Articoli

L’importanza di avere un piano di comunicazione in caso di incidente

L’importanza di avere un piano di comunicazione in caso di incidente

20 Jan 2023

Un piano di comunicazione di risposta agli incidenti è una componente cruciale del più ampio piano di risposta agli incidenti di un’organizzazione. Alla stregua degli altri elementi costituenti le organizzazioni infatti dovrebbero sviluppare anche una adeguata strategia di comunicazione allo scopo di garantire un attento coordinamento tra il SOC (Security Operations Center), il team di risposta e una varietà di parti interessate interne ed esterne alla organizzazione durante le fasi concitate di un evento di incidente di sicurezza informatica che può causare anche un importante fermo delle attività.


La fase comunicativa infatti è più critica di quanto si possa pensare. Ci sono da considerare diversi tipi di canali di comunicazione e interlocutori con i quali interfacciarsi.

Pertanto la comunicazione in caso di crisi richiede una risposta coordinata unica e coerente con tutti gli attori coinvolti attraverso dei canali di comunicazione e modalità preventivamente scelti e concordati.

Ecco i punti principali cui prestare attenzione affinché un piano di comunicazione dell’incidente sia il più fruttuoso possibile. 


La comunicazione nel ciclo di vita di un incidente informatico 

Quando si verifica un incidente, disporre di una piattaforma di comunicazione consolidata per centralizzare e filtrare avvisi attraverso degli strumenti di monitoraggio e registrazione può garantire, durante l’evento, una comunicazione efficace e diretta. 

Tre sarebbero i momenti in cui una corretta comunicazione potrebbe davvero fare la differenza: La comunicazione di primo contatto, la comunicazione degli aggiornamenti, la comunicazione risolutiva.

  • Il primo contatto. L’aggiornamento iniziale è sicuramente il più importante.   È quindi fondamentale avere precedentemente studiato e impostato un modus operandi allo scopo di fornire la giusta impostazione della risposta, principalmente:

  • Riconoscendo fin da subito che c’è stato un problema anche se non si conoscono ancora bene i dettagli; 

  • presentando una stima dell’entità dell’impatto noto ed eventuale, promettendo ulteriori aggiornamenti, alleviando quando possibile ogni preoccupazione. 

  • Aggiornamenti regolari durante l’incidente. Gli aggiornamenti a cadenza regolare sono fondamentali. La comunicazione su cosa sta accadendo con tutte le parti interessate, usando dei canali di comunicazione predeterminati, deve essere un imperativo categorico.

  • Risoluzione e lezione appresa. Lo schema da seguire in questa ultima fase della comunicazione dovrebbe formulare le seguenti argomentazioni con linguaggio semplice, chiaro e diretto:

  • Le scuse e il riconoscimento del problema, cercando di entrare in empatia con le parti colpite;

  • spiegazione di cosa è successo e del perché;

  • spiegazione su cosa è stato fatto per risolvere l’incidente e per prevenire il ripetersi dell’evento in futuro (lezione appresa).


Attivazione del team di risposta agli incidenti, la tempistica è essenziale

Un Security Operations Center (SOC) comprende un team di esperti incaricato di rilevare, indagare, rispondere e prevenire le minacce informatiche in un’organizzazione (24 ore su 24, 7 giorni su 7). 

Il SOC lavorando a stretto contatto con il team di risposta agli incidenti per garantire che eventuali problemi vengano risolti rapidamente al momento della scoperta, determinerà tramite un processo di valutazione l’attivazione o meno dell’intero team di risposta agli incidenti. 

Le organizzazioni dovrebbero prendere in considerazione l’adozione di un meccanismo dedicato per gestire le pianificazioni delle chiamate, attivando avvisi attraverso più canali di comunicazione, ottimizzando in tal modo la velocità di convocazione eventuale del team di risposta. La tempistica in questi casi è essenziale. 


Individuazione della figura di riferimento per la comunicazione esterna

Nell’ottica di creare un ruolo di comunicazione per fornire una visione coerente e coordinata dell’incidente a tutte le parti interessate esterne, dovrebbe essere individuata una figura intermediaria capace di filtrare, tradurre ed esporre tutte le informazioni tecniche che emergono dal team di risposta.


Scelta dei canali di comunicazione

Diversi i canali di comunicazione da adottare nei casi di incidenti, che in generale possono essere utilizzati anche congiuntamente per sfruttarne i singoli punti di forza:

  • Una pagina di stato (in costante aggiornamento) potrebbe risultare importante allo scopo di fornire chiarezza sull’incidente in corso. Dovrebbe essere facilmente rintracciabile sulla home page o sulla sezione di supporto del proprio portale anche tramite un banner dedicato.

  • Posta elettronica, chat, social media e sms potrebbero essere tutti strumenti utili per dare aggiornamenti periodici e comunicare in modo veloce e diretto secondo una strategia precedentemente concordata tra le parti.  


Comunicare con gli interlocutori in modo appropriato

È importante pianificare prima che si verifichi un incidente chi chiamare e come raggiungerlo nel modo migliore, curando i messaggi in modo appropriato. In generale gli interlocutori da raggiungere con una comunicazione adeguata andrebbero suddivisi per tipologia:

  • il primo interlocutore ad essere interpellato immediatamente dopo l’impatto è il team di risposta agli incidenti; 

  • segue il team di supporto preposto a rispondere e fornire aggiornamenti durante l’incidente, al quale occorre fornire tutte le informazioni corrette da trasmettere agli utenti finali;

  • il team di risposta deve avere anche un canale di comunicazione dedicato con la dirigenza/amministrazione per informarla sull’evento, sul potenziale impatto e sulla stima dei tempi per la risoluzione dell’incidente;

  • anche i dipendenti devono essere tenuti informati in tempo reale sull’andamento della situazione. Per questo motivo è importante una loro formazione preventiva (su ruoli, funzioni e strategia) anche per ridurre le richieste di supporto durante l’incidente.

  • qualora l’evento coinvolga anche interlocutori esterni (clienti e partner) è necessario inviare una comunicazione aggiornata (ad intervalli regolari) e chiara sul problema, sui tempi e sull’evoluzione.


Sviluppare modelli per una comunicazione di risposta ottimale

I modelli di comunicazione sono fondamentali per un piano di comunicazione di risposta agli incidenti ottimale, rappresentando di fatto uno degli strumenti più importanti da tenere in conto in fase di pianificazione della strategia di comunicazione. La frequenza, la qualità e il contenuto delle comunicazioni infatti possono avere un impatto significativo.


Azioni da attuare per una corretta strategia di comunicazione

Poiché l’impatto di un incidente informatico può incidere significativamente sulla reputation, questo impatto potrebbe essere contenuto tramite una corretta strategia di comunicazione durante la gestione dell’evento di incidente, salvaguardando nel contempo anche la fiducia degli stakeholder coinvolti.

È bene pertanto prevedere alcune possibili azioni da attuare per una corretta strategia di comunicazione in caso di crisi conseguente sia ad un incidente di sicurezza delle informazioni che alla violazione della riservatezza di dati personali, sviluppando un processo di comunicazione che risponda alle esigenze dello standard ISO/IEC 27001 e del nuovo regolamento sulla protezione dei dati personali GDPR (https://www.garanteprivacy.it/il-testo-del-regolamento);


La comunicazione in caso di data breach

Le azioni da mettere in campo nel caso di data breach (violazione della riservatezza di dati personali https://www.garanteprivacy.it/data-breach) devono certamente seguire le indicazioni previste dal GDPR. Per non incorrere nelle sanzioni, è infatti assolutamente necessario predisporre un processo aziendale che garantisca, al bisogno, l’effettuazione di determinate comunicazioni obbligatorie:

  • “Notifica di una violazione dei dati personali all’autorità di controllo”. L’articolo 33 del GDPR, chiede esplicitamente al titolare del trattamento, ovvero la persona fisica o l’organismo che determina le finalità e i mezzi del trattamento di dati personali, di effettuare una notifica all’autorità di controllo entro 72 ore dal momento in cui viene a conoscenza di una violazione dei dati personali.  Nella fattispecie tale notifica all’autorità di controllo deve:

  • descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;

  • comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;

  • descrivere le probabili conseguenze della violazione dei dati personali;

  • descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e per attenuarne i possibili effetti negativi.

  • “Comunicazione di una violazione dei dati personali all’interessato”.  L’articolo 34 del GDPR richiede al titolare del trattamento, qualora si verificasse una violazione dei dati personali con un rischio elevato per i diritti e le libertà delle persone fisiche, di effettuare una comunicazione a tutti gli interessati. Tale comunicazione dovrà descrivere chiaramente la natura della violazione dei dati personali e contenere le informazioni del titolare del trattamento e le misure adottate.


La comunicazione in caso di incidente di sicurezza delle informazioni 

Anche un incidente di sicurezza delle informazioni può causare la divulgazione di informazioni aziendali rilevanti e determinare una situazione di crisi. Basti pensare, ad esempio, come la violazione della riservatezza in un contratto con un partner strategico, possa mettere a rischio la segretezza di sistemi e accordi. Pertanto anche per la norma ISO/IEC 27001(standard internazionale della sicurezza delle informazioni) il processo di “crisis communication” rappresenta un requisito fondamentale da implementare correttamente, individuando principalmente:

  • cosa deve essere comunicato;

  • quando deve avvenire la comunicazione;

  • verso chi rivolgere la comunicazione;

  • chi deve effettuare la comunicazione;

  • i processi attraverso i quali devono essere effettuate le comunicazioni.


Poiché sia gli attacchi ransomware a doppia estorsione con esfiltrazione di dati (e successiva pubblicazione degli stessi) che semplici data breach sono purtroppo diventati scenari sempre più ricorrenti, occorre che tutte le organizzazioni prendano coscienza che provvedere ad una comunicazione iniziale e a successive integrazioni durante la fase di investigazione di tali incidenti è un adempimento di uno specifico obbligo normativo e non una semplice buona pratica.


Riflessioni finali

Per una risposta forte agli incidenti di sicurezza informatica, una comunicazione rapida ed efficace è senza alcun dubbio una componente imprescindibile. Solidi piani di comunicazione degli incidenti oltre a consentire un coordinamento con le parti interessate sia interne che esterne, forniscono dei meccanismi rapidi di notifica e nel contempo degli importanti feedback sulla prestazione del servizio e della divulgazione stessa delle informazioni. Tutto ciò descritto oltre che migliorare la capacità di comunicazione dell’organizzazione aiuta a limitare talvolta anche il danno reputazionale che un incidente di sicurezza inevitabilmente comporta.



Continua a leggere
Top tips per proteggere i nostri account di social media

Top tips per proteggere i nostri account di social media

06 Jan 2023

I social media sono servizi che consentono di connettersi con altre persone e condividere informazioni, scambiando opinioni e creando contenuti a scopo sia puramente relazionale che lavorativo per il tramite di servizi in essi integrati quali ad esempio chat e messaggistica istantanea. 

Poiché i social media sono uno strumento in grado di offrire moltissime opportunità non solo ai singoli ma anche alle organizzazioni (ad esempio per fini promozionali), fornendo comunque a tutti una presenza a livello globale, un utilizzo senza opportune precauzioni può comportare un elevato rischio in grado di minare la sicurezza informatica e la privacy degli stessi utenti.  

Basti pensare come con un semplice post sia possibile geolocalizzare un luogo, taggare altri utenti, ottenere consensi, ricevere commenti e condividere anche momenti della quotidianità. 
La virtualità di queste aree sociali danno inoltre una falsa percezione di sicurezza, portando ad ignorare quelle buone pratiche solitamente adottate nel mondo offline, esponendo qualsiasi utilizzatore (individui e organizzazioni) ad un pericolo correlato allo sfruttamento dei canali social per condurre attacchi informatici, diffondere malware e compiere qualsiasi ulteriore illecito.  

L’uso dei social network ha di fatto modificato comportamenti e modo di comunicare. Pertanto pur rappresentando una grande risorsa, solo il buon senso e la prudenza rimangono il presupposto per un corretto e sicuro impiego. Per tutti questi motivi anche sui social media è necessario proteggersi dalle minacce informatiche, adottando piccole accortezze che garantiscano una navigazione sicura e un uso corretto dei dispositivi. 


Le minacce a cui fare attenzione

Bisogna prestare maggiormente attenzione verso quelle minacce per le quali i social media possono rappresentare un canale privilegiato ovvero il social engineering, le varie forme di phishing e il doxing.

Social engineering

Il social engineering si riferisce ad esempio a una vasta gamma di attacchi che sfruttano il fattore umano e le emozioni per manipolare uno specifico target. Il cyber criminale dopo avere fatto ricerche sulla potenziale vittima, raccogliendo ogni tipo di informazione su di essa, lavora per guadagnare la sua fiducia, mettere pressione, urgenza oppure suscitare curiosità, allo scopo di manipolarla affinché divulghi inconsapevolmente informazioni sensibili violando privacy e sicurezza. 

Phishing 

Ad esempio con tecniche di ingegneria sociale è possibile allestire un attacco di phishing, che solitamente avviene tramite e-mail o messagistica istantanea (smishing), per adescare le potenziali vittime tentando di convincerle a cliccare su un link che punta ad una pagina di landing falsa o di aprire un allegato malevolo (malware). Tramite il phishing, ad esempio, un attaccante potrebbe ricreare una falsa pagina di login del social network e indurre l’utente a fornire le sue credenziali di accesso.

Brand Phishing

Un altro rischio correlato ai social media è legato al cosiddetto brand phishing ovvero alla possibilità di impersonare una società o un marchio popolare per ingannare e indurre le vittime a fornire informazioni riservate, che potranno essere successivamente utilizzate per violare sistemi e reti. Il brand phishing oltre a danneggiare la vittima, danneggia anche la reputazione dell’organizzazione impersonata.

Catfishing

Si parla invece di catfishing, quando si crea una falsa identità per prendere di mira un individuo allo scopo di acquisire informazioni e contenuti. Il catfishing è una minaccia molto diffusa sui social media con la quale il truffatore cerca di ottenere empatia con le vittime mettendo successivamente   in atto un illecito. Pertanto sarebbe sempre buona prassi quella di valutare in modo critico ogni tipo di invito ricevuto. Gli account sconosciuti che cercano contatto possono essere in realtà account falsi creati al solo scopo di raccogliere informazioni sugli utenti e perpetrare successive truffe (come ad esempio le truffe a tema sentimentale). 

Il doxing

Chiunque condivida online dati sensibili come estremi privati e numeri di telefono potrebbe essere oggetto di doxing. Il doxing è la pratica criminale di ricercare, pubblicare e/o diffondere delle informazioni personali o private di un soggetto senza il suo consenso, con l’intenzione di estorcere denaro, intimidire o semplicemente denigrare. È per questo che sarebbe sempre importante valutare con attenzione il tipo di informazioni, immagini e altri contenuti che si desiderano condividere online.

Proteggersi sui social media, alcuni utili consigli

Di seguito si elencano alcuni suggerimenti per l’uso sicuro e responsabile dei servizi social da seguire per attenuare l’esposizione alla maggior parte dei rischi.

  • utilizzare l’autenticazione multifattore, 2FA, ovvero una misura di sicurezza che richiede agli utenti di fornire due o più fattori di autenticazione per accedere ad un account o applicazione. L’aggiunta di ulteriori livelli di sicurezza aiuta a contrastare eventuali attacchi qualora le credenziali o le identità digitali siano state rubate, esposte o vendute a terzi (per approfondimenti potete consultare questo nostro articolo https://f3rm1.cloud/en/articles/show/51);
  • tenere sotto controllo condizioni d’uso e impostazioni su privacy e sicurezza. In generale, prima dell’iscrizione ad un social network è sempre buona regola controllare le opzioni di sicurezza e privacy assicurandosi che siano sempre aggiornate e impostate con il livello più alto;
  • non utilizzare la stessa password per servizi differenti. È importante utilizzare una password diversa per ciascun account social (aiutandosi ad esempio con un buon password manager https://f3rm1.cloud/en/articles/show/47) in modo da evitare un accesso abusivo su tutti gli account qualora uno di questi subisse una violazione di sicurezza;
  • assicurarsi che le password siano robuste e lunghe (consigliati almeno 10 caratteri) combinando lettere maiuscole, minuscole e caratteri alfanumerici; 
  • tenersi sempre aggiornati sulle possibili minacce che possono colpire determinate piattaforme sfruttando vulnerabilità con azioni di hacking, attacchi di phishing e falsificazioni account;
  • Verificare se il proprio indirizzo email sia stato coinvolto in un data leak in passato. Esistono appositi strumenti online che grazie all’analisi dei numerosi casi noti e censiti a livello globale, riescono a stabilire se un determinato indirizzo di posta elettronica sia stato oggetto di una violazione dati. La fondazione Fermi (https://f3rm1.cloud/it) ad esempio ha realizzato un servizio ad hoc. È sufficiente per la verifica inserire il proprio indirizzo email;
  • non diffondere informazioni sensibili (foto, video, date di nascita, spostamenti, abitudini etc) che potrebbero essere utilizzate in modo fraudolento da terzi per profilare potenziali vittime e perpetrare truffe;
  • mantenere sicuri i propri dispositivi connessi, aggiornando costantemente sistemi, applicazioni, browser e strumenti di protezione;
  • diffidare degli sconosciuti e fare attenzione alle applicazioni di terze parti. Prestare attenzione alle applicazioni e servizi disponibili sui siti social, procedendo con cautela nel decidere quali attivare e quali permessi di accesso concedere;
  • fare attenzione ad aprire link, immagini e video contenuti nei messaggi, potrebbero essere dannosi e reindirizzare verso siti malevoli realizzati per diffondere malware o carpire credenziali. 

 

 


Continua a leggere
Deepfake: l’evoluzione del social engineering

Deepfake: l’evoluzione del social engineering

16 Dec 2022

Il crescente impiego di piattaforme di videoconferenze e le varie forme di lavoro agile (smart working e remote working) adottate anche nel post emergenza covid rendono sempre più virtuali le collaborazioni interpersonali. Questo scenario senza dubbio deve imporre alle organizzazioni una adeguata preparazione per saper riconoscere tentativi di impersonificazione basati su attacchi di social engineering e phishing che risultano essere sempre più sofisticati grazie anche al rapido avanzamento della tecnologia deepfake: il semplice messaggio testuale di phishing potrebbe essere sostituito addirittura da una conversazione video allestita con tecnologia deepfake sempre allo stesso scopo di carpire informazioni e dati sensibili. Ad esempio un presunto dirigente collegato in videoconferenza e celato da tecnologia deepfake potrebbe chiedere (con una certa pressione e urgenza) ad un partner aziendale o ordinare ad un suo dipendente di eseguire una transazione bancaria apparentemente legittima ma che in realtà trasferisce il denaro a un conto fraudolento. 

Deepfake, definizione e tecnica di produzione

La parola deepfacke nasce da una combinazione dei termini “deep learning” e “fake”. Ci si riferisce sostanzialmente a prodotti audio/video digitali creati tramite intelligenza artificiale che potrebbero consentire di impersonare un individuo con somiglianza e voce anche durante una conversazione video. Ciò viene fatto attraverso metodologie di deep learning come il Generative Adversarial Network (GAN) ovvero un gruppo di modelli di rete neurale per l’apprendimento automatico, deputato ad insegnare ai computer come elaborare le informazioni emulando il cervello umano. Il GAN ​in particolare è costituito da due principali reti neurali gestite da singoli algoritmi di intelligenza artificiale nominati rispettivamente “generator” e “discriminator”. Secondo un ciclo continuo, ciò che fa il generator è quello di creare contenuti falsi inviandoli al discriminator, il quale confronta i contenuti con quelli falsi per identificarne le differenze. Fino a quando non viene generato un contenuto falso ottimale, il generator cercherà di eliminare queste differenze e di ingannare nuovamente il discriminator attraverso contenuti migliorati.  

Quali minacce incombono

L’accessibilità e l’efficacia della tecnologia deepfake (nata principalmente per l’impiego nell’industria cinematografica, ovviamente per scopi differenti) hanno portato il cyber crime a utilizzarla per attacchi di social engineering sofisticati allo scopo di estorsione, frode o arrecare danni reputazionali. 

Basti pensare all’impatto che potrebbe avere un attacco di phishing vocale replicando delle voci appartenenti alle parti interessate di un’azienda e utilizzarle per convincere i dipendenti a eseguire una serie di azioni che potrebbero portare a incidenti di sicurezza e privacy. Oppure all’efficacia di un attacco di phishing mirato (spear-phishing) seguito da una telefonata con voci simulate allo scopo di convincere un dipendente a inviare fondi a un determinato conto bancario presidiato dai criminali.

Ad aggravare ulteriormente la situazione c’è inoltre la reperibilità sia di tool deepfake, resi disponibili come servizio sui forum web clandestini, che rendono più semplice e conveniente l’allestimento di questi schemi di frode anche ad attori criminali con competenze tecniche limitate, sia di una grande quantità di immagini e video postati dagli utenti delle piattaforme social media che possono essere elaborati dagli algoritmi deep learning per generare per l’appunto contenuti deepfake.

Anche l’FBI mette in allerta dal deepfake

Anche l’FBI mette ad esempio in allerta riguardo all’ultima tendenza del cyber crime che tramite impersonificazione di candidati verosimili cercherebbe di rubare dati e commettere frodi, attraverso dei colloqui di lavoro deepfake. 

Secondo quanto riportato in un comunicato IC3 (https://www.ic3.gov/Media/Y2022/PSA220628) sarebbe stato registrato un aumento nel numero di tali attività da parte di truffatori che utilizzando una combinazione di video deepfake e dati personali rubati sarebbero riusciti a ottenere un impiego in una serie di posizioni di lavoro, offerto da remoto con un certo livello di accesso aziendale a dati e sistemi sensibili, allo scopo ultimo in realtà di infiltrare in azienda un criminale che una volta in possesso degli accessi amministrativi potesse perpetrare qualsiasi tipo di attività malevola.   

Alla luce di tutto questo numerosi potrebbero essere gli schemi di frode basati sul deepfake (limitati solo dalla fantasia) che potrebbero avere anche un pesante impatto economico come danno sul target. Ad esempio per creare un deepfake allo scopo di accedere a servizi online, richiedere carte di credito e prestiti o eseguire transazioni finanziarie potrebbero essere usati i dati di una persona deceduta o una identità inesistente costruita da una raccolta dati di persone reperiti sul web o da precedenti truffe o databreach noti.  

Cosa fare per proteggere dati, finanze e reputazione

Sebbene non esista ancora un modo semplice e sicuro per individuare i deepfake, ci sono comunque delle buone pratiche di prevenzione che potrebbero essere adottate:

  • aggiungere ulteriori processi di sicurezza e protezione. Avere metodi secondari di verifica come ad esempio un doppio processo di approvazione per le transazioni finanziarie, il tracciamento della corrispondenza e l’autenticazione a doppio fattore, dovrebbero essere sempre considerate una soluzione obbligata per prevenire qualsiasi tipo di truffa o attacco informatico;
  • utilizzare la stessa intelligenza artificiale per riconoscere il deepfake. Un sistema di intelligenza artificiale potrebbe essere in grado di riconoscere se un contenuto audio/video sia stato manipolato, confrontandolo rapidamente con campioni originali noti di riferimento o di rilevare un phishing video, convertendo la traccia audio in testo e analizzandolo per riconoscere l’eventuale illecito e decidere di approvare o meno una transazione di pagamento;
  • integrare il concetto di deepfake nel processo di valutazione dei rischi per tutti i canali e servizi digitali oltre che nella pianificazione dei possibili scenari di crisi;
  • valutare la stipula di una polizza assicurativa personalizzata. 

Sebbene la tecnologia continuerà a evolvere e diventerà sempre più difficile individuare i deepfake, fortunatamente miglioreranno anche le tecnologie di rilevazione. Ma il compito degli addetti ai lavori per proteggere meglio se stessi e la propria organizzazione da una varietà di attacchi informatici non dovrà essere solo quello di restare sempre aggiornati sulle evoluzioni delle tecniche di contrasto e di implementarle prontamente ma anche e soprattutto quello accrescere la consapevolezza all’interno della propria organizzazione puntando sulla formazione dei dipendenti di ogni ordine e grado. L’elemento umano andrebbe considerato sempre e comunque come il primo baluardo di difesa, anche e soprattutto, contro attacchi sofisticati e artificiali come il deepfake.



Continua a leggere
FIFA World Cup 2022: un'allettante occasione per i cyber criminali

FIFA World Cup 2022: un'allettante occasione per i cyber criminali

02 Dec 2022

Il FIFA World Cup 2022 in Qatar appena iniziato è già nel mirino dei criminali informatici.
Come riportato da molte fonti di ricerca e sicurezza della comunità cyber i grandi eventi come questi, catalizzando l’attenzione del pubblico, rappresentano una allettante occasione per i cyber criminali.

In particolare sarebbero stati osservati una varietà di schemi fraudolenti. Oltre alle truffe tradizionali, omaggi e biglietti falsi e negozi di merchandising truffaldini, si registra anche un numero crescente di truffe NFT legate alla Coppa del Mondo.

Vendita biglietti al botteghino online

Poiché Qatar 2022 offre solo biglietti digitali, cresce il rischio di imbattersi in botteghini online che propinano biglietti falsi come esca per indurre le vittime a cadere nella trappola del phishing. Aumentano, pertanto i siti dove acquistare biglietti per le partite della FIFA che in realtà sono stati implementati per rubare dati personali, dettagli bancari e denaro.

Phishing e impersonificazione

Una delle tattiche di phishing rilevate consiste nell’utilizzare diversi domini di primo livello generici (TLD) con la stessa parola chiave utilizzata ufficialmente dalla FIFA. Ad esempio i domini fifa2022[.]pro, fifa2022[.]world e fifa2022[.]space vengono spacciati come sito ufficiale FIFA (che in realtà risulta essere fifa2022.com). In generale, i ricercatori affermano che il livello di sofisticazione utilizzato dagli attaccanti per imitare i domini originali varierebbe notevolmente, spaziando da pagine di phishing di bassa qualità a realizzazioni raffinate con animazioni e loghi molto verosimili.
Non è un caso che i domini di impersonificazione siano una scelta comune tra gli attori delle minacce che spesso li utilizzano non solo per il furto di informazioni di identificazione personale (PII), credenziali di accesso, dati finanziari, ma anche per il rilascio di payload pericolosi come i famigerati ransomware.
Infatti anche le organizzazioni del Qatar e straniere responsabili dell’organizzazione del campionato mondiale di calcio 2022 potrebbero essere prese di mira da attacchi ransomware, la minaccia informatica più rilevante in questo momento storico, dato il numero significativo di gang criminali dedite a questa attività e il numero di attacchi registrati.

Anche il typosquatting è una delle tecniche di ingegneria sociale solitamente impiegata in scenari di phishing, inducendo la potenziale vittima a visitare siti Web che presentano piccole modifiche nei nomi rispetto a quelli dei domini originali. Nel caso di specie ecco alcuni esempi di domini creati utilizzando il typosquatting:

  • “fifawordcup” (manca la lettera L in world);
  • “fifawor1dcup” (usato il numero "1" invece della lettera L in world);
  • “fifa2O22” (usata la lettera O invece del numero zero "0" in 2022). 

Il mercato nero del web

In tutti i casi, i dati rubati attraverso questi schemi fraudolenti potrebbero inoltre essere riutilizzati anche per altri scopi illeciti o venduti sul Dark Web. Ad esempio nei mercati underground si possono trovare in vendita raccolte di dati rubati alle vittime contenenti cookie di sessione, indirizzi IP e credenziali account. Acquisendo queste credenziali, gli attori delle minacce potrebbero accedere illecitamente agli account ed eseguire operazioni dannose come la compromissione della posta elettronica aziendale (BEC), l’escalation dei privilegi e la compromissione dell’identità digitale delle vittime.

Lotterie, scommesse e merchandising

Sarebbero state rilevate anche pagine di phishing che permettono di vincere biglietti per la Coppa del Mondo, in realtà falsi, in cambio del pagamento di costi di spedizione e negozi di merchandising legati alla FIFA che offrono come esca magliette, cover per telefoni e palloni autografati.
In questo contesto anche i nomi dei domini delle organizzazioni sponsor (partner e sostenitori della FIFA World Cup Qatar 2022) potrebbero essere sfruttati nelle campagne di phishing a tema lotteria e concorsi FIFA World Cup Qatar 2022.

Ma non solo, oltre ai falsi siti Web e alle e-mail di phishing, gli attori delle minacce potrebbero sfruttare per espandere la superficie di attacco, anche app fraudolente, distribuite tramite store non ufficiali e facilmente reperibili online utilizzando i motori di ricerca più comuni e i social media per gestire le proprie campagne propinando omaggi e pubblicità ingannevole. Numerose sarebbero le app e le pagine di social media trovate che impersonano a vario titolo il marchio e i loghi dell’evento sportivo in Qatar per diffondere truffe varie e malware.

Scommesse, investimenti e offerte viaggio in Qatar

Gli esperti di cyber security avrebbero inoltre scoperto pagine di phishing che imitano servizi di compagnie aeree per vendere biglietti in offerta destinazione Doha e altre truffe che sfrutterebbero le scommesse sugli esiti delle partite mettendo in palio criptovalute e NFT o gli investimenti in criptovaluta. Inserendo le credenziali dei wallet digitali invece di ricevere il premio/investimento maturato, la vittima finirebbe col regalare ai criminali l’accesso ai propri risparmi.

FIFA World Cup 2022, raccomandazioni per organizzazioni e spettatori

Visti tutti i presupposti è plausibile aspettarci un susseguirsi di diverse ondate di attacchi e campagne per tutto il periodo del torneo che si protrarrà per quasi un mese. A questo proposito, tutti gli spettatori e le organizzazioni che parteciperanno all’evento dovrebbero prendere precauzioni per proteggersi da ogni possibile rischio informatico correlato.
In particolare:

  • mantenendo sempre aggiornati software e tool di sicurezza;
  • prestando attenzione alle numerose strategie di truffa basate sull’ingegneria sociale;
  • non utilizzando credenziali, password o dati della carta di credito su siti o piattaforme di cui non si è certi dell’ufficialità e sicurezza.


È consigliabile inoltre di:

  • controllare sempre i link prima di fare click, passando il mouse sopra di esso per visualizzare l’anteprima dell’indirizzo reale (URL);
  • prestare attenzione in generale ai messaggi non richiesti che chiedono verifiche di sicurezza o aggiornamenti;
  • fare attenzione alle informazioni condivise online o sui social media;
  • impostare quando possibile l’autenticazione multi fattore;
  • utilizzare solo app store legittimi (come gli store di Apple e Google) per il download di applicazioni, rivedendo le relative autorizzazioni di accesso concesse;
  • utilizzare una soluzione di sicurezza affidabile che identifichi allegati malevoli e blocchi lo spam; 


In particolar modo per le organizzazioni è sempre raccomandabile adottare un approccio proattivo basato sul rischio per adattare la propria strategia di sicurezza a specifiche esigenze e vulnerabilità, considerando probabilità di accadimento e potenziali impatti.
 
 


Continua a leggere
CISO: il giusto equilibrio tra competenze tecniche e manageriali

CISO: il giusto equilibrio tra competenze tecniche e manageriali

18 Nov 2022

Con la crescente digitalizzazione, il ruolo del CISO diventa sempre più importante.
Il CISO (Chief Information Security Officer) ha, infatti, la responsabilità di garantire la sicurezza delle informazioni elettroniche di un'organizzazione e di sviluppare e implementare politiche e procedure di sicurezza.

Con volume e varietà di minacce informatiche in continua crescita, il CISO deve essere costantemente consapevole dei nuovi rischi e di come proteggersi da essi. Deve inoltre possedere una profonda conoscenza della tecnologia e del business, per bilanciare efficacemente le preoccupazioni relative alla sicurezza con le esigenze aziendali.

Il ruolo del CISO è spesso visto come una integrazione tra quello di un “tecnologo” e quello di un dirigente aziendale.

Per questo motivo, i CISO di successo devono essere in grado di comunicare efficacemente con entrambi i gruppi. Devono essere in grado di comprendere i dettagli tecnici delle varie minacce e soluzioni di sicurezza, ma anche di spiegare questi concetti al personale non tecnico in modo che possa comprenderli ed adottarli.

Oltre alle competenze tecniche e comunicative, i CISO devono anche possedere forti qualità di leadership. Devono essere in grado di ispirare e motivare il proprio team, nonché di costruire relazioni con gli altri reparti dell'azienda per ottenere l'adesione alle iniziative di sicurezza.

Il ruolo di CISO è impegnativo, ma è anche fondamentale per qualsiasi organizzazione che si affida alla tecnologia. Con le giuste competenze e qualifiche, un CISO può essere la chiave per mantenere un'organizzazione al sicuro dalle minacce informatiche.

Differenza tra CISO, CIO e CSO

Un CISO è responsabile della sicurezza delle informazioni di un'organizzazione, mentre un CIO è responsabile della gestione complessiva delle informazioni. I CISO si occupano in genere di proteggere i dati dalle minacce esterne, mentre i CIO si concentrano sull'uso efficiente ed efficace delle informazioni all'interno dell'organizzazione.

Negli ultimi anni, i ruoli di CISO e CIO sono diventati sempre più interconnessi, poiché le organizzazioni riconoscono la necessità di un approccio olistico alla gestione delle informazioni. Di conseguenza, molte organizzazioni hanno sia un CISO che un CIO, ognuno dei quali svolge un ruolo fondamentale nel garantire la sicurezza e l'efficienza del sistema di gestione delle informazioni dell'organizzazione. Infine, tali ruoli devono essere separati e indipendenti tra loro, con il principale obiettivo di garantire una segregazione dei ruoli tra chi protegge le informazioni e chi operativamente deve gestirle.

Spesso si fa inoltre confusione tra i ruoli di CISO e CSO.
Il CISO, o Chief Information Security Officer, è responsabile dello sviluppo e dell'implementazione della strategia di sicurezza delle informazioni digitali di un'organizzazione. Un CSO, o Chief Security Officer, è responsabile di tutti gli aspetti della sicurezza, compresa la sicurezza fisica, la sicurezza delle informazioni e la gestione delle crisi.

La differenza principale tra un CISO e un CSO è che un CISO si concentra sulla sicurezza digitale, mentre un CSO supervisiona tutte le operazioni di sicurezza di un'organizzazione. Sebbene entrambi i ruoli siano importanti, l'ambito di responsabilità di ciascuna posizione può variare a seconda delle dimensioni e delle esigenze dell'azienda.

Nelle organizzazioni più piccole, le posizioni di CISO e CSO possono essere combinate in un unico ruolo. Nelle organizzazioni più grandi, il CISO può riferire al CSO. Indipendentemente dalla struttura organizzativa, entrambi i ruoli sono essenziali per sviluppare e mantenere un ambiente sicuro.

Gli skill essenziali del CISO


Le principali competenze che un CISO deve possedere sono:

1. Forte conoscenza tecnica: Un CISO deve avere una solida conoscenza di tutti gli aspetti della sicurezza delle informazioni, dalla crittografia alla sicurezza delle reti.

2. Notevoli capacità di leadership: Un CISO deve essere in grado di gestire efficacemente un team di professionisti della sicurezza e di coordinare le attività di più team all'interno dell'organizzazione.

3. Ottime capacità di comunicazione: Un CISO deve essere in grado di comunicare efficacemente con il personale tecnico e non tecnico, nonché con le parti interessate esterne come azionisti, clienti e partner.

4. Grande capacità di risolvere i problemi: Un CISO deve essere in grado di identificare e risolvere problemi complessi in modo rapido ed efficiente.

5. Ottime capacità di project management: Un CISO deve essere in grado di gestire efficacemente progetti di sicurezza complessi dall'inizio alla fine.

6. Spiccate capacità analitiche: Un CISO deve essere in grado di analizzare efficacemente dati e informazioni per identificare tendenze e modelli.

7. Acume commerciale: Un CISO deve essere in grado di comprendere gli obiettivi aziendali dell'organizzazione e di allineare il programma di sicurezza a tali obiettivi.

8. Profonda comprensione della tecnologia: Un CISO deve avere una solida conoscenza delle tecnologie attuali ed emergenti e di come queste possano essere utilizzate per migliorare la sicurezza di un'organizzazione.

9. Conoscenza adeguate delle normative: Un CISO deve avere una solida conoscenza delle leggi e dei regolamenti applicabili, nonché del loro impatto sulla sicurezza dell'organizzazione.

10. Spiccate capacità di relazione: Un CISO deve essere in grado di comunicare efficacemente con tutti i livelli dell'organizzazione, dalla direzione generale ai dipendenti in prima linea. Deve anche essere in grado di illustrare chiaramente gli obiettivi del programma di sicurezza, i suoi successi e le sue sfide.


Come opera un CISO in azienda?


Il CISO, o Chief Information Security Officer, è responsabile dello sviluppo e dell'implementazione del programma di sicurezza delle informazioni di un'organizzazione.

Ciò include la creazione e l'applicazione di politiche e procedure per proteggere i dati da accessi o distruzioni non autorizzati.

I CISO collaborano anche con il management esecutivo per garantire che le preoccupazioni relative alla sicurezza siano prese in considerazione quando si prendono le decisioni aziendali.

Inoltre, i CISO collaborano con gli altri reparti dell'organizzazione per garantire che la sicurezza sia presa in considerazione in tutti gli aspetti delle operazioni.

Cosa fa concretamente un CISO nella vita di tutti i giorni?

In genere, i CISO sono responsabili dei seguenti compiti:

  • Sviluppare e implementare politiche e procedure di sicurezza delle informazioni
  • Applicare i controlli sulla sicurezza delle informazioni
  • Monitoraggio della conformità alle politiche e alle procedure di sicurezza delle informazioni
  • Condurre valutazioni del rischio
  • Indagare sugli incidenti di accesso non autorizzato o di perdita di dati.
  • Coordinamento con altri dipartimenti per garantire che la sicurezza sia presa in considerazione in tutti gli aspetti delle operazioni.
  • Fornire formazione su argomenti relativi alla sicurezza delle informazioni
  • Collaborare con il management esecutivo per garantire che le problematiche di sicurezza siano prese in considerazione nelle decisioni aziendali.


Queste sono solo alcune delle numerose responsabilità che rientrano nella sfera di competenza di un CISO. Come si può notare, si tratta di un lavoro complesso e impegnativo, che richiede un'ampia gamma di competenze e conoscenze.

Una delle responsabilità più importanti di un CISO è la scelta dei giusti controlli di sicurezza delle informazioni per la propria organizzazione. Questo può essere un compito davvero gravoso, poiché esistono letteralmente migliaia di controlli di sicurezza diversi tra cui scegliere.
Il CISO deve avere una buona comprensione dei rischi e delle esigenze dell'organizzazione per selezionare i controlli più efficaci.


Un'altra responsabilità fondamentale del CISO è il monitoraggio della conformità alle politiche e alle procedure di sicurezza delle informazioni. Ciò include la garanzia che i dipendenti seguano le procedure corrette quando trattano dati sensibili, come la crittografia delle e-mail contenenti informazioni riservate.

Quali soluzioni per la sicurezza delle informazioni in azienda?


Quando si parla di sicurezza, non esiste una soluzione unica. Il modo migliore per proteggere la vostra organizzazione è adattare la strategia di sicurezza alle vostre esigenze specifiche. Lavorando con un team di esperti di sicurezza, potete sviluppare un piano completo che vi aiuterà a mantenere la vostra azienda al sicuro da ogni tipo di minaccia.

Un CISO è un partner strategico che può aiutarvi a navigare nel panorama in continua evoluzione delle minacce alla sicurezza. Soprattutto nelle PMI questo ruolo non deve essere sottovalutato, anzi deve essere sempre di più favorito e introdotto all'interno delle organizzazioni aziendali.

Lavorerà con voi per sviluppare un piano personalizzato che tenga conto delle vostre esigenze aziendali. I CISO hanno anche il compito di tenersi aggiornati sulle ultime tendenze e tecnologie di sicurezza, in modo da potervi consigliare il modo migliore per proteggere la vostra azienda e renderla meno vulnerabile.

Collaborare con un CISO è un investimento per il futuro di ogni azienda, per renderla pronta ad affrontare qualsiasi sfida in un mondo sempre più digitale e complesso.

Francesco Nonni @ F3RM1 Foundation


Continua a leggere
La sicurezza dei dispositivi IoT

La sicurezza dei dispositivi IoT

28 Oct 2022

L'internet delle cose (Internet of Things) è un concetto applicato al mondo digitale secondo cui gli oggetti si rendono riconoscibili in quanto possono comunicare dati e informazioni che li riguardano, ampliando così le già ampie potenzialità del web.


Seguendo questa filosofia, qualsiasi "cosa" può acquisire un ruolo attivo grazie al suo collegamento in rete, facendo riferimento a specifiche categorie comprendenti apparecchiature, dispositivi, attrezzature e servizi in genere.


A tal proposito si parla di smart object (oggetti intelligenti) che si caratterizzano per i seguenti requisiti:

- connessione;

- identificazione;

- localizzazione;

- capacità di interazione;

- capacità di elaborazione dati.


Il principale obiettivo dell'IoT è quello di tracciare una mappatura digitale del mondo reale, offrendo una precisa identità elettronica agli oggetti.

In un simile sistema, gli oggetti creano dunque un sistema d'interconnessione che sfrutta numerose tecniche di comunicazione, valorizzando le opportunità delle "cose" collegate tra loro.

Si tratta di un paradigma tecnologico fornito di uno sconfinato parco applicativo, capace di incidere profondamente sull'efficienza di imprese, aziende e istituzioni economiche.

Come conseguenza si può realizzare un effettivo miglioramento della qualità della vita, con risvolti ad ampio raggio.

Sono trascorsi circa 20 anni dalla nascita di IoT, durante i quali l'evoluzione non si è mai fermata, ma al contrario ha incentivato sempre più l'evoluzione smart in qualsiasi settore.

Attraverso il web ogni oggetto acquista una sua identità digitale sviluppando una connessione intelligente e scambiando informazioni raccolte ed elaborate.



Sicurezza dei dispositivi IoT

La sempre maggiore diffusione dei dispositivi IoT da un lato garantisce indubbi vantaggi a livello di automazione e di produttività, ma d'altro lato implica notevoli problematiche di sicurezza.

Secondo le più recenti proiezioni statistiche di Juniper Research, entro 3 anni saranno circa 83 miliardi le connessioni IoT basate su sensori e infrastrutture “intelligenti”.

Questi dati si collegano all'enorme problema della sicurezza informatica, dal momento che a tutt'oggi l’attenzione alla protezione di questi dispositivi e dei dati in essi contenuti non è così elevata.

Bisogna pertanto cercare di identificare i settori maggiormente soggetti a vulnerabilità, applicando adeguati sistemi di sicurezza.

Per valutare il grado di sicurezza informatica è necessario prima di tutto individuare le potenziali minacce e i rischi associati per scongiurare il pericolo di impatti negativi.


Basti pensare ad alcuni esempi già disponibili al giorno d’oggi come i sistemi di video sorveglianza controllati da remoto, i veicoli a guida autonoma, oppure le catene di produzione automatizzate e gestite a distanza. E’ indubbio il loro valore per la società e le aziende, ma altrettanto chiaro che se il controllo passa nelle mani sbagliate, i potenziali danni potrebbero risultare devastanti. 


Proprio per questo motivo la IoT Security è un problema molto serio.


Un solo esempio può rappresentare l’importanza del problema. Il progetto ot:icefall ha analizzato 26 modelli di dispositivi IoT offerti da 10 differenti produttori e, in questo piccolo campione, ha evidenziato 56 differenti vulnerabilità nei dispositivi IoT dovuti a difetti di progettazione che potrebbero essere sfruttati da attaccanti per accedervi e manometterli. Molti di questi prodotti, addirittura, sono venduti come “secure by design” oppure con allegate certificazioni di sicurezza.

Le vulnerabilità individuate sono suddivise in queste categorie principali: 

- protocolli non sicuri; 

- crittografia debole o schemi di autenticazione non funzionanti;

- aggiornamenti firmware non sicuri;

- possibilità di esecuzione di codice remoto tramite funzionalità nativa.


Il rapporto sottolinea come i produttori di tecnologia debbano migliorare la sicurezza dei loro dispositivi, implementando sistemi innovativi come schemi di autenticazione, crittografia e aggiornamento dei firmware adeguati dal momento che il 14% delle vulnerabilità può comportare l’esecuzione di codici da remoto, un 21% la manipolazione del firmware e ben il 38% la compromissione delle credenziali.


Vi è inoltre un’altra tendenza che acuisce la problematica che è la tendenza a “dimenticarsi” dell’esistenza di questi dispositivi. Gli utenti e le aziende tendono a portare poca attenzione, ad esempio, al continuo aggiornamento dei dispositivi o alla loro sostituzione a seguito della loro obsolescenza. Il supporto da parte delle aziende produttrici, infatti, non è infinito e spesso il vortice del progresso tecnologico e dell’uscita di sempre nuovi dispositivi, rende gli IoT acquistati e adottati magari pochi anni prima del tutto obsoleti e non più “aggiornabili” lasciando potenzialmente aperte importanti falle nelle nostre reti informatica, aziendali o casalinghe che siano.


L’aspetto, infine, più problematico del tema è che i dispositivi IoT soggetti a queste vulnerabilità sono sempre più utilizzati in settori strategici e di vitale importanza come quello della distribuzione di energia, trattamento e distribuzione dell’acqua, estrazione mineraria e automazione degli edifici.

Ciò spiega l’aumento degli attacchi informatici degli ultimi anni contro strutture quali acquedotti, centrali elettriche, impianti petrolchimici etc.


Inoltre anche i singoli dispositivi IoT ad uso privato possono essere soggetti a queste vulnerabilità; infatti molti dei nostri apparecchi connessi alla rete se privi di un’ adeguata protezione possono essere manomessi da attaccanti non solo sottraendo dati sensibili presenti nei nostri oggetti, ma anche prendendo il controllo di alcuni dispositivi quali ad esempio le web cam compromettendo la nostra privacy.


A tal proposito degno di nota è il progetto Shodan; si tratta di un motore di ricerca che permette sia di effettuare una scansione della rete e vedere quali dispositivi sono connessi, sia di capire quali sono esposti dal punto di vista della sicurezza. 

Per questa ragione i principali utenti che fanno uso di Shadan sono principalmente professionisti della sicurezza informatica, forze dell’ordine e ricercatori.

Ad esempio nel 2021 Shodan è stato utilizzato da AT&T (la più grande società di telecomunicazioni del mondo per fatturato e la terza per fornitura di telefonia mobile negli Stati Uniti) per rilevare i dispositivi IoT infettati da malware.


Tuttavia è bene tenere a mente che anche se a tutt'oggi la consapevolezza, in merito ai pericoli degli attacchi informatici, delle aziende produttrici e degli utilizzatori dei dispositivi IoT sia aumentata, il rischio di compromissione rimane decisamente elevato.


Francesco Nonni @ F3RM1


Continua a leggere
L’importanza della cultura della sicurezza

L’importanza della cultura della sicurezza

14 Oct 2022

Negli ultimi decenni lo sviluppo tecnologico ed informatico ha condizionato e modificato radicalmente la vita di tutto il mondo. Grazie all'innovazione del ventunesimo secolo, infatti, c'è stata una vera e propria scoperta del mondo digitale che adesso è diventato centrale all'interno della nostra esistenza. Sono nati nuovi lavori online, si è sviluppato lo smark working, e così via dicendo.
Il progresso informatico ha creato nuove opportunità dando tantissimi benefici e vantaggi; nonostante ciò, però, ogni cosa ha anche dei lati negativi che vanno analizzati attentamente per riuscire a sfruttare questo nuovo mondo in modo proficuo senza incappare in spiacevoli situazioni di pericolo e disagio.

Cultura della sicurezza: cos'è e perchè è importante

Ciò che influisce sulla sicurezza digitale è innanzitutto il pensiero unito a tutte le abitudini e il comportamento sociale di ogni individuo all'interno di questo mondo. Spesso si pensa che si è sicuri, quando in realtà non lo si è. Dunque, è un bene capire in che modo bisogna sempre tutelarsi cercando di comprendere che questo aspetto è fondamentale all'interno di qualsiasi mondo, in particolar modo quando ci troviamo sul web. La cultura della sicurezza di un'organizzazione è fondamentale per la sua capacità di proteggere le informazioni, i dati e la privacy dei dipendenti e dei clienti.
Alcune aziende stanno iniziando a capirlo cercando di lavorare sempre di più in merito a questo aspetto attraverso lo stanziamento di fondi dedicati per sviluppare la migliore sicurezza possibile e proteggere i propri utenti. Stanno andando oltre gli approcci tattici e contingenti alla sicurezza e riconoscono che una sicurezza efficace a livello aziendale richiede un approccio strategico a lungo termine che si concentri sulla comunicazione e sulla cultura.
Questo è l'unico modo per riuscire ad evitare infausti risultati in caso di attacchi informatici e per riuscire a proteggere tutti i dati sensibili all'interno, per esempio, di un qualsiasi sito web (informazioni personali, dati, conti, carte, ecc...).
Ognuno di noi diventa, quindi, una parte importante della sicurezza aziendale come elemento di prevenzione e protezione. Gli obiettivi da raggiungere devono essere chiari e fare tutto il possibile per raggiungerli.

In primo luogo, è necessario dare il buon esempio.

Risulta quindi fondamentale che la cultura della sicurezza parta dal Top Management che oltre a sponsorizzarla deve essere anche un modello di comportamento per tutti i dipendenti.

Perchè il mondo digitale può essere pericoloso?

La criminalità informatica è molto pericolosa ed è infatti fondamentale cercare di prevenire gli attacchi informatici; nonostante ciò, però, bisogna capire quali possano essere le insidie del mondo digitale per cercare di evitarle.
La criminalità informatica comprende l'uso improprio di informazioni private e personali, nonché di informazioni sensibili, rubate via Internet dalle reti aziendali o dalle carte di credito personali. Il phishing e il furto di identità attraverso i social network sono veri e propri crimini informatici in costante aumento, secondo i rapporti della polizia di stato. I ransomware, veri e propri ricatti informatici dove i criminali richiedono riscatti in denaro per non pubblicare o distruggere le informazioni di cui sono venuti in possesso e che hanno reso indisponibili - tramite cifratura - al reale proprietario, sono solo l’ultima tendenza.

Cyber security: come funziona e come adottarla in maniera efficace

La sicurezza informatica si concentra sulle qualità di resilienza, robustezza e reattività che la tecnologia deve possedere per rispondere agli attacchi informatici che possono colpire individui, aziende private, istituzioni pubbliche e organizzazioni governative.
La sicurezza informatica deve essere una priorità assoluta per qualsiasi tipo di attività, perché i rischi informatici sono ovunque: basta aprire una semplice e-mail, scaricare un file apparentemente innocuo per cadere nella trappola di un attaccante ed essere vittima di un crimine informatico.
L'elenco delle potenziali minacce è ampio, ma gli attacchi informatici più comuni si basano principalmente sull'uso dei seguenti strumenti/tecniche:

  • Malware: sono codici o programmi dannosi in grado di compromettere e mettere a rischio un sistema informatico. Questi codici vengono utilizzati per danneggiare in modo preciso computer, reti o sistemi. Attraverso l'utilizzo dei malware gli attaccanti cercano di acquisire il controllo dei sistemi per poi reperire tutte le informazioni utili e pertinenti;
  • SQL injection: è una tecnica che permette di inserire ed eseguire codice imprevisto in un'applicazione web che interroga un database sfruttando alcuni bug nella programmazione;
  • Phishing: si tratta di un attacco informatico con cui si cerca di acquisire i dati personali degli utenti attraverso tecniche di ingegneria sociale: delle tecniche di inganno, truffa e trappole che non hanno a che vedere con vulnerabilità tecnologiche, ma piuttosto con l’interazione tra le persone;
  • Man in the middle: è un tipo di attacco informatico che consente agli aggressori informatici di intercettare e manipolare il traffico Internet;
  • Denial of Service: con questa metodologia si cerca di tempestare un sito web di richieste false in modo da sovraccaricare il sistema e rendere il sito web inagibile e inutilizzabile ai reali utilizzatori.


Cultura della sicurezza: ecco come costruirla in modo efficace

Le organizzazioni possono intraprendere alcuni passi molto pratici e attuabili per sviluppare e promuovere una forte cultura della sicurezza. Per riuscire a costruire la cultura della sicurezza bisogna tener conto di alcuni fattori fondamentali che sono a dir poco indispensabili per migliorare la sicurezza digitale:

  • Atteggiamento: i sentimenti e le convinzioni dei dipendenti sui protocolli e sui problemi di sicurezza. I dipendenti devono avere un atteggiamento positivo verso l’attuazione di pratiche sicure e non dannose;
  • Comportamento: comportamento dei dipendenti che ha un impatto diretto o indiretto sulla sicurezza. In aggiunta al giusto atteggiamento, ogni dipendente deve sapere cosa fare e cosa non fare per proteggere i dati aziendali;
  • Consapevolezza: comprensione, conoscenza e consapevolezza da parte dei dipendenti dei problemi e delle minacce di sicurezza;
  • Conformità e standard: definizione di chiare, comprensibili e disponibili a tutti, politiche di sicurezza. Le regole base a cui tutti devono attenersi;
  • Comunicazione: i canali di comunicazione promuovono un senso di appartenenza e forniscono supporto per problemi di sicurezza e segnalazione degli incidenti. Essi sono inoltre fondamentali affinchè vi sia adeguata consapevolezza;
  • Responsabilità: i dipendenti devono comprendere il proprio ruolo come un fattore chiave nell'aiutare o compromettere la sicurezza.
  • Sponsorship: l’esempio e il commitment deve provenire dal Top Management.

Come creare un programma di Cultura della Sicurezza

Ma come creare un programma di Cultura delle Sicurezza all’interno della propria azienda? Di seguito riporteremo una breve guida sui passaggi fondamentali per raggiungere tale scopo.
Come prima cosa è necessario creare un gruppo di lavoro per promuovere la Cultura della Sicurezza; questo team di lavoro avrà il compito di formare sia la conoscenza sia il programma della Cultura della Sicurezza oltre che supervisionarne l’attuazione all’interno dell’azienda.
Successivamente serve una chiara comprensione del business e una valutazione del rischio, vale a dire la chiara comprensione delle attività e procedure realmente importanti per l’azienda. Fondamentale sarà la mappatura e la valutazione delle misure di sicurezza presenti, in modo da identificare eventuali criticità e implementarne di nuove.
A questo punto bisogna definire gli obiettivi principali e i criteri di successo per valutare quando questi obiettivi vengono raggiunti.

Una volta definiti gli obiettivi è necessario fare una “fotografia” della situazione attuale presente in  azienda e calcolare il divario presente tra questa e gli obiettivi fissati (la cosiddetta “gap analysis”).

Sulla base di questa analisi si selezioneranno le attività da eseguire per colmare un eventuale divario tra la situazione attuale e gli obiettivi fissati.

I principali mezzi per raggiungere la consapevolezza all’interno dell’azienda

Una volta definita la strategia per aumentare la consapevolezza all’interno dell’azienda, è necessario scegliere le giuste modalità per raggiungere gli obiettivi prefissati. Non esiste una ricetta che possa soddisfare le esigenze e peculiarità di ogni singola azienda, ma di seguito elenchiamo le principali attività che possono essere valutate nella scelta delle azioni più appropriate da implementare.

  • Corsi di formazione: i corsi di formazione sono sicuramente la principale modalità di diffondere la cultura della sicurezza. Essi possono aiutare a spiegare l’importanza della sicurezza, le procedure aziendali in essere, come riconoscere le minacce e i comportamenti da adottare in caso di minacce. La chiave fondamentale di un corso di sicurezza è quello di coinvolgere il dipendente. L’uso di video, slide, giochi e interazioni con il personale sono la migliore modalità per rendere accattivante un corso di sicurezza. In caso di grandi numeri, la migliore modalità di erogazione è un corso online, magari registrato. Viceversa, la maggiore efficacia si ottiene con corsi in aula (fisica o virtuale), dove l’interazione con l’insegnante sicuramente mantiene più alta l’attenzione e aumenta le possibilità di confronto.
  • Video, pillole, articoli: un'altra modalità di diffusione della sicurezza è quella di predisporre video e articoli sulla sicurezza da veicolare tramite le modalità di comunicazione già presenti in azienda (es. newsletter per i dipendenti, bacheca aziendale, sito intranet, etc.)
  • Testimonianze del top management: uno dei migliori modi di aumentare la consapevolezza all’interno dell’azienda è certamente il buon esempio. Se l’alta direzione in prima persona si espone per sottolineare l’importanza della sicurezza in azienda, i dipendenti non potranno che cogliere la sua rilevanza. Veicolare questi messaggi durante le riunioni aziendali, i workshop, gli eventi più o meno formali è un metodo efficace e di grande valore.
  • Giochi e test: a volte si impara sbagliando. Le simulazioni di attacchi (es. false email di phishing) sono una delle modalità più efficaci per fare comprendere al dipendente come evitare le situazioni di pericolo. Non solo queste modalità aiutano a saper riconoscere i veri attacchi informatici quando essi accadono, ma anche a comprendere il livello attuale di consapevolezza in azienda e l’efficacia delle azioni intraprese.

Questi sono solo alcuni suggerimenti che possono essere messi facilmente in pratica in azienda. E’ però fondamentale rimarcare una caratteristica comune che ogni programma di formazione e consapevolezza deve avere: la costanza. Le azioni devono essere periodiche e frequenti nel tempo, per garantire che l’attenzione alle tematiche di sicurezza siano sempre elevate.

Francesco Nonni @ F3RM1 Foundation


Continua a leggere
Gli attacchi alla multi factor authentication: le principali minacce a questa fondamentale arma di protezione dei nostri account

Gli attacchi alla multi factor authentication: le principali minacce a questa fondamentale arma di protezione dei nostri account

30 Sep 2022

Da molti anni a questa parte si è ormai imposta come standard di cyber security presso molte aziende l'autenticazione a più fattori (indicata dall'acronimo inglese MFA) che, giorno dopo giorno, dimostra essere la pratica più efficace per tenere al sicuro i propri dati dalle minacce degli attacchi informatici.
Questo meccanismo, ad oggi, sta dimostrando di essere un buon metodo di sicurezza informatica se viene ben implementato ma, al contempo, si può tramutare spesso in un disastro, soprattutto se gli sviluppatori utilizzano delle scorciatoie o trucchi per rendere più facile utilizzare i loro sistemi.

Cos'è la multi factor authentication e chi la usa

Brevemente, l'autenticazione a più fattori è un meccanismo che supera il tradizionale binomio “nome utente” e “password” per identificare un utente e permettergli l'accesso a vari sistemi informatici.
Nello specifico, il sistema per l'accesso ai dati protetto dalla sicurezza informatica tramite MFA richiede l’uso combinato due fattori:

  • Qualcosa che si conosce, come un passcode o un PIN;
  • Qualcosa che si possiede, come una smart card o un token, una caratteristica fisica, che rientra nella biometria come ad esempio il volto, la voce o un'impronta digitale.

L'utilizzo combinato di questi requisiti permette di ottenere una maggiore sicurezza, complicando di fatto il lavoro dell'attaccante che a questo punto deve sottrarre all'utente più di un identificativo, rendendogli addirittura molto complicato riprodurre ovvero ottenere l'autenticazione se questa è basata addirittura sulle caratteristiche fisiche.

Secondo alcuni sondaggi condotti da Microsoft di recente, solamente lo 0,01% degli account di privati cittadini utilizzano sistemi di MFA all'interno dell'ambiente Windows. Il numero cresce per quanto riguarda gli account aziendali, con l'11% del totale, ma sono numeri ancora distanti da una percentuale adeguata per poter parlare di mitigazione dei rischi alla sicurezza informatica.

Di recente, l'utilizzo dell'autenticazione a più fattori sta crescendo e il merito deve andare, in parte, anche alla Pandemia da Covid19: i datori di lavoro, costretti ad organizzare sistemi di lavoro da remoto, hanno cominciato ad investire in progetti di sicurezza per lo sviluppo di MFA per proteggersi tanto da attaccanti organizzati quanto da attacchi informatici singoli e randomizzati sulla rete.

Nella stessa direzione, anche altri colossi del digitale hanno investito pesantemente nell'introduzione di sistemi di sicurezza informatica che prevedono l'autenticazione in più fattori.

Google, ad esempio, l'ha resa una procedura obbligatoria per tutti i suoi account utenti. Apple, invece, ha rilasciato Safari 14 con l'implementazione dei protocolli di FIDO2 mentre risalgono all'anno scorso le dichiarazioni di Joe Biden, il quale ha dichiarato che tutte le agenzie esecutive degli Stati Uniti d'America avrebbero a breve adottato sistemi di MFA.

Naturalmente, gli attaccanti non sono rimasti a guardare e, nel corso del tempo, hanno studiato le falle e i problemi dell'autenticazione a più fattori per riuscire a trovare dei modi per minare comunque la sicurezza informatica degli utilizzatori. Questa tecnologia, infatti, non è esente da rischi e alcuni dei metodi più intelligenti e funzionali per violare l'autenticazione a due fattori si riscontrano nel phishing, finalizzato a sottrarre agli utenti legittimi chiavi e password per la sicurezza MFA.

Le minacce alla Multi factor Authentication


Gli attacchi informatici contro i sistemi di MFA sono in continuo aggiornamento perché le competenze e le conoscenze su queste pratiche aumentano man mano che i malintenzionati accrescono le loro conoscenze o individuano una falla. Eccone una lista dei principali.

1. Attacchi man-in-the-middle con SMS.
Questo sistema per violare la MFA attacca tutte le procedure che prevedono l'utilizzo di codici monouso inviati tramite messaggio di testo al numero di cellulare collegato all'account. Tramite questo metodo, gli attaccanti che vogliono minare la sicurezza informatica sottraggono il numero di telefono dell'utente e ricevono il codice al posto del reale destinatario, prima di utilizzarlo. I metodi utilizzati per attuare effettivamente questo attacco sono diversi. Uno, ad esempio, prevede clonazione della SIM per dirottare i messaggi diretti ad un determinato numero di telefono verso una SIM differente. La clonazione può avvenire tramite tecniche di social engineering, così da indurre gli operatori di telefonia mobile a emettere una nuova SIM card, oppure, corrompendo chi lavora presso uno store o presso il customer care dei provider, o con l’uso di documenti falsi.

2. Attacchi pass-the-cookie.
Con questo metodo, l’attaccante è in grado di estrarre dei dati necessari all'autenticazione in due fattori utilizzando i cookie del browser che l'utente utilizza. Questo perché questo strumento memorizza i dettagli di autenticazione nello stesso: una pratica che, per favorire la comodità dell'utente, permette al malintenzionato di estrarre dati utili da utilizzare in futuro per i suoi scopi illeciti.

3. Ingegneria sociale.
Anche per rubare dati di autenticazione in due fattori, gli attaccanti possono utilizzare metodi di ingegneria sociale come lo shoulder surfing. Un caso celebre, ad esempio, è quello dell'attaccante che telefona al malcapitato fingendosi un rappresentante della sua banca, chiedendogli i dati della sua autenticazione in due fattori per via di un controllo che stanno operando per poi svuotare il conto corrente della vittima.

Francesco Nonni @ F3RM1 Foundation

Continua a leggere
8 consigli pratici per la sicurezza delle piccole e medie imprese

8 consigli pratici per la sicurezza delle piccole e medie imprese

09 Sep 2022

La Cyber Security, per le piccole e medie imprese, rappresenta un obiettivo che deve essere necessariamente raggiunto e mantenuto ai massimi livelli, con il fine di evitare attacchi informatici e furti di dati. Non sempre però, i budget e le risorse permettono ad ogni piccola e media impresa di effettuare gli stessi investimenti delle grandi.

Ecco qualche consiglio pratico che ogni azienda, grande o piccola che sia, può mettere in pratica per aumentare il proprio profilo di sicurezza informatica.

1. Effettuare l'aggiornamento dei software

La sicurezza informatica passa sicuramente per l'aggiornamento costante dei software che vengono installati sui propri sistemi informatici, quindi computer e non solo.
L'aggiornamento dei software è fondamentale dato che questo permette l'installazione di nuove patch che risolvono le falle dei sistemi: gli attaccanti, infatti, studiano continuamente i sistemi per capire quali sono le eventuali falle che permettono loro di infiltrarsi in quel sistema informatico. Una volta individuate, i sistemi diventano vulnerabili fintantoché il produttore non trova una soluzione, detta appunto “patch”.
Con un aggiornamento costante, quindi con l’applicazioni delle patch che via via vengono rese disponibili, sarà garantita la sicurezza e la probabilità di un incidente di sicurezza sarà sensibilmente minore.

2. Creare sempre dei file di backup per i dati importanti

Alcuni dati, durante un eventuale attacco informatico, possono subire dei danni, oltre a essere rubati, quindi la manomissione potrebbe impedire l'accesso ai vari sistemi, con conseguente perdita di informazioni fondamentali per lavorare.
Ecco quindi che grazie a una verifica dei file che meritano di essere oggetto di un backup sarà possibile recuperare il proprio lavoro ed evitare che il furto e l'attacco informatico possano causare diverse conseguenze negative alla propria impresa.
Ovviamente occorre studiare nel dettaglio quali sono i vari dati che meritano di essere sottoposti a questa lavorazione, con il fine di evitarne la perdita, definire una appropriata frequenza di salvataggio e individuare “luoghi” sicuri in cui posizionare le copie di back-up.

3. Scegliere con cura i software che sono esposti su internet

Molti programmi che vengono utilizzati nell'ambito lavorativo hanno accesso (e sono quindi accessibili) alla rete internet e questo comporta, quindi, la creazione di diversi punti d'accesso per coloro che vogliono effettuare un attacco informatico.
Una strategia efficace consiste nel scegliere quali sono i diversi software fondamentali che devono rimanere connessi alla rete, rimuovendo quelli superflui.
In questo modo si evita la creazione di molteplici porte d'accesso, evitando quindi di esporre la rete informatica aziendale a potenziali attacchi informatici.

4. Effettuare periodiche ricerche delle eventuali vulnerabilità

Per ridurre le probabilità di un attacco sulla propria rete aziendale, l'installazione di programmi che effettuano costantemente delle scansioni dei propri sistemi rappresenta un'azione fondamentale per la sicurezza informatica.
Tali software, detti vulnerability scanner, permettono di conoscere quali sono le eventuali minacce che si celano nei nostri sistemi, prima che se ne accorgano potenziali malintenzionati, dandoci quindi l'occasione di aggiornarli e metterli in sicurezza.
Infine risulta fondamentale, una volta identificate le vulnerabilità e comprese le loro criticità, agire in maniera tempestiva per porvi rimedio.

5. Controllare costantemente la rete e il perimetro esterno

Anche la verifica costante della sicurezza della rete aziendale rientra tra le operazioni che devono essere svolte affinché sia possibile operare in un ambiente sicuro.
Tale operazione deve essere svolta in maniera costante affinché sia possibile capire quali sono le svariate minacce che possono materializzarsi, quindi fare tutto il possibile affinché queste possano essere scongiurate, prevenendo quindi delle potenziali situazioni negative. Spesso queste attività sono onerose e richiedono monitoraggi h24, quindi è opportuno valutare la possibilità di affidarsi a fornitori esterni che, grazie alle economie di scala, possono offrire servizi continuativi a costi affrontabili, nonchè mettendo a disposizione competenze non sempre disponibili all’interno di una PMI. Sistemi di Security Information and Event Management (SIEM) e Endpoint Detection and Response (EDR) sono le soluzioni tecnologiche minime da adottare, insieme ad un team che le monitori (Security Operation Center) e che intervenga in caso di attacco (Incident Response Team).

6. Controllare gli accessi alla rete e agli account privilegiati

Limitare e controllare gli accessi effettuati nella rete aziendale è un'altra operazione importante che deve essere svolta per evitare che si possano effettuare attacchi con successo.
Quando gli accessi sono molteplici, infatti, difficilmente si riesce a capire quali sono quelli reali, ovvero gli autorizzati, e quali invece effettuati dalle figure esterne che vogliono danneggiare la ditta. Pertanto, con un controllo degli accessi, che deve essere svolto quotidianamente, sarà possibile avere la concreta opportunità di prevenire eventuali sorprese tutt'altro che gradite.
E’ quindi necessario prevedere zone differenti nella propria rete aziendale, segregando le applicazioni, i servizi e i dati critici da quelli meno importanti.
E’ inoltre assolutamente necessario assegnare i privilegi di accesso sulla base della reale necessità degli utenti e gli account amministrativi (cioè quelli con i maggiori privilegi nella nostra rete) devono essere limitati al massimo e difesi e controllati con la massima attenzione (ad esempio imponendo regole più stringenti nelle creazioni delle password, utilizzando software per la gestione degli account amministrativi - sistemi PAM - Privileged Access Management -, attivando l’autenticazione a due fattori, etc.). Gli attaccanti normalmente mirano queste tipologie di account in quanto permettono un accesso diretto agli asset più importanti dell’azienda, nonchè facilitano i movimenti all’interno della rete.

7. Adottare sistemi a doppia autenticazione

Quando si deve accedere a delle informazioni private, permettere l’accesso con un solo fattore di identificazione (es. la sola password) potrebbe essere un grosso errore: un attaccante, infatti, potrebbe riuscire a scoprire quale sia la password o altri dati che gli permettono di accedere a quella rete o sistema aziendale.
Ecco quindi che occorre adottare un approccio a diverse chiavi (detto Multi-Fattore) che permettono l'accesso a tali informazioni: non solo una classica password, ma anche una One Time Password ricevuta sul dispositivo mobile oppure sulla mail associata all’utente, creando quindi una sorta di blocco ulteriore che impedisce alle persone esterne, non in possesso di entrambi i fattori, di poter accedere a tali dati.
In questo modo si aggiunge un ulteriore deterrente per un attaccante, che riscontrando maggiori difficoltà potrebbe abbandonare l'idea di accedere a quel sistema informatico, magari focalizzandosi su altri meno difesi e più facilmente attaccabili.

8. I corsi di sicurezza informatica per il personale aziendale

Ovviamente occorre anche far partecipare il personale dell'azienda a dei corsi di sicurezza informatica, affinché le persone possano capire quali sono i pericoli che si celano in rete, capire come riconoscerli immediatamente e come procedere per poterli evitare.
I corsi devono quindi essere alla base della sicurezza delle informazioni private dell'azienda: un dipendente che riconosce subito un eventuale attacco ha la capacità di sventare quella minaccia e fare in modo che il sistema informatico aziendale possa essere completamente protetto, evitando quindi eventuali situazioni dannose per l'azienda.
Inoltre si incrementa anche l'autonomia dei vari dipendenti, che saranno in grado adottare gli opportuni comportamenti per fronteggiare le minacce che si possono palesare.

Con queste strategie la rete informatica aziendale e i suoi diversi dati saranno sempre e costantemente protetti.

Francesco Nonni @ F3RM1 Foundation

Continua a leggere
Blockchain security: sono davvero impenetrabili gli algoritmi della blockchain?

Blockchain security: sono davvero impenetrabili gli algoritmi della blockchain?

29 Jul 2022

La crescente adozione e il relativo impatto mediatico e finanziario dell’ormai nota tecnologia blockchain ha fatto sì che aumentassero anche le problematiche relative alla sua sicurezza e al contempo anche l’interesse di utenti e investitori nel comprendere in che modo gli algoritmi utilizzati riescano a precludere eventuali attacchi informatici.

E non è affatto un’esagerazione affermare che una delle tematiche più sentite negli ultimi tempi in fatto di sicurezza informatica sia proprio quella relativa alla tecnologia blockchain e all’intero universo che ruota intorno ad essa, a tal punto che saggi specialistici e addirittura corsi universitari incentrati su questo argomento non si contano ormai più.

Ma alla luce di ciò, si può davvero affermare che gli algoritmi utilizzati riescano ad adempiere perfettamente agli elevatissimi standard richiesti dalla blockchain security?

Scopriamolo.

La blockchain in sintesi

Tecnicamente parlando la tecnologia blockchain si configura come una struttura distribuita in grado di assicurare l’archiviazione di dati in un registro digitale. Tale registro analizza tutte le transazioni valide certificandole in blocchi disposti in catene sequenziali.
Ogni qual volta vi siano dei nuovi blocchi di transazioni, questi vengono aggiunti alla blockchain mediante il ricorso alle funzioni di hashing crittografiche e da ciò si può quindi dedurre come la crittografia sia uno dei fattori più rilevanti nel garantire la stabilità e la sicurezza della tecnologia blockchain.

La Blockchain, infatti, raccoglie e archivia le informazioni in gruppi, detti anche "blocchi" e ogni blocco può contenere una certa quantità di dati. Ogni blocco di dati è “concatenato” al blocco precedente  - da qui il nome di Blockchain – creando una catena di dati. Ogni nuovo blocco di informazioni si collega ai precedenti attraverso hash crittografati che devono “combaciare” con gli hash del blocco precedente.

Il database può essere letto e modificato da uno o più nodi di una rete, ma per validarne le modifiche è necessario che i vari nodi raggiungano il consenso.
Nei sistemi di rete distribuita,  Distributed Ledger - le modifiche al registro, cioè  le transazioni che vengono effettuate, devono essere validate tramite algoritmi di consenso, cioè si deve raggiungere il consenso tra le varie versioni del registro in tutta la rete, garantendo così che la transazione è autentica e identica in tutti i registri.

La sicurezza intrinseca del sistema è, di fatto, il fattore di successo di questa tecnologia.

Quali sono le principali minacce nell’uso di questa tecnologia?


Malgrado la crittografia garantisca determinati principi di sicurezza e, per questo, il registro delle transazioni sia a prova di manomissione, anche la blockchain è suscettibile a minacce informatiche ed ha i suoi punti deboli.

Gli attaccanti possono infatti agire su due piani:
Attacchi architetturali: volti a sfruttare eventuali vulnerabilità nell'infrastruttura blockchain,
Attacchi applicativi: finalizzati a colpire le modalità in cui la tecnologia della blockchain è utilizzata, ad esempio facendo leva sul fattore umano o sulla connessione internet utilizzata dall’utente per accedere alla blockchain

Ecco alcuni esempi:

Attacchi Applicativi - Phishing e furto di chiavi
Paradossalmente, una tecnologia così innovativa è minacciata dalla metodologia di attacco più tradizionale e diffusa.  Il phishing si basa sul tentativo di ottenere credenziali di accesso, con messaggi  molto convincenti che sembrano provenire da una fonte sicura. Il phishing è l’attacco più comune e ormai viene usato praticamente ogni canale di comunicazione per adescare la vittima: email, app di messaggistica, social, e persino il telefono.
Ad esempio, la vittima riceve una email che richiede urgentemente di cliccare su un collegamento ipertestuale. In genere la mail chiede di confermare le proprie credenziali per accedere ad un servizio; nel caso specifico viene richiesto alla vittima di confermare il proprio ID associato all’account per accedere ad un network di blockchain. Una volta che l’attaccante ha accesso alle credenziali della vittima (ad esempio il suo wallet digitale), può disporre transazioni o appropriarsi del suo contenuto. Esattamente come quando le Password dei nostri vari account (social, email, profili etc) possono venirci sottratte da qualche malintenzionato anche per le blockchain esiste il medesimo pericolo.
Infatti per entrare in una rete blockchain ogni utente ha un identificativo univoco detto “chiave privata” la quale può essere scoperta da un  attaccante ed utilizzata per accedere alla rete blockchain ad esempio per rubare ingenti quantità di cripto valute agli utenti.

Attacchi Applicativi - Attacchi routing
In questo caso, gli attaccanti intercettano i dati durante il loro trasferimento sulla rete (di solito una rete wi-fi). Infatti durante il trasferimento di dati gli attaccanti possono intercettarli sottraendo informazioni riservate e purtroppo in genere gli utenti non riescono ad accorgersi della minaccia non sapendo che i dati che stanno caricando su una blockchain sono potenzialmente compromessi e visibili agli attaccanti.

Attacchi Architetturali - Attacchi Sybil
In questa tipologia di attacco, che prende il nome dal personaggio di un libro che soffriva di personalità multiple, gli attaccanti creano una massiva quantità false identità per effettuare una enorme numero di accessi al fine di ottenere il controllo di una rete influenzandone le decisioni.
Ad esempio nelle reti come Bitcoin molte decisioni vengono prese mettendole ai voti quindi se un attaccante ha creato diversi profili falsi sarà in grado di votare più volte influenzando l’esito del voto.

Attacchi Architetturali - Attacchi 51%
In questo caso un gruppo di attaccanti raggiunge più del 50% della potenza di mining (estrazione dati) di una rete blockchain prendendone di fatto il controllo e facendo saltare il concetto stesso di rete decentralizzata. Questa tipologia di attacco è usata soprattutto per effettuare la così detta “doppia spesa” che consiste nell’effettuare più transazioni con le stesse cripto valute. Benché questo attacco sia teoricamente possibile, è di fatto in pratica molto complesso da mettere in atto in quanto richiede un investimento molto considerevole di risorse.

Come descritto brevemente in questo articolo, anche le reti Blockchain presentano delle vulnerabilità che, se sfruttate dagli attaccanti, possono costituire delle gravi minacce per la sicurezza informativa di aziende e individui.
In definitiva possiamo rispondere alla domanda di questo articolo - se gli algoritmi della blockchain siano davvero impenetrabili - in maniera affermativa, ma la sicurezza informatica non risiede solo negli algoritmi. Nessun sistema è invulnerabile, poiché le reti, i software e le vulnerabilità umane sono sempre fattori critici.

Francesco Nonni @ F3RM1 Foundation



Continua a leggere