima visita uno di questi siti, il sistema bersaglio viene infettato dal malware della prima fase DoubleFantasy. DoubleFantasy conferma il bersaglio, esegue varie attività di ricognizione e (dopo la conferma) invia il malware della seconda fase: EquationDrug oppure il più recente GrayFish. La piattaforma della seconda fase gestisce poi l’installazione e la manutenzione dei moduli di riprogrammazione del firmware HDD/SSD. Decifratura della stringa di malware dell’Equation Group

Decifratura della stringa di Flame

Decifratura della stringa di TripleFantasy

Information Security n. 31 lug/ago/set 2015

Attribuzione Chi c’è dietro l’Equation Group e quali altri attacchi ha appoggiato? L’Equation Group è stato associato a Flame, Duqu, Stuxnet e Gauss. La nostra analisi mostra delle somiglianze nello stile di scrittura e nell’uso di specifiche strutture e metodologie nel codice e nelle modalità di infezione di questi attacchi. Esistono, inoltre, delle analogie nell’uso della crittografia RC5 o RC6. In alcuni casi, la crittografia è identica a quella di altri attacchi. Inoltre, gli algoritmi di codifica delle stringhe sembrano basati sulla stessa idea di base o lo stesso codice sorgente. Confrontando il codice attribuito all’Equation Group con quello di Fla-

CYBERCRIME

Le somiglianze mostrate in queste schermate corroborano la possibilità di una relazione con altri attacchi contemporanei, sponsorizzati dagli stati.

Information Security n. 31 lug/ago/set 2015

Proteggersi dalla manipolazione di firmware e BIOS Come detto in precedenza, un’unità HDD o SSD il cui firmware è stato riprogrammato da un modulo dell’Equation Group, può ricaricare il malware associato ogni volta che il sistema infettato si avvia, così il malware persiste anche se il disco rigido viene riformattato o il sistema operativo reinstallato. Inoltre, il firmware riprogrammato e il malware associato non sono rilevabili da parte del software di sicurezza dopo che si sono installati. Intel Security e altri gruppi di ricerca ritengono che questo modulo di riprogrammazione del firmware sia molto raro e che sia stato impiegato solo in attacchi mirati a bersagli di altissimo livello. Di conseguenza, la maggior parte delle imprese non dovrebbe risentire di questa minaccia. Nondimeno, la protezione contro gli attacchi di manipolazione di firmware e BIOS dovrebbe far parte del sistema di sicurezza di ogni

azienda. Le aree principali su cui concentrarsi sono due: • Stabilire delle modalità di rilevamento dell’iniziale invio del malware dell’Equation Group. I vettori di attacco noti sono phishing, CD e unità USB, quindi è a questi che va posta particolare attenzione. • Tutelare i sistemi dalle sottrazio-

ni di dati. Anche se tuttora non è possibile rilevare il modulo di riprogrammazione del firmware, l’obiettivo complessivo di un attacco è molto probabilmente la ricognizione. Dato che quest’ultima dipende dalla comunicazione e sottrazione sistematiche dei dati con un server di controllo, bloccare questa fase è di fondamentale importanza. u

CYBERCRIME

NON SI ARRESTANO LE FRODI CREDITIZIE IN ITALIA: 25.500 CASI NEL 2014 L’osservatorio CRIF sui furti d’identità e le frodi creditizie ha emesso un report relativo al 2014, nel quale indica perdite economiche per oltre 171 milioni di Euro. Quella che è emersa è una dimensione preoccupante soprattutto perché non associata ad una adeguata consapevolezza

di Maria Luisa Cardini Senior Business Consultant Fraud Prevention & Compliance Solutions di CRIF

ring, trashing, ecc) e il successivo utilizzo illecito dei dati personali e finanziari altrui per ottenere credito o acquisire beni con l’intenzione premeditata di non rimborsare il finanziamento e non pagare il bene. I tipi di finanziamento Le rilevazioni relative all’anno 2014 evidenziano come il 78,3% dei casi di frode creditizia sia riconducibile al prestito finalizzato che continua a fare la parte del leone, seppur l’incidenza sul totale risulti in lieve calo rispetto al 2013. Un vero e proprio boom si registra, invece, per le frodi perpetrate sui leasing auto, per quanto su un numero di casi decisamente contenuto, mentre i casi che riguardano i prestiti personali hanno fatto segnare un incremento del +13% rispetto al precedente periodo di osservazione. In forte crescita anche il numero di casi di frode perpetrate sui mutui, più che raddoppiati rispetto al 2013. La ripartizione dei casi di frode rispetto

Tipologia finanziamento

% 2014 sul totale

credito revolving

0,3%

carta di credito

7,5%

fido di conto

0,5%

leasing auto

0,9%

mutuo

0,3%

prestito finalizzato

78,3%

prestito personale

11,4%

cessione quinto altro totale

0,2% 0,5% 100,0%

Fonte: CRIF

alle diverse forme tecniche di credito al dettaglio è riconducibile fondamentalmente alla relativa facilità con la quale i frodatori riescono a concludere l’operazione di finanziamento eludendo i controlli messi in opera dagli enti eroganti. A questo riguardo, è bene sottolineare

Information Security n. 31 lug/ago/set 2015

Nel 2014 i casi di frode creditizia mediante furto di identità rilevati dall’Osservatorio CRIF sono stati circa 25.500, per una perdita economica che ha raggiunto i 171 milioni di euro. Questi dati, unitamente all’ulteriore incremento dell’importo medio frodato, forniscono, probabilmente, solo una dimensione approssimata per difetto del fenomeno ma, al contempo, confermano l’inarrestabile trend di crescita di un crimine poco conosciuto e troppo spesso sottovalutato. Da quando l’Osservatorio CRIF sui furti di identità e le frodi creditizie ha iniziato a monitorare in modo sistematico e strutturato il fenomeno, è emersa infatti una dimensione assolutamente preoccupante, seppur non sempre associata ad un’adeguata consapevolezza e a comportamenti di autotutela realmente efficaci. Per frodi creditizie si intendono quegli atti criminali che si realizzano mediante la creazione di identità inesistenti o il furto di identità (attraverso tecniche come phishing, vishing, social enginee-

CYBERCRIME

come molti istituti di credito nel corso degli ultimi anni si siano dotati di strumenti più efficaci nella prevenzione del fenomeno, ma altrettanto non si può dire dei dealer e dei punti vendita presso i quali è possibile attivare a distanza un finanziamento per l’acquisto a rate di un bene o un servizio, spesso penalizzando la prevenzione a vantaggio della vendita. Per quanto riguarda la tipologia di beni e servizi oggetto di frode, nell’ambito dei prestiti finalizzati, quasi 2/3 dei casi di frode rilevati nel corso del 2014 ha riguardato l’acquisto di elettrodomestici e prodotti di elettronica, informatica e telefonia, quali ad esempio tv di ultima generazione, smartphone e tablet. Una quota rilevante ha interessato anche il comparto auto e moto (con l’8,5% del totale) e quello dell’arredamento (con il 6,6%). Evidenziamo anche l’incidenza al 3,9% su servizi di travel/entertainment.

I tempi di scoperta Anche nel 2014 i tempi di scoperta continuano a concentrarsi principalmente in due macro categorie: da un lato la metà dei casi viene scoperto entro i primi 12 mesi, con una quota pari al 51,2% del totale (sostanzialmente in linea con le precedenti rilevazioni), dall’altro lato aumentano sensibilmente i casi scoperti dopo 2 o 3 anni. In compenso, nell’ultimo anno si è fortemente ridotta l’incidenza degli eventi fraudolenti scoperti dopo 4 o più anni, anche per effetto di una più tempestiva attribuzione dei crediti non onorati alla frode, rispetto all’insolvenza del richiedente. Il profilo delle vittime Dall’analisi della distribuzione delle frodi per sesso delle vittime, emerge una sostanziale continuità rispetto al trend rilevato negli anni passati, con la maggioranza dei casi (pari al 62,4% del totale) di frode perpetrata a danno di

Tipologia bene

% FRODI 2014

Elettrodomestici

43,2%

Elettronica-informatica-telefonia

20,7%

Auto-moto

8,5%

Arredamento

6,6%

Immobili/ristrutturazione

4,5%

Travel/entertainment

3,9%

Information Security n. 31 lug/ago/set 2015

Fonte: CRIF

Le fasce di importo Analizzando l’entità dei crediti ottenuti in modo fraudolento, anche nel corso del 2014 emerge la predominanza dei cosiddetti small ticket per quanto l’importo medio continui ad aumentare. A questo riguardo, dall’ultima edizione dell’Osservatorio CRIF emerge che il 41,4% dei casi di frode vede un importo inferiore ai 1.500 euro, mentre il 27,2% dei casi ha riguardato un importo superiore ai 10.000 €. La classe che si è caratterizzata per la crescita più consistente rispetto all’anno precedente è stata quella con importo compreso tra i 10.000 e i 20.000 Euro, con un +42,5%.

Fonte: CRIF

tempi di scoperta

% 2014

0 - 6 mesi

34,1%

6 - 12 mesi

17,4%

12 - 24 mesi

19,7%

2 - 3 anni

10,0%

3 - 4 anni

4,8%

4 - 5 anni oltre 5 anni

3,8% 10,0%

Fonte: CRIF

uomini, seppure con la progressiva crescita dell’incidenza delle donne (+0,6% rispetto al 2013). Per quanto riguarda le classi di età, invece, emerge come la fascia di età più colpita sia quella compresa tra i 41 e i 50 anni con il 25,1% dei casi; mentre il maggior incremento percentuale rispetto alla precedente rilevazione ha riguardato la fascia degli over 50, con un +16,9% rispetto al 2013. Lo studio di CRIF evidenzia come quasi in 1 caso su 3 il frodatore ha dichiarato di essere un lavoratore autonomo o un libero professionista. Questo potrebbe essere riconducibile al fatto che queste categorie professionali sono maggiormente esposte al rischio di subire un furto di identità finalizzato ad ottenere credito fraudolentemente in quanto i dati personali sono spesso pubblici e facilmente reperibili su internet, negli albi

CYBERCRIME

Non sempre la vittima di furto d’identità è effettivamente un lavoratore autonomo nella realtà, ma questo è lo stratagemma adottato per evitare controlli attraverso il contatto del datore di lavoro, professionali pubblicati online, ecc. Non sempre la vittima di furto d’ioltre che per la maggiore facilità nel produrre dentità è effettivamente un lavoratore un documento reddituale falso de, il autonomo nella realtà, ma questo è lo stratagemma adottato per evitare controlli attraverso il contatto del datore di lavoro, oltre che per la maggiore facilità nel produrre un documento reddituale falso. Tale schema di frode da quest’anno potrebbe tuttavia cambiare, dato che l’accesso alle fonti dati istituzionali attraverso SCIPAFI, il Sistema Pubblico di Prevenzione delle Frodi Istituito dal MEF, consente di avere un riscontro dei dati reddituali e della partita IVA dei professionisti, oltre ai dati anagrafici e di busta paga dei lavoratori dipendenti pubblici e privati.

Le verifiche sugli archivi pubblici, che costituiscono la novità, vengono integrate e potenziate dai controlli antifrode sulle banche dati di proprietà esclusiva di CRIF quali l’Archivio Storico Antifrode di CRIF e il controllo documenti rubati e smarriti (Ministero dell’Interno). La soluzione CRIF restituisce, inoltre, un report delle verifiche effettuate completo di tutti i feedback ottenuti dalle banche dati e un indicatore sintetico del rischio di fro-

Oltre ai controlli antifrode e antiriciclaggio automatizzati da banche dati, CRIF è in grado di analizzare nel dettaglio la documentazione anagrafica e reddituale fornita dal cliente potenziando e integrando le verifiche. CRIF BPO, linea di servizi di CRIF specializzata nella gestione in outsourcing di processi di credito complessi, svolge infatti controlli anagrafici e reddituali, finalizzati alla riduzione delle truffe, su soggetti che richiedono mutui, prestiti e altri finanziamenti senza l’intervento operativo

Fonte: CRIF

dell’Istituto e in maniera distinta rispetto al processo principale di censimento o istruttoria. Le verifiche eseguite dal personale CRIF BPO sono focalizzate all’individuazione di documentazione anagrafica o reddituale falsa o contraffatta, e includono controlli di congruenza, di formato e di correttezza formale. L’obiettivo del servizio Verifica Antifrode di CRIF BPO è infatti quello di restituire agli istituti di credito un esito che vada a identificare in maniera puntuale le anagrafiche potenzialmente fraudolente. Nell’ambito della gestione in outsourcing delle verifiche antifrode, CRIF BPO lavora oltre 6.500 pratiche all’anno che vanno a popolare un database proprietario che permette di mappare in maniera aggregata la rischiosità di soggetti sull’intero territorio nazionale. L’integrazione di tutti i controlli possibili mediante le soluzioni CRIF è consentita dalla piattaforma Credit Origination, mediante la quale l’operatore di CRIF BPO può effettuare anche le verifiche di SCIPAFI per conto dell’Istituto di credito e svolgere pertanto una analisi completa della pratica. Per maggiori informazioni: fraudpreventionsolutions@crif.com u

Information Security n. 31 lug/ago/set 2015

Focus sul mercato finance: evoluzione normativa e l’approccio di CRIF L’evoluzione normativa ha evidenziato l’esigenza per gli istituti di credito di aumentare il presidio antifrode, con l’obiettivo di evitare danni economici e reputazionali. A questo riguardo, l’esperienza dei centri di competenza CRIF Fraud Prevention & Compliance Solutions e CRIF BPO Antifrode, maturata nel corso di progetti con i clienti e dei tavoli di lavoro avviati con le istituzioni, ha permesso di studiare le soluzioni più efficaci per rispondere alle esigenze antifrode e antiriciclaggio degli istituti. In particolare, le soluzioni CRIF integrano un’interfaccia ad hoc verso il sistema SCIPAFI permettendo di accedere agevolmente alle informazioni delle banche dati della Pubblica Amministrazione (documenti identificativi, partite Iva, codici fiscali, dichiarazioni dei redditi, ma anche posizioni previdenziali e assistenziali), senza implementazioni tecniche e/o impatti IT.

C R I F Fraud Score, che consente di utilizzare processi automatici o regole operative in maniera oggettiva su un esito sintetico. Tale indicatore raccoglie tutte le fonti informative disponibili sul mercato nazionale per la prevenzione delle frodi: quelle di fonte CRIF (CRIF Information Core) e quelle provenienti da fonti istituzionali insieme al know how degli Analytics e all’esperienza ultra ventennale di CRIF nella prevenzione e lotta delle frodi. Un elemento significativo è anche la possibilità di utilizzare la fonte SCIPAFI ai fini della adeguata verifica antiriciclaggio per controllare i dati anagrafici forniti dal cliente con fonti esterne istituzionali.

IDENTITÀ DIGITALE

“

“ Information Security n. 31 lug/ago/set 2015

Da ormai molto tempo si sente parlare di SPID (Sistema Pubblico per la gestione dell’Identità Digitale), ma attorno alla materia regnano molti dubbi e fraintendimenti: tanto che non tutto risulta così chiaro. Facciamo chiarezza

IDENTITÀ DIGITALE

TUTTO QUELLO CHE AVRESTE VOLUTO SAPERE SU SPID

Andrea Sassetti Direttore dei Servizi di Certificazione del Gruppo Aruba

Da ormai molto tempo si sente parlare di SPID (Sistema Pubblico per la gestione dell’Identità Digitale), ma attorno alla materia regnano molti dubbi e fraintendimenti: non tutto risulta così chiaro. Di cosa stiamo parlando? Il sistema SPID è costituito come insieme aperto di soggetti pubblici e privati che, previo accreditamento da parte dell’Agenzia per l’Italia Digitale, gestiscono i servizi di registrazione e di messa a disposizione delle credenziali e degli strumenti di accesso in rete nei riguardi di cittadini e imprese per conto delle pubbliche amministrazioni (Art.64, comma 2-ter). L’obiettivo è dunque quello di dotare ogni cittadino ed impresa di una identità digitale certificata che permetta l’utilizzo in sicurezza dei servizi in rete.

Information Security n. 31 lug/ago/set 2015

Nella normativa (Art.64, comma 2) si legge “Con l’istituzione del Sistema Pubblico per la gestione dell’Identità Digitale di cittadini e imprese (SPID) le pubbliche amministrazioni potranno consentire l’accesso in rete ai propri servizi, oltre che con lo stesso SPID, solo mediante la carta d’identità elettronica e la carta nazionale dei servizi...”. Ed ancora (Art.64, comma 2-quinquies) “Ai fini dell’erogazione dei propri servizi in rete, è altresì riconosciuta alle imprese la facoltà di avvalersi del sistema SPID

per la gestione dell’identità digitale dei propri utenti.” Lo SPID rappresenta un passaggio importante per la digitalizzazione della PA ma anche per il diffondersi dei servizi in rete, sia pubblici che privati, sempre nell’ottica della semplificazione e della usabilità. In tal senso, e per le grandi potenzialità che SPID offre, è di fondamentale importanza che vi siano regole certe, chiare e uguali per tutti. Per fare chiarezza in materia è necessario, prima di tutto, esaminare quali siano gli attori coinvolti, ovvero: • il titolare dell’identità digitale: la persona che accede ai servizi digitali erogati da un fornitore di servizi, tramite una identità digitale; • il fornitore di servizi: il soggetto privato o la pubblica amministrazione che eroga servizi via internet per cui è richiesta una identificazione e autenticazione degli utenti; • il gestore dell’identità digitale: la persona giuridica che crea, rende disponibili e gestisce gli attributi utilizzati dall’utente al fine di dimostrare la propria identità digitale; • il gestore di attributi qualificati: enti aventi per legge l’obbligo di certificare il possesso e la validità di attributi qualificati, abilitazioni

IDENTITÀ DIGITALE

•

professionali, poteri di rappresentanza o altri attributi; l’Agenzia per l’Italia Digitale: che emette il Regolamento Attuativo, accredita i gestori dell’identità digitale e i gestori di attributi qualificati, pubblica il registro e vigila sulle attività degli operatori.

•

• •

Information Security n. 31 lug/ago/set 2015

Se volessimo esporre per punti la procedura da seguire per l’utilizzo del servizio potremmo identificare i seguenti step: • l’utente richiede l’accesso ad un servizio, fornendo il proprio identificativo; • il fornitore di servizio interroga il registro degli Identity Provider e Attribute Provider presso AgID che restituisce copia del registro; • il fornitore di servizio inoltra la richiesta di autenticazione all’Identity Provider corretto (quello che ha rilasciato la credenziale di autenticazione per lo specifico cittadino); • l’Identity Provider, nel caso in cui l’utente disponga del corretto livello di credenziale, ne verifica la corrispondenza, fornendo al fornitore di servizio l’asserzione di identità e gli eventuali attributi identificativi richiesti; • il fornitore di servizio invia la richiesta di attributi qualificati all’Attribute Provider (opzionale); • l’Attribute Provider fornisce al fornitore di servizio conferma o meno dell’attributo qualificato richiesto (opzionale); • l’utente autenticato viene autorizzato ad accedere al servizio o alla funzione richiesta.

Ma chi è l’Identity Provider (o gestore dell’identità digitale)? Si tratta dell’Ente che crea, rende disponibili e gestisce i sistemi di autenticazione forte ed i relativi attributi utilizzati dall’utente al fine di dimostrare la propria Identità digitale. Qual è il valore aggiunto che potrà offrire un Identity Provider? I vari IDP si differenzieranno per: • disponibilità di componenti software che semplifichino l’integrazione di sistemi IT pre-esistenti con SPID; • differenti strumenti di strong au-

thentication a disposizione per l’utente; procedure di identificazione ed attivazione del servizio semplici, veloci e dedicate a specifiche necessità del cliente; un servizio di gestione del ciclo di vita delle credenziali SPID; differenti soluzioni OTP in grado di soddisfare le varie esigenze degli utenti.

ti, che siano piccole o grandi aziende o siano privati cittadini perché saranno tecnologicamente più sicuri e comunicheranno un’identità certa nei processi online. u

Ma quali sono le opportunità ed i vantaggi che un Service Provider potrebbe avere ad autenticare i propri utenti con SPID? Da una parte, la possibilità di offrire i propri servizi ai cittadini senza necessità della loro identificazione o censimento da parte del Service Provider. Dall’altra, non avere alcun onere in merito alla gestione dei sistemi di autenticazione forte, della conservazione dei dati personali e della sicurezza del sistema di autenticazione. Aruba Pec è già ente certificatore accreditato, gestore di posta certificata e conservatore accreditato. Questo ha consentito di mettere a fattor comune l’esperienza, il know how e le competenze tecnologiche necessarie all’accreditamento come Identity Provider, di fatto contenendone i costi. Stiamo quindi procedendo speditamente e contiamo, con Aruba Pec, di entrare a far parte del primo gruppo di Idp che si accrediterà. Questo sistema rappresenterà una rivoluzione nei rapporti tra la pubblica amministrazione e i privaARUBA S.p.A. Aruba S.p.A., fondata nel 1994, è la prima società in Italia per i servizi di data center, web hosting, e-mail, PEC e registrazione domini. La società gestisce oltre 2 milioni di domini, 6 milioni di caselle e-mail, 3,8 milioni di caselle PEC, 20.000 server ed un totale di oltre 2 milioni di clienti. La società è attiva sui principali mercati europei quali Francia, Inghilterra e Germania e vanta la leadership in Repubblica Ceca e Slovacca ed una presenza consolidata in Polonia ed Ungheria. In aggiunta ai servizi di web hosting, Aruba fornisce anche servizi di server dedicati, housing e colocation, servizi managed, firma digitale, conservazione sostitutiva e produzione di smart-card. Dal 2011 ha ampliato la sua offerta con servizi Cloud e nel 2014 è diventata Registro ufficiale della prestigiosa estensione “.cloud”. Aruba ha una grande esperienza nella gestione dei data center disponendo di un network europeo in grado di ospitare circa 60.000 server. Per ulteriori informazioni: www.aruba.it

WEB SECURITY

SICUREZZA, OCCHI PUNTATI SULL’ACCESSIBILITÀ AL DATO Se l’era digitale offre nuove possibilità è altresì vero che pone nuove sfide per la sicurezza. Si rende necessario un piano di governance delle informazioni come precondizione fondamentale per una strategia di gestione della sicurezza proattiva ed efficace. Di questo e di altro abbiamo parlato con Giuseppe D’Amelio

di Giuseppe D’Amelio Director Information Management Solutions & Services di Canon Italia

Quali aspetti occorrerebbe tenere maggiormente in considerazione? Le aziende sono spesso così concentrate a mettere al sicuro le informazioni dagli attacchi esterni attraverso firewall, login sicuri e antivirus, che talvol-

ta commettono l’errore di non pensare che le stesse informazioni sensibili possono essere fraudate dall’interno delle aziende stesse. Quali sono i principali pericoli cui le aziende vanno incontro? Da un lato c’è la generazione dei Millennial, oggi clienti e dipendenti delle aziende, che tra le loro caratteristiche c’è quella di essere nativi digitali, quindi abituati nel condividere esperienze ed informazioni in rete; questa abitudine inconsapevolmente può costituire un pericolo per la privacy delle informazioni aziendali. Ma i pericoli arrivano anche dal mondo più tradizionale, secondo le analisi di mercato le violazioni della sicurezza riguardanti documenti cartacei sono ancora significative e costituiscono il 25% del totale delle violazioni. Molti dispositivi tecnologici a disposizione del dipendente, smartphone, tablet ma anche le stampanti multifunzione, rappresentano ormai sistemi di distribuzione delle informazioni e come tali possono

essere fonte di pericolo per la sicurezza delle informazioni aziendali. Qual è oggi la migliore strategia di difesa? Un piano di governance delle informazioni è una precondizione fondamentale per una strategia di gestione della sicurezza proattiva ed efficace. I documenti digitali, quali ad esempio fatture, moduli, relazioni e documenti riservati sui dipendenti, devono essere gestiti e monitorati per capire quando e da chi sono stati modificati, dalla loro creazione alla loro distribuzione in forma tradizionale o digitale fino alla definitiva archiviazione. Come le moderne tecnologie cambiano gli schemi in materia di sicurezza? Canon è in grado di offrire soluzioni che coprono tutto il ciclo documentale, garantendo una copertura su tutte le aree principali legate a confidenzialità, integrità e disponibilità, attraverso servizi di consulenza specialistica e di in-

Information Security n. 31 lug/ago/set 2015

Quant’è importante oggi parlare di sicurezza? L’era digitale offre nuove opportunità alle aziende che vogliono incrementare l’efficienza delle attività di back office, trasformando al contempo l’approccio e la gestione delle interazioni con i clienti. I processi devono essere ripensati per andare incontro ai nuovi modelli di business ed alle esigenze che emergono dal mercato, che sempre più vedono l’accesso alle informazioni attraverso la convergenza di diversi mezzi quali social, mobile e cloud. In questo contesto, anche la strategia sulla sicurezza aziendale deve essere rivista al fine di garantire riservatezza, integrità, coerenza e disponibilità di dati, informazioni e immagini.

WEB SECURITY

I pericoli arrivano anche dal mondo più tradizionale, secondo le analisi di mercato le violazioni della sicurezza riguardanti documenti cartacei sono ancora significative e costituiscono il 25% del totale delle violazioni

Information Security n. 31 lug/ago/set 2015

formation governance, soluzioni software e servizi di outsourcing. Alcuni esempi pratici sono la possibilità, attraverso le piattaforme uniFLOW ed IRIS, di monitorare tutte le parole o formule sensibili che transitano dalle stampanti multifunzione sottoforma di operazioni di copia, stampa, scansione o fax; un altro esempio è relativo alla piattaforma documentale Therefore, che offre la possibilità di impostare dei para-

metri di sicurezza di ciascun documento al fine di intercettare accessi ed utilizzi non autorizzati. Quali sono le previsioni per il prossimo anno? Un’area di sviluppo è quello della vid-

eosorveglianza, dove grazie alle network camera ed alle soluzioni di monitoraggio delle immagini raccolte è possibile implementare dei sistemi di sicurezza evoluti basati sul riconoscimento visivo e su pattern comportamentali. u

SCENARI

LA SICUREZZA DELL’AMBIENTE VIRTUALE L’ambiente virtuale consente, spesso, di ottenere di più spendendo di meno, ma è necessario tutelarsi contro il costante aumento di malware sempre più sofisticati che potrebbero mettere a repentaglio la sicurezza e l’attività delle aziende. Ecco qualche suggerimento per proteggersi

di Morten Lehn Managing Director di Kaspersky Lab Italia

più sicure delle ambientazioni fisiche. Questa impostazione risulta evidente in molte aziende che sottovalutano l’aspetto della sicurezza quando implementano un ambiente virtuale.

Il primo passo per mettere in sicurezza gli ambienti virtualizzati è facile, basta replicare il sistema di sicurezza e la policy operativa utilizzata per server e desktop, in tutto l’ambiente virtuale.

Che cosa si può fare per proteggere gli ambienti virtuali dalle minacce sempre più complesse che caratterizzano lo scenario attuale? Ecco alcuni suggerimenti di base.

Alcune di queste minacce, portano all’interruzione delle attività e al furto e l’esposizione di informazioni aziendali sensibili, compromettono la sicurezza dei dati e distruggono il vantaggio competitivo dell’azienda.

Sfruttare le politicy esistenti I servizi e le applicazioni fornite dalla divisione IT dell’azienda sono importanti a prescindere dal fatto che abbiano a che fare con macchinari fisici o virtuali. Le aziende che riconoscono il bisogno di proteggere le applicazioni e i dati presenti sui server fisici, dovrebbero considerare di proteggere adeguatamente anche i processi aziendali e le applicazioni gestite in ambienti virtuali. La buona notizia è che la maggior parte delle policy per applicazioni e processi su server e desktop valgono anche per gli ambienti virtuali.

Va tenuto in considerazione che, nonostante sia semplice replicare le stesse policy, questo non vuol dire che si debbano usare le stesse tecnologie. Potrebbe accadere che si verifichino gap nella sicurezza, aumenti dei costi IT e inefficienze nel sistema.

Queste minacce sono reali e i criminali informatici puntano sempre più agli ambienti virtuali perché li considerano la nuova frontiera per attacchi sempre più complessi. Molte aziende, pur avendo a disposizione questo patrimonio di conoscenza, ritengono che le ambientazioni virtuali siano per loro stessa natura

Non esiste un’unica soluzione L’approccio ottimale per la propria azienda – così come l’unica architettura possibile per la propria infrastruttura IT – dipenderà da un certo numero di fattori, compresi il livello di rischio potenziale, il valore dei dati archiviati e processati dal proprio sistema, il rapporto di consolidamento che si vuole ottenere, l’ambiente virtuale dell’azienda (sia server che desktop) e il vendor di hypervisor, per ambienti virtualizzati, adottato

Information Security n. 31 lug/ago/set 2015

La virtualizzazione è spesso una soluzione che consente alla divisione IT di ottenere di più spendendo di meno. Tuttavia, sia che si eseguano applicazioni su macchine fisiche che virtuali, è necessario tutelarsi contro il costante aumento di malware sempre più sofisticati e altre cyber minacce che potrebbero mettere a repentaglio le attività dell’azienda.

SCENARI

(VMware, Citrix o Microsoft).

Information Security n. 31 lug/ago/set 2015

Quando si considerano soluzioni ottimizzate per la virtualizzazione, è importante valutare soluzioni agentless così come prodotti di sicurezza small footprint/light agent. Ad esempio, se si opera in un ambiente virtuale basato su VMware, la sicurezza agentless attual-

mente disponibile in ambiente VMware, può aiutare a realizzare rapporti di elevato consolidamento e un significativo aumento del ROI grazie alla facilità di deployment e gestione. Se si ha a che fare con un’infrastruttura virtuale basata su Citrix o Microsoft, i prodotti light agent possono costituire la soluzine migliore. Mentre nel caso

venga utilizzata un’ampia gamma di sistemi operativi guest (Linux, MAC e Windows), oppure si eseguono hypervisor meno comuni, una soluzione full agent virtualization-aware è l’opzione più adatta. In genere, è importante fare un’attenta riflessione e capire le opzioni esistenti.

L’approccio ottimale per la propria azienda – così come l’unica architettura possibile per la propria infrastruttura IT – dipenderà da un certo numero di fattori compresi il livello di rischio potenziale e il valore dei dati archiviati e processati dal proprio sistema

SCENARI

In molti casi, la sicurezza ottimizzata per ambienti virtuali è più auspicabile perché offre migliore performance, consolidamento e il miglior rapporto costi-benefici. Protezioni maggiori per ambienti più sofisticati Per alcune aziende la scelta migliore può essere quella di adottare un mix di prodotti agentless e light agent. Ad esempio, in un ambiente di data center, altamente controllato – ovvero dove i server eseguono attività che non hanno bisogno di una costante connessione a Internet – una soluzione agentless può dare l’adeguata protezione. Tuttavia, per un ambiente desktop virtualizzato – dove c’è molto meno con-

I prodotti di sicurezza light agent includono tecnologie aggiuntive quali il controllo delle applicazioni, dei dispositivi e delle funzionionalità di web control come firewall, HIPS e funzionalità di scansione della memoria trollo sulle modalità d’uso dei desktop virtuali utilizzati dagli impiegati – è necessario prendere in considerazione livelli di protezione più profondi. I prodotti di sicurezza light agent includono tecnologie aggiuntive di sicurezza quali il controllo delle applicazioni, dei dispositivi e funzionionalità di web control come firewall, HIPS e funzionalità di scansione della memoria che fornisco-

no una sicurezza maggiore pensata proprio per mettere in sicurezza gli ambienti virtuali. È importante che le aziende ricordino la regola più importante legata sicurezza virtuale, ovvero assicurarsi che la sicurezza sia il vero punto di partenza per ogni progetto di virtualizzazione e che siano ben chiare le opzioni disponibili per gli ambienti aziendali critici. u

Information Security n. 31 lug/ago/set 2015

COMITATO CONSULTIVO

www.informationsecuritynews.it Piero Giovanni Caporale - Sicurezza Organizzativa e Gestionale Settore ICT - DigitPA Raoul Chiesa - Founder, Security Brokers Inc. Isabella Corradini - Professore di Psicologia sociale della Facoltà di Psicologia dell’Università degli Studi dell’Aquila e Presidente del Centro Ricerche Themis Mauro Cosmi - Value Team S.p.A Elena Ferrari - Docente del Dipartimento di Informatica e Comunicazione dell’Università dell’Insubria Pierfrancesco Ghedini - Direttore Dipartimento Tecnologie dell’Informazione e Biomediche - Azienda USL di Modena – in qualità di AISIS (Associazione Italiana Sistemi Informativi in Sanità) Gianpiero Guerrieri - Dirigente Analista. Direttore UOC Sistema Informativo, Sistema di Reporting Aziendale e ICT - Azienda Ospedaliera San Giovanni Addolorata Giovanni Hoz - Direttore Sistemi Informativi Policlinico A. Gemelli Andrea Lisi - Professore a contratto di Informatica Giuridica - Scuola Professioni Legali, Facoltà Giurisprudenza - Università del Salento, Presidente di ANORC (Associazione NazionaleOperatori e Responsabili della Conservazione Sostitutiva), Coordinatore del Digital&Law Department Studio Legale Lisi, Studio Associato D&L - Business&Legal Consultancy, ICT &International Trade, Executive Management SCiNT - Study&Research Centre Giovanni Manca - Esperto di digitalizzazione documentale nella PA e sicurezza ICT Alberto Manfredi - MSc, CISA, CISSP, GCFA, CRISC - Presidente Cloud Security Alliance - Italy Chapter

Carlo Maria Medaglia - Docente e coordinatore RFID Lab - CATTID Università La Sapienza di Roma Baldo Meo - Responsabile Comunicazione Garante per la protezione dei dati personali Elio Molteni - Presidente AIPSI, ISSA Italian Chapter Alessandro Musumeci - Direttore Centrale Sistemi Informativi (DCSI), Ferrovie dello Stato Silvano Ongetta - Presidente AIEA, Associazione Italiana Information Systems Auditors Massimo F. Penco - Presidente Associazione Cittadini di Internet, Membro del Antiphishing Working Group, Vice presidente Gruppo Comodo Filomena Polito - Presidente APIHM - Associazione Privacy and Information Healthcare Manager Andrea Rigoni - Director General GC-SEC Global Cyber Security Center Giuseppe Russo - Chief Technology Officer - Oracle Hardware group Marco Scattareggia - KEY DATA ANALYICS - Practice Manager Corrado Aaron Visaggio - Ricercatore in Ingegneria del Software presso il Dipartimento di Ingegneria dell’Università degli Studi del Sannio Anthony Cecil Wright - Presidente ANSSAIF, Associazione Nazionale Specialisti Sicurezza in Aziende di intermediazione Finanziaria Stefano Zanero - Responsabile Tecnico, Secure Network

PER COLLABORARE La collaborazione è sempre gradita ma deve rispettare alcune caratteristiche tecniche. Articoli – I testi devono essere originali, liberi da diritti d’autore verso terzi e non sottoposti ad altre pubblicazioni. La decisione sull’eventuale pubblicazione è ad esclusiva discrezione della Redazione. I testi devono pervenire in formato elettronico in qualsiasi forma di Word Processing e non devono superare le 15.000 battute (spazi inclusi). Grafici, loghi e immagini a corredo devono pervenire in redazione in f.to jpg, tiff, pdf o eps con risoluzione minima di 300 dpi. Testi e immagini devono essere inviati a: redazione@edisef.it oppure visti in originale a: EDISEF - Piazza Pio XI, 62 - 00165 ROMA

Information Security Anno V - n. 31 Luglio/Agosto/Settembre 2015 Direttore Responsabile Maria Giulia Mazzoni Collaboratori Alberto Blasi, Sarah Ferri Grafica e impaginazione Giulia Pissagroia Redazione Oriana Mazzini Gestione e Servizi Marco Bompiani ROC – Registro Operatori di Comunicazione n. 17883 – Pubblicazione bimestrale registrata presso il Tribunale di Roma il 7/10/2010 n. 379 Codice ISSN: ISSN 2037-5611 Edisef Roma Poste Italiane S.p.A. Spedizione in Abbonamento Postale – D.L. 353/2003 (conv. in L. 27/02/2004 n. 46) Art. 1 Comma 1 – DCB Roma – Euro 10,00 BONIFICO BANCARIO Banca Popolare del Lazio Ag. 45 Piazzale della Radio 41 00146 ROMA IBAN: IT80 U051 0403 205C C036 0001 434 Siti internet www.edisef.it www.informationsecuritynews.it Abbonamenti Piazza Pio XI, 62 00165 Roma Tel. 06 6626717 Fax 06 66013885 Abbonamenti 06 61774006 e-mail: info@edisef.it Finito di stampare nel mese di Settembre 2015 presso: C.S.R. SRL TIPOGRAFIA Via di Pietralata, 155 00158 Roma