L’IT non è sicurezza IT


Bochum- Molte piccole e medie imprese stanno perdendo il treno in termini di sicurezza IT. In un settore che esige una conoscenza tecnica specifica sono impiegati molti generalisti dell’IT, un approccio tutto da rivedere. Sebbene si registri un iniziale cambiamento, sono molti i reparti IT che si trovano di fronte ad una dura battaglia. 

Cercasi prodigio dell’IT

Osservando la composizione generale dello staff, in effetti tutti fanno un buon lavoro.  A fronte di un organico e di un budget notoriamente ridotti, il reparto IT cerca di svolgere le operazioni quotidiane e contemporaneamente di porre rimedio ad occasionali disservizi dei sistemi. Qual è l’ambito specifico in cui ci si aspettano performance ottimali? In pratica tutti! Dalla creazione di un account utente, alla gestione, installazione e manutenzione del software, dalla pianificazione di reti e sottoreti, alla configurazione dei router e alla manutenzione dell’hardware. Chi lavora nel reparto IT di un’azienda sa che è spesso necessario fare acrobazie per tenere in piedi il business.

IT = sicurezza?

Guardando alla sicurezza IT in modo specifico il quadro si fa più confuso. Chi lavora nell’IT sa che sarebbe necessario cifrare le comunicazioni ove possibile, sa dell’importanza di predisporre diversi diritti di accesso per gli utenti e sa che la sicurezza implica ben più che proteggere dati e risorse con una password. Tuttavia spesso la conoscenza non si spinge al di là di quanto appreso nel corso di laurea.

Il problema è proprio questo: un grande numero di addetti all’IT non sono esperti di sicurezza. Questo non per colpa loro in realtà: nei primi giorni della digitalizzazione dell’ambiente lavorativo, la sicurezza non era una preoccupazione. Ciò che si richiedeva e si richiede ancora sono persone in grado di realizzare e implementare progetti sostenibili e di provvedere alla loro manutenzione. Hanno fatto un ottimo lavoro e lo fanno ancora, tuttavia tutelare una rete in modo efficace richiede maggior impegno. Qualsiasi piano dovrebbe essere concepito in previsione del manifestarsi di un’emergenza. In un mondo ideale, ogni rete è ideata tenendo ben presente la sicurezza. Sfortunatamente la realtà consta prevalentemente di reti cresciute nel tempo che ora vanno protette. Pianificare una rete ex-novo è l’eccezione piuttosto che la regola.

Responsabilità

Se si chiede ad un manager di cos’è responsabile il reparto IT, la risposta più usuale è che il reparto è ovviamente responsabile dei sistemi informatici. Ma che cosa significa esattamente? Di che cosa si ritengono responsabili i tecnici nel reparto IT? Un’altra risposta più esaustiva ma sulla falsa riga della precedente è che il reparto IT si assicura che tutti i PC e i server così come i processi aziendali che ne richiedono l’utilizzo funzionino correttamente. Così l’incarico primario dei tecnici IT risulta essere evidentemente quello di garantire la continuità operativa e di aggiungere e/o sostituire i componenti di quando in quando. Prima che si verificassero problemi di sicurezza a cadenza settimanale, questo era perfettamente appropriato. Ma quando i problemi di sicurezza hanno iniziato ad essere al centro dell’attenzione, è stato chiaro che tali problemi riguardavano componenti IT, di competenza del reparto IT.

La sicurezza IT quale dominio regolato da proprie leggi ha spesso condotto una vita nell’ombra. Nel migliore dei casi tale pratica si traduce in un alto livello di stress per i reparti IT. Nel peggiore dei casi ciò può rappresentare l’origine di incidenti di sicurezza di ingenti dimensioni. In ogni caso, non è più appropriato pensare che il reparto IT debba essere responsabile anche della sicurezza IT.  Gradualmente si sta affermando la consapevolezza del ruolo sempre più importante della sicurezza nel campo del business moderno e connesso. Tutti sanno che un blackout nell’IT causato da un malfunzionamento dell’hardware o un’infezione da malware è un problema- quando non si genera fatturato o non è possibile assemblare i beni richiesti, la società perde denaro. Lo stesso dicasi quando informazioni confidenziali o segreti industriali vengono sottratti o resi di pubblico dominio. Ma le vecchie abitudini sono dure a morire.

Lavoro di squadra

Ecco il nocciolo del problema. La sicurezza necessita di collaborazione e soprattutto di tempo. Nelle organizzazioni tuttavia, in cui il reparto IT è prossimo al punto di rottura a causa delle mansioni accettate, non sorprende che i primi provvedimenti attuati siano quelli dediti a ridurre le attività che necessitano di più tempo e che meno influenzano la manutenzione delle operazioni quotidiane. In tale ambiente, misure di sicurezza approfondite e efficaci non hanno possibilità di ottenere la dovuta attenzione, in particolar modo se gli impiegati o gli alti dirigenti le percepiscono come un intralcio al loro lavoro.

È un dato di fatto che le responsabilità del reparto IT atte al mantenimento delle attività aziendali quotidiane rimarranno le stesse, mentre la richiesta di sicurezza è in costante aumento. La sicurezza IT è diventata molto più di un semplice aspetto secondario dell’IT, perciò non può più essere trattata come tale.  Questo settore richiede una profonda conoscenza e competenza, la sfida per la corretta gestione è rappresentata dal fatto che il management deve saper rendere disponibili tali conoscenze alla propria azienda. Ciò può avvenire attraverso nuove assunzioni, formando lo staff IT esistente o facendo affidamento su fornitori di servizi esterni. Quest’ultimo aspetto può rivelarsi molto sensato per le società che non hanno la capacità di creare una posizione dedicata per un esperto di sicurezza.

Quando tutto ciò che riguarda la sicurezza viene promosso e sostenuto dal management, ottiene una valenza superiore rispetto a quella che avrebbe se un amministratore IT tentasse di proporre o promuovere lo stesso progetto.

La sicurezza IT non è fine a se stessa

Da un lato, si tratta di un argomento che non si dovrebbe sottovalutare in nessuna circostanza. Dall’altra parte, dobbiamo ammettere che il focus della maggior parte delle aziende non è la sicurezza IT, ed è proprio per queste organizzazioni che vale la pena riflettere sulla possibilità di esternalizzare l’aspetto sicurezza dell’IT ad un fornitore dedicato. A lungo termine, non esiste altra soluzione se non questa: le aziende e i fornitori di servizi IT dovranno considerare l’assunzione di specialisti di sicurezza IT oltre ai loro dipendenti IT generalisti. Questo sarà l’unico modo di ottenere un progetto di sicurezza economicamente sostenibile e conveniente.

Continua a leggere

Cyberbullismo – 0 in condotta, seconda edizione


A fronte della forte richiesta di proseguire con le attività di sensibilizzazione condotte nella prima metà dell’anno 2017, G DATA ripropone da febbraio a maggio 2018 l’iniziativa “Cyberbullismo – 0 in condotta” insieme al noto specialista Mauro Ozenda, al fine di educare all’uso corretto del web e dei social network un numero sempre più elevato di allievi e insegnanti. 

Bologna -Trasmettere ai minori una sufficiente competenza nell’uso della Rete e assicurare loro maggior tutela possibile dei propri diritti sui social sono temi che entrano sempre più prepotentemente nel quotidiano delle famiglie italiane, tanto da indurre il legislatore a ben specificare con la legge Legge n. 71 del 29 maggio 2017 “disposizioni a tutela dei minori per la prevenzione ed il contrasto del fenomeno del cyberbullismo”. Un tema che, anche alla luce dei dati emersi dalla prima iniziativa “Cyberbullismo – 0 in condotta” condotta da G DATA insieme allo specialista Mauro Ozenda, spinge entrambi a riproporre nel periodo tra febbraio e maggio 2018 l’attività di sensibilizzazione a dieci nuovi istituti scolastici, ben integrando gli eventuali quesiti che emergono in merito all’attuazione pratica della nuova legge.

Gli incontri rivolti ai bambini, alle famiglie e ai docenti tratteranno i rischi e pericoli della Rete e le misure preventive. Sarà aperto un capitolo dedicato specificamente al cyberbullismo, come oggi identificato dal legislatore, al cyberstalking e all’adescamento online e sarà trattato il tema fake news, al fine di dotare tutti gli interessati di informazioni che consentano loro un uso legale, responsabile e tutelato dei nuovi media.

“Anche per l’anno scolastico 2017/18 la nostra attenzione va ai ragazzi”, commenta Giulio Vada, Country Manager di G DATA Italia, “con l’intento di favorire la presa di coscienza dei pericoli e l’instaurarsi del ruolo attivo di allievi, studenti e personale scolastico contro qualsiasi episodio di cyberbullismo nelle scuole, auspicato dal Ministero dell’Istruzione”.

“Dopo anni di attività svolta nelle scuole mi rendo conto che, oggi più che mai, diventa imprescindibile educare le nuove generazioni ad un utilizzo corretto di Internet e dei Social Media” – afferma il nostro consulente e formatore Mauro Ozenda – “Sono previsti anche incontri con i genitori che, in questo momento, per la maggior parte, si preoccupano ancora troppo poco delle modalità di impiego di smartphone e computer dei propri figli. Consiglio loro sin d’ora di partecipare, per apprendere le giuste nozioni finalizzate a salvaguardare i loro ragazzi, educandoli ad un uso corretto e responsabile e proteggendoli, anche grazie agli strumenti messi a disposizione dalla tecnologia stessa”.

Continua a leggere

Android nel mirino anche nel terzo trimestre 2017


G DATA pubblica la nuova statistica sui malware prodotti ai danni di Android registrati nel terzo trimestre 

Bochum- Con 810.965 nuovi malware per Android registrati nei tre mesi estivi (Giugno/Settembre 2017) e un aumento del 17% rispetto a quanto rilevato nel secondo trimestre, i rischi per gli utenti del noto sistema operativo mobile non accennano a diminuire e rappresentano una minaccia particolarmente accentuata in Italia dove circa il 66% degli utenti di smartphone usa Android (fonte: Statcounter), ma solo un utente su tre dispone di un sistema operativo aggiornato.

Rilevato un nuovo malware per Android ogni 9 secondi

Da Gennaio a Settembre gli analisti G DATA hanno identificato un totale di 2.258.387 nuovi ceppi di malware per Android, di cui 810.965 solo nel trimestre estivo, con una media di 8.815 nuovi rilevamenti al giorno, circa uno ogni nove secondi.

Gli attuali incidenti di sicurezza richiedono un ripensamento da parte dei produttori

Gli attacchi informatici come KRACK, Blueborne e Gooligan o trojan come Xafecopy continuano a fare notizia. Google solitamente reagisce velocemente e pubblica aggiornamenti di sicurezza, tuttavia questi sono frequentemente implementati solo sui suoi stessi dispositivi. In base alle più recenti statistiche di Google, su scala globale solo il 18% degli utenti Android beneficia della versione 7.0 del sistema operativo, che ha già un anno – ancor meno utenti dispongono già della versione successiva. Le falle di sicurezza sono e restano semplicemente aperte. Per molti dispositivi qualsiasi aggiornamento deve essere adattato al sistema operativo modificato del produttore di device mobili. Non è sempre chiaro se l’aggiornamento per un particolare dispositivo sarà mai disponibile.

I dispositivi mobili sono una parte indispensabile della routine digitale, sono compagni sempre presenti e sono utilizzati con crescente frequenza per lo shopping, per le transazioni bancarie oltre che per le attività professionali. Sarebbe opportuno quindi prendere precauzioni, con l’auspicio che i produttori comprendano in via definitiva l’importanza di fornire aggiornamenti o che un’adeguata legislazione imponga ai produttori l’aggiornamento tempestivo del proprio OS come vincolo per la commercializzazione del dispositivo.

Facciamo chiarezza

Indubbiamente gli utenti di tablet e smartphone Android ad oggi percepiscono poco quanto i propri dati (contatti / foto), la navigazione (phishing, infezioni drive-by, dirottamento delle sessioni) e le proprie transazioni bancarie o gli acquisti compiuti tramite device mobili siano a rischio. E’ tuttavia un dato di fatto che la situazione sia ben più allarmante di quanto a volte ipotizzato da alcuni quotidiani o testate generaliste e, di recente, da Altroconsumo, che in un recente articolo (copertina novembre 2017) sminuisce purtroppo l’oggettiva vulnerabilità di Android infondendo nei lettori un’imprudenza ingiustificata nei confronti di un livello di rischio tanto più serio quanto più obsoleto il sistema operativo utilizzato. Ricordiamo che in Italia solo poco più del 30% degli utenti di smartphone e tablet Android si avvale di Nougat (Fonte: Statcounter).

Il 70% degli utenti Android in Italia usa un sistema operativo obsoleto. Fonte: Statcounter

L’articolo di Altroconsumo conclude peraltro che l’allarmismo sull’attuale diffusione dei malware sia generato dai vendor per avvantaggiarsene e che, senza purtroppo illustrare minimamente come siano stati condotti i test, le soluzioni dei più noti produttori comunque non sarebbero in grado di proteggere gli utenti. Ciò, nonostante organizzazioni indipendenti di fama mondiale, come AV-Test, verifichino e certifichino ininterrottamente la capacità di numerosissime applicazioni di prevenire e/o bloccare anche le minacce più complesse.

Dati alla mano, oltre che per coscienza verso gli utenti Android, non possiamo che distanziarci pubblicamente da contenuti di siffatta natura.

Continua a leggere

Repetita “non” iuvant: WAP-billing in malware Android di nuova generazione


Xafecopy si maschera da app per migliorare le prestazioni della batteria

Bochum- Chi è stato indotto ad acquistare un servizio in abbonamento tramite il proprio dispositivo mobile sa quanto sia frustrante, costoso e tedioso liberarsene. Un malware scoperto di recente è in grado di sottoscrivere dozzine di abbonamenti senza che l’utente lo sappia o dia il proprio consenso. Ben amara la sorpresa, quando arriva la bolletta mensile. 

Il WAP-billing non è una novità

Questo modello di abbonamento è stato per decenni un business diffuso e lucrativo, a volte anche pubblicizzato in modo molto aggressivo su canali televisivi musicali. Inviando un messaggio contenente una parola specifica ad un numero telefonico, si ricevevano suonerie telefoniche, wallpaper oroscopi e similari ad un canone settimanale addebitato in fattura. Ciò ha causato forti critiche da parte delle associazioni dei consumatori, dato che non era sempre chiaro ai fruitori che così facendo, avrebbero sottoscritto un abbonamento.

Questo metodo chiamato “WAP-billing” è ancora in uso al giorno d’oggi come forma di pagamento per servizi o donazioni. È possibile sia inviare un messaggio con una parola chiave ad un numero preciso sia inserire il proprio numero su un sito web.

Che cosa significa esattamente WAP?

WAP è l’acronimo di Wireless Access Protocol (protocollo di accesso senza fili) e indica una categoria di tecnologie che sono la base di partenza dell’odierno Internet mobile. Nei tardi anni novanta erano disponibili dispositivi mobili che potevano accedere ad Internet via WAP, anche l’invio di MMS aveva luogo tramite WAP. Il traffico dati era addebitato ad ogni click. Inoltre WAP poteva essere utilizzato per servizi a pagamento spesso con gran dispiacere degli interessati. Nel frattempo gli operatori si sono evoluti, qualora l’utente acceda ad un servizio WAP a pagamento, dirottano dapprima la pagina per informarlo che il servizio non è gratuito.

Abusi attraverso il malware

Entrambe le modalità di fatturazione sono sfruttate da un nuovo malware Android nascosto in una app che dovrebbe “ottimizzare” la batteria del dispositivo. In realtà la app accede in background a vari siti web attivando automaticamente abbonamenti di cui l’utente sarà a conoscenza solo una volta ricevuta la fattura. Ovviamente i fornitori di servizi a pagamento sono obbligati ad implementare misure di sicurezza per evitare tali illeciti.

Infatti solitamente all’attivazione di servizi simili, l’utente deve a risolvere un CAPTCHA o inserire un codice di conferma ricevuto via SMS. Si tratta di misure che il malware Xafecopy elude simulando la pressione sui tasti e trasmettendola in background. In questo modo la app malevola può sottoscrivere un numero potenzialmente illimitato di abbonamenti.

Chiari indizi indicano l’Asia come fonte del malware.

Come proteggersi

  1. Controllare i diritti di accesso richiesti dalla app e domandarsi se siano coerenti con il compito che deve svolgere la app. Perché una app di ottimizzazione della batteria dovrebbe poter inviare messaggi a numeri a pagamento? Sebbene nelle più recenti versioni di Android sia possibile revocare determinate autorizzazioni anche dopo l’installazione, sarebbe più sicuro porsi delle domande installare l’applicazione.
  2. Chiedere al proprio operatore di bloccare l’accesso ai servizi premium. In questo modo è impossibile effettuare sottoscrizioni a servizi tramite WAP, impedendo quindi al malware di prosciugare il conto bancario della vittima mediante abbonamenti indesiderati.
  3. Installare una protezione anti-malware efficace sul proprio smartphone.

Ulteriori informazioni

Per disporre di tutti i dettagli tecnici su Xafecopy basta consultare l’analisi completa del ricercatore G DATA Nathan Stern, disponibile QUI (testo in inglese).

Continua a leggere

Tutti parlano di «exploit», ma di cosa si tratta esattamente?


Immaginate che il recinto del vostro giardino sia danneggiato. Forse vi è noto che la recinzione presenti delle brecce o forse non ancora. Una cosa è certa: qualsiasi malintenzionato può avvalersene per fare irruzione nel vostro giardino e farsi strada verso casa vostra utilizzando i vostri attrezzi da giardino. Analogamente ciò accade con le falle di sicurezza sul vostro computer: i cybercriminali mirano a scovarne il più possibile per condurre i propri attacchi.

Come funziona un attacco con exploit?

Gli exploit sono piccoli programmi che individuano e sfruttano falle nella sicurezza. Il malware, come per esempio un ransomware, viene caricato solo in un secondo momento (“Payload”). Ecco come avviene un attacco.

1. Identificare le vulnerabilità
Gli exploit possono essere nascosti in un documento Word o essere scaricati automaticamente semplicemente visitando una pagina web. Cercano quindi punti attaccabili nell’applicazione con
cui sono stati scaricati (lettori di documenti, browser web ecc.).

2. Depositare un codice malevolo
Quando gli exploit trovano una vulnerabilità adatta, collocano un codice malevolo da qualche parte nella memoria del vostro computer.

3. Manipolazione dei processi delle applicazioni
Un’applicazione funziona compiendo tanti piccoli processi che hanno luogo in successione. L’avvio di un processo dipende dalla conclusione corretta del precedente, un
flusso stabilito esattamente nel codice di programmazione.Gli exploit sono programmati per modificare la sequenza originale in modo da dirottare il flusso dell’applicazione sul codice
manipolato. Ne consegue che non viene eseguito il normale codice dell’applicazione, bensì il codice dannoso infiltrato in precedenza.

4. Attivazione
Una volta attivato il malware può accedere alle funzioni del programma in cui è penetrato e a tutte le funzioni generalmente accessibili del sistema operativo. Quindi l’exploit raccoglie informazioni sul sistema e può scaricare ulteriori codici maligni da Internet.

5. Scaricamento del malware
A questo punto ransomware, trojan bancari o altri malware vengono scaricati sul computer.

Come arrivano gli exploit sul mio computer?

Gli exploit si diffondono prevalentemente in due modi. Nel primo caso si scaricano sul computer navigando, celati dagli altri contenuti della pagina web che si sta visitando. Nel secondo caso si celano nei documenti allegati alle e-mail, in chiavette USB, su hard disk esterni e simili.

Exploit “drive-by”

Lo scaricamento di exploit “drive-by” avviene “di passaggio” senza che l’utente se ne accorga. A tale scopo i cybercriminali manipolano direttamente i banner pubblicitari sulle pagine web o i server a cui sono collegati in modo piuttosto subdolo: tale trucco viene utilizzato anche su pagine affidabili. Basta un click sulla pubblicità per avviare il download in background. Il programma dannoso scaricato cerca quindi vulnerabilità nel browser o tra i plug-in.

L’infezione “drive-by” è quella più utilizzata per diffondere exploit kit. I kit consistono in una raccolta di exploit con obiettivi multipli. Molti kit presentano spesso strumenti per attaccare Flash, Silverlight, PDF Reader e browser web come Firefox e Internet Explorer.

Exploit nei file

Questa modalità di infezione è la più utilizzata per attaccare aziende. Gli exploit vengono diffusi sistematicamente attraverso PDF manipolati e allegati alle e-mail. Il file si presenta come una fattura o un’inserzione ma contiene exploit che dopo l’apertura sfruttano le vulnerabilità di Adobe Reader. Lo scopo di tali attacchi solitamente è lo spionaggio (APT).

Perché le applicazioni sono soggette a vulnerabilità?

Chi sviluppa software scrive righe su righe di codice in diversi linguaggi di programmazione. Spesso i programmatori si avvalgono di librerie di codici messe a disposizione da altri sviluppatori. Con la grande quantità di codici di programmazione e la crescente complessità delle applicazioni sfuggono immancabilmente degli errori.

Una volta venuti a conoscenza delle vulnerabilità insite nel codice delle proprie applicazioni, i produttori di software diffondono una versione “riparata” del programma (“Patch”), scaricabile dagli utenti che fanno uso del software.

Come mi difendo dagli exploit?

Per chiudere il maggior numero di falle possibili, al fine di ridurre quanto più possibile la superficie d’attacco, è consigliabile installare gli aggiornamenti del software per i programmi più importanti. È altresì essenziale dotarsi di una soluzione di sicurezza di nuova generazione in grado di riconoscere gli exploit zero-day, come le suite G DATA, una funzione che sopperisce al fatto che il più delle volte passano diverse settimane tra la scoperta della falla e il rilascio/ installazione di una patch sul dispositivo vulnerabile. Va da sé infatti che il periodo tra l’individuazione di una falla non nota al produttore da parte dei cybercriminali e la distribuzione di una patch sia ovviamente il più pericoloso.

Continua a leggere

Cybersicurezza nell’industria: un progetto strategico da non sottovalutare


A fronte della maggior interazione tra i sistemi industriali tradizionali e la OT (tecnologia operativa), le minacce informatiche relative ai settori ingegneristico e produttivo rappresentano un pericolo rilevante. Tra i numerosi settori industriali, le società energetiche e logistiche hanno già subito attacchi basati sulle vulnerabilità ivi riscontrate negli ultimi anni. Attacchi che hanno messo in luce il fatto che il cyberterrorismo non nuoccia esclusivamente alla produzione ma anche alla reputazione dell’azienda attiva in ambito industriale. L’adozione di solide politiche di sicurezza da parte delle organizzazioni è perciò essenziale per proteggersi non solo dalle minacce attuali ma anche dagli attacchi futuri, sempre più sofisticati e inevitabili.

Proteggere la linea di produzione dalla A alla Z

Qualsiasi vulnerabilità nella rete fornisce un potenziale accesso agli hacker mettendo a rischio sia l’infrastruttura dell’azienda sia i suoi dati, i suoi impiegati e i suoi clienti. Nel caso particolare delle società di pubblica utilità, anche l’ambito in cui operano. I nuovi attacchi mettono regolarmente in mostra le debolezze dei sistemi privi di protezione. Tuttavia, in ambito industriale, i limiti operativi cui sono vincolate le organizzazioni riducono le possibilità di aggiornare i sistemi e/o svecchiare l’infrastruttura IT. Dato che la produzione è un processo continuo che non può essere interrotto, si dà scarsa priorità a qualsiasi modifica ai sistemi.

Ecco perché dotarsi di dispositivi che centralizzino la cybersecurity, coprendo simultaneamente sia l’Operational Technology (OT) sia l’Information Technology (IT) pare una scelta sensata per assicurare che i sistemi produttivi beneficino di una combinazione di misure di protezione ad hoc senza alcun impatto sulla prosuzione.

Workstation: non più anello debole nella catena di sicurezza

In un ambiente Microsoft Windows, che ritroviamo quasi ovunque nel settore industriale, le workstation sono da sempre il punto debole dell’intero sistema. Un impianto efficiente deve essere in grado di contrastare cyberattacchi particolarmente aggressivi così come di porre automaticamente rimedio alla negligenza e/o all’errore umano – ad oggi la maggiore causa di incidenti informatici. Fenomeni, che possono essere affrontati, avvalendosi di varie funzionalità avanzate come l’analisi comportamentale o il controllo delle periferiche come chiavi USB pre-registrate o pre-scansite, per evitare il rischio oggettivo di esposizione del sistema a varie tipologie di intrusione.

Tutelare le postazioni di lavoro remote e l’accesso remoto all’infrastruttura

È indubbio che la distanza tra i sistemi industriali e Internet si stia accorciando sempre più, anche a fronte del fatto che tali sistemi o la relativa manutenzione vengano trasferiti sempre più spesso nel cloud o remotizzati al fine di ottimizzare i processi. Tale apertura però ne incrementa l’esposizione ai cybercriminali perennemente alla ricerca di una falla nell’armatura. I produttori e gli ingegneri sono impegnati primariamente nella progettazione di sistemi innovativi ma la loro integrazione con le reti implica la necessità di tributare maggior attenzione alle modalità con cui si garantisce accesso remoto all’infrastruttura e alla protezione delle workstation remote.

Robert Wakim Offer Manager – Stormshield Industry Business Unit

Garantire un’alta disponibilità della rete

Nonostante la loro solidità, i sistemi operativi industriali non sono al sicuro da attacchi né compatibili con gli ambienti interconnessi odierni. Considerata la convergenza tra OT e IT, è più che mai necessario trovare un equilibrio tra la disponibilità della rete e la tutela contro gli attacchi informatici. Conditio sine qua non dell’alta disponibilità è che sistemi soggetti a vulnerabilità rimangano “aperti” per l’esecuzione delle operazioni anche in presenza di condizioni che possano cagionare disservizi.

Capire la differenza tra i rischi relativi all’ OT e all’ IT non è più importante, benché si stiano facendo passi in avanti in tal senso in ambito industriale. L’avvicinamento tra ambienti OT e IT è solo un vantaggio per le aziende, ma per beneficiarne efficacemente è essenziale proteggere entrambi, assicurandosi la massima disponibilità dei sistemi e combattendo attivamente il rischio di cyberattacchi.

Continua a leggere

Attacco KRACK alla cifratura del wifi – ecco cosa c’è da sapere


Non è la prima volta che vengono identificate falle nello standard per le reti wireless. È essenziale installare gli aggiornamenti forniti dai produttori.

Bochum- Lunedì è stato reso noto che la cifratura della stragrande maggioranza delle reti WiFi non è inespugnabile a causa di una vulnerabilità del design della cifratura WPA2, che consente il riutilizzo delle chiavi crittografiche, invece che impedirlo. I ricercatori belgi hanno denominato l’attacco basato su questa vulnerabilità “KRACK”.

 Chi può essere colpito?

La vulnerabilità riguarda praticamente tutti i dispositivi che si avvalgono della cifratura WPA2 nella rete wireless, indipendentemente dal produttore. Chi sfrutta tale vulnerabilità può procurarsi accesso al WiFi e quindi a Internet. Nello scenario peggiore l’hacker potrebbe persino manipolare i dati trasmessi sulla rete wireless. Sarebbe quindi possibile sostituire il download di una applicazione legittima con un malware. In base alle informazioni attualmente reperibili, il traffico protetto con il protocollo SSL risulta meno soggetto a tali attacchi.

Dato che però un eventuale malintenzionato deve trovarsi in prossimità della rete wireless che intende attaccare affinché l’attacco vada a buon fine, non ci aspettiamo a breve termine attacchi di massa contro le reti WiFi. Quanto illustrato dai ricercatori è più che altro un “proof of concept”, quindi uno studio sulla fattibilità – prima che venga sviluppato uno strumento effettivamente adoperabile per la conduzione di tali attacchi ci vorrà diverso tempo.

Contromisure

Due i modi per proteggersi:

  • Disattivare il wifi. Una misura però poco praticabile e in taluni casi poco sensata.
  • Utilizzare la VPN con cifratura SSL per tutelare il traffico dati

Cosa possiamo aspettarci?

Nel frattempo i primi produttori hanno sviluppato e rese disponibili le patch di sicurezza necessarie per chiudere la vulnerabilità. Le prime versioni beta di iOS ad esempio contengono già questa patch. Altri produttori dovrebbero seguire a breve. Per alcune distribuzioni Linux tale patch è già disponibile dall’inizio di ottobre, la vulnerabilità non è più sfruttabile di default.

Chiudere questa vulnerabilità non richiede l’acquisto di nuovi dispositivi. È possibile correggerla tramite aggiornamento del firmware. Una volta corretta, il rimedio è retrocompatibile, ossia gli apparecchi che sono stati aggiornati possono ancora comunicare con dispositivi non (ancora) dotati di una patch per la falla di sicurezza. Non appena un produttore rende disponibile un aggiornamento, è possibile scaricarlo tramite l’interfaccia utente web-based del router o direttamente dal sito del produttore. Alcuni router installano gli update automaticamente. Gli utenti di dispositivi mobili dovrebbero altresì verificare se ci sono aggiornamenti per i device utilizzati.

Raccomandiamo fortemente di installare gli aggiornamenti non appena disponibili.

Parallelismi con il passato

Il fatto che la cifratura delle reti wireless presenti vulnerabilità non ci coglie proprio di sorpresa. Sono già state riscontrate e puntualmente chiuse numerose falle di sicurezza nello standard WLAN 802.11 che ormai esiste da 18 anni. I modelli di cifratura obsoleti quali WEP e WPA sono stati progressivamente sostituiti con standard più moderni. Quanto accade al momento è quindi solo la logica conseguenza di quanto si è verificato in passato. Questa non è la prima rivelazione di siffatta natura, né sarà l’ultima.

G DATA è a disposizione degli utenti che desiderano ulteriori ragguagli anche in occasione di SMAU Milano, dal 24 al 26 ottobre pv. stand H09.

Continua a leggere