Ma io vorrei solo poter telefonare – Come esorcizzare il demonio della migrazione alla telefonia IP


E’ ormai un dato di fatto che anche in Italia abbia luogo da tempo una migrazione degli operatori dalle linee analogiche e ISDN (una tecnologia che nel nostro Paese non si è mai realmente affermata) verso l’erogazione di connettività internet o servizi di telefonia tramite protocollo IP. Nei Paesi germanofoni, dove l’ISDN era la tecnologia di base delle telecomunicazioni i carrier si sono dati persino scadenze (Deutsche Telekom entro il 2018, Swisscom entro il 2020) per la dismissione definitiva delle vecchie linee. Il passaggio alla connettività e alla telefonia via IP confronta i responsabili di infrastrutture e reti aziendali oltre che isystem integrator con l’impiego quasi obbligato di soluzioni e piattaforme basate su IP con tutte le nuove modalità di lavoro che ne derivano. Tra i cosiddetti “buzzword” del marketing, ora tramutatisi in una realtà da affrontare, figurano parole chiave quali all-IP, copertura mobile stabile, comunicazioni unificate, collaborazione di gruppo, telefonia via cloud e messaggistica.

Per non essere sopraffatti dalla pletora di offerte attualmente sul mercato, vale la pena di focalizzarsi su alcuni punti prima della migrazione, con l’intento di identificare eventuali ostacoli per evitarli. Il noto produttore di telefoni IP Snom identifica quattro punti cardine per una migrazione di successo.

1 – Identificare le reali esigenze

Le moderne telecomunicazioni combinano diverse modalità di interazione e dispositivi su una singola rete IP. Oltre al tradizionale telefono fisso vi sono anche la messaggistica istantanea, le conferenze telefoniche o video, l’integrazione di dispositivi mobili e relative applicazioni, Skype o altre applicazioni per PC per la trasmissione della voce, sistemi CRM e strumenti di collaborazione per attività di gruppo. Quali sono le funzionalità realmente necessarie? Quanto sono rilevanti per il singolo utente: Il meccanico di un’officina non avrà necessariamente bisogno della chat. Un responsabile vendite potrebbe preferire di essere reperibile sul proprio telefono mobile e/o su quello fisso usando un singolo interno (convergenza fisso/mobile). Infine, è necessario valutare soluzioni particolari, come l’adozione di telefoni cordless IP per i lavoratori che hanno la necessità di spostarsi spesso all’interno dell’edificio aziendale, o di server per l’elaborazione e riproduzione di allarmi o di sistemi per la diffusione monodirezionale di avvisi al pubblico o per la comunicazione bilaterale. Senza dimenticare anche le applicazioni tradizionali, quindi l’integrazione di sistemi CRM preesistenti nel nuovo mondo IP.

Le più avanzate soluzioni UC basate sullo standard SIP supportano nativamente la maggior parte di queste funzionalità, quindi la valutazione della piattaforma più consona passerà da un esame di eventuali ostacoli all’implementazione, come modelli di licensing poco trasparenti, incompatibilità con i sistemi preesistenti o una pressione inappropriata a migrare tutto nel cloud. Tutte ragioni più che sufficienti per non permettere che la migrazione su IP obblighi l’azienda a prendere decisioni affrettate riguardo a quale piattaforma per la comunicazione aziendale e quindi quale infrastruttura adottare.

Scegliere il centralino e i terminali più adeguati liberamente, è di indubbio beneficio in termini di concreta semplificazione e ottimizzazione della routine quotidiana ed evita il rischio di demandare ad un solo fornitore una tra le infrastrutture più critiche per un’azienda.

2 – Occhio alla qualità del servizio

Le installazioni tradizionali erano semplici: constavano di una rete fisica per l’infrastruttura IT e di un’altra separata per quella telefonica. Le due operavano in maniera indipendente l’una dall’altra senza interferenze. Oggi non è più così. Nelle infrastrutture “tutto su IP” la velocità e le prestazioni di rete sono diventate essenziali per la fruibilità dei servizi.
Per evitare lamentele da parte degli utenti è essenziale che la nuova infrastruttura si basi su un approccio votato alla qualità. Anche la più performante delle linee internet perde valore di fronte ad una malgestione del flusso traffico (voce/dati) nella rete IP aziendale. Ove possibile è raccomandabile implementare una rete virtuale prioritaria per il traffico voce (Voice VLAN), unitamente a switch che supportino il protocollo LLDP-MED. Ciò consente ai terminali IP di autoconfigurarsi per l’accesso alla rete “voce” mentre ai PC di collegarsi alla rete “dati”.
Un’altra discriminante per assicurarsi una buona qualità del servizio è che il router impiegato supporti la prioritizzazione del traffico tramite DiffServ (differentiated services). La disponibilità di questo meccanismo dovrebbe essere verificata con il carrier o il system integrator. Non da ultimo va verificato il livello di prestazioni del wifi aziendale: gli smartphone e i laptop dotati di applicazioni vocali o per l’elaborazione dati necessitano di molta banda sulla rete wireless.

3 – La sfida dell’implementazione

Quando si seleziona un terminale IP è utile tenere a mente il principio della funzionalità “plug & play”: i dispositivi devono potersi configurare automaticamente non appena collegati alla rete aziendale. Ciò non significa che l’installazione sia un gioco da ragazzi, l’amministratore di rete deve comunque assicurarsi che questa sia opportunamente configurata, in modo da non bloccare web proxy o pacchetti multicast.

Un altro punto da considerare è la personalizzazione dell’endpoint. La receptionist vuole essere in grado di contattare i colleghi utilizzando la selezione automatica, mentre l’assistente del direttore esecutivo preferisce utilizzare il tasto BFL (Busy Lamp Field) per rispondere alle chiamate in entrata. Se più persone condividono la stessa postazione di lavoro, ognuno vorrà avere il proprio accesso personalizzato allo stesso terminale (hot desking). Tutte personalizzazioni che vanno garantite. Poter impostare configurazioni specifiche per gli utenti interni e remoti tramite una console centralizzata è essenziale per evitare che l’amministratore di sistema venga assediato con problematiche inerenti l’uso dei terminali.

Un’ulteriore sfida è rappresentata dalla sicurezza. Le intercettazioni telefoniche sono da sempre una minaccia: bastava un collegare un chip con doppino al microfono per ascoltare le conversazioni su linea analogica, collegarsi alla centralina di distribuzione in strada in presenza di linee ISDN, scansire le frequenze DECT per hackerare le conversazioni condotte con telefoni cordless e, per quelle condotte su rete GSM, installare semplicemente celle fasulle. Oggi non è più così facile a fronte dell’introduzione di numerose tecniche di cifratura per il DECT, la voce, la connessione dati e le piattaforme UC, fino a sistemi di cifratura impenetrabili da terminale a terminale. Quando si valuta una nuova rete IP altamente integrata è necessario soppesare il livello di sicurezza garantito dalla soluzione e dai terminali a fronte della reale esigenza e del costo.

4 – Fruibilità: troppe distrazioni?

Le soluzioni UC, i telefoni IP avanzati, le applicazioni più moderne e i servizi basati sul cloud, tutti promettono alle aziende un incremento della produttività ed una semplificazione della collaborazione tra gli addetti. La convergenza delle applicazioni contribuisce a migliorare la coordinazione sui progetti e a limitare la perdita di informazioni, tuttavia è anche possibile che la quantità di informazioni condivise sovraccarichino l’utente.
Gli impiegati possono davvero concentrarsi sul proprio lavoro se costantemente interrotti da messaggi istantanei? Sia loro sia voi siete d’accordo sul fatto che il loro status di presenza sia visibile a chiunque? Se da un lato è più facile raggiungere i singoli impiegati, non li si mette troppo sotto pressione perché ora ricevono comunicazioni a qualunque ora?
In fase di implementazione di una soluzione IP, oltre a formare lo staff sugli strumenti e le applicazioni sarà anche necessaria una rieducazione in merito a come gestire il nuovo paradigma fondamentale ossia la disponibilità continua e il monitoraggio degli impiegati.
Al riguardo bisogna quindi considerare i seguenti punti:

  • Chi può o dovrebbe avere accesso alle informazioni sulla presenza degli impiegati presenti nella directory aziendale tramite le funzioni di visualizzazione della disponibilità erogate via BLF?
  • Come si può evitare che gli impiegati vengano distratti in continuazione? Se l’utente seleziona la modalità “non disturbare” (DND), questo stato è visibile su tutti i canali? (chat, telefonia, stato presenze)
  • E’ possibile attivare o disattivare automaticamente le notifiche mail o chat (ad esempio al di fuori dell’orario di lavoro o nel week-end?)
  • E’ possibile differenziare i messaggi importanti da quelli meno rilevanti?
  • Dove e soprattutto quali dati sull’attività degli utenti vengono archiviati? (archivio chat, conferenze telefoniche, uso di internet)

In generale, la migrazione al mondo “all-IP” rappresenta una sfida per chi è coinvolto nell’implementazione dei sistemi. Non stanno solo cambiando le applicazioni individuali, ma anche l’intera infrastruttura e le modalità operative. Che si tratti di soluzioni UC o dei terminali IP, un’interfaccia utente non complessa e un minimo di formazione semplificherebbero la via verso l’integrazione delle soluzioni per la telefonia IP di nuova generazione.

Trovare la piattaforma e i terminali ideali è la vera sfida per le organizzazioni. Si tratta di un processo con così tante variabili da richiedere ai responsabili IT/TLC di prendersi il proprio tempo e possibilmente di rivolgersi a specialisti.

Continua a leggere

Saremo presto liberi dalla maledizione delle password?


Probabilmente non tutti sanno che almeno una persona su dieci della propria cerchia di amici, parenti e conoscenti utilizza una delle 25 password più facilmente hackerabili del mondo. Sicurezza e limitazioni spesso vanno a braccetto, tuttavia a fronte del naturale desiderio di semplificare, molte persone lasciano che le proprie informazioni personali siano accessibili virtualmente da tutte le direzioni. D’altro canto, i più cauti si ritrovano con una quantità incredibile di password e codici infiniti da memorizzare, e alla fine ci si avvale dell’uno o l’altro promemoria altrettanto alla mercé del mondo. Ma è possibile che non ci sia una soluzione più semplice?

Questione di fiducia

Probabilmente sì, ma “più semplice” non è sufficiente: deve essere anche “più sicura” e “meno invasiva”. Ad esempio la soluzione che permette ad algoritmi di apprendere dalle proprie abitudini potrebbe risultare invitante: la password sarebbe necessaria solo quando il sistema non riconosce un comportamento o luogo abituale, che si tratti dell’orario di attività, dei luoghi visitati, della velocità di inserimento testi, ecc. Tuttavia consentire a Microsoft Cloud di raccogliere informazioni sui propri contenuti per compilare statistiche per alcuni può comportare un livello di trasparenza incompatibile con il concetto di protezione dei dati.

Fidarsi del sistema, come oggi fa la maggior parte della popolazione al di sotto dei 20 anni, non è da tutti. Se la generazione precedente non è così lassista quando si tratta di protezione dei dati, è perché ha ancora vivido nella memoria il tempo in cui misure di sicurezza più restrittive ricordavano agli internauti che l’hackeraggio non è una pratica riservata unicamente alle celebrità e che gli attacchi informatici diretti non avvengono solo nei film di spionaggio. È anche più semplice rilassarsi quando l’unica propria preoccupazione sono i borseggiatori: a livello aziendale però questo rischio cambia dimensione drasticamente.

Meno password, più qualità

A qualsiasi livello ci si trovi, la protezione del dispositivo (tablet, computer o telefono) e la protezione dei dati implicano due password diverse. Per la prima si stanno già cercando soluzioni alternative: oltre a modelli semplici ma facilmente riconoscibili e a sensori per la lettura delle impronte digitali (qualora si fosse d’accordo sull’archiviazione delle proprie impronte, e tenendo in conto il fatto che non esiste opzione migliore), è ora possibile sostituire 10 numeri e le 26 lettere della tastiera con 12 emoji tra 2500 disponibili e selezionarne una sequenza di 4 o 6. Alta protezione E divertimento quindi, ma, di nuovo, una sola di queste password non è sufficiente! Tra le altre alternative divertenti, Nova Spatial sta attualmente sviluppando un sistema di autenticazione basato sul riconoscimento di una determinata area su una cartina mondiale digitale, le cui coordinate geografiche vengono utilizzate come codice la cui memorizzazione non è necessaria – basta sapere dove si trova un particolare albero, piscina, incrocio o altro.

Finché non sarà possibile affidarsi alla propria memoria visiva, tramite l’utilizzo di emoji e mappe, i password manager online continuano ad aumentare. Attraverso questo genere di cassaforti virtuali come 1PassWord, LastPass o KeePass, basta un’unica “master password” per proteggere tutte le altre password archiviate e criptate. La master key è l’unica cosa di cui si ha bisogno, ma deve essere il più complicato possibile – una singola frase può già funzionare. Un esempio potrebbe essere “Apriti Sesamo!” (punteggiatura inclusa!).

L’altra faccia della biometria

A mali estremi, estremi rimedi: forse il futuro ci riserverà un processo di autenticazione più rigido tramite l’utilizzo di oggetti fisici? Un pollice, l’occhio, la voce o il viso sono i più noti esempi di una metodologia utilizzata sempre più di sovente per sbloccare i dispositivi, e che potrebbe finire con l’essere implementata anche per accedere ai profili delle piattaforme social. Gli hacker sostengono di aver raggirato il sistema di riconoscimento facciale dell’iPhone X tramite l’utilizzo di una maschera in lattice ultra-realistica, ma non ci si aspettano problemi generalizzati per i consumatori. Di conseguenza ci si aspetta un incremento dell’impiego della biometria e una maggior sofisticatezza nei prossimi decenni: si tratta semplicemente di sviluppare sensori per l’identificazione del DNA.

Questo genere di sensori sancirebbe la fine dei problemi causati da barbe o tagli di capelli che occasionalmente confondono i sistemi di riconoscimento facciale – l’unico altro problema potrebbe essere quello di avere un gemello cattivo! Jonathan Leblanc, Global Head of Developer Advocacy di Paypal, disse ancora nel 2015 che le password del futuro non saranno più scritte né memorizzate, ma piuttosto saranno impiantate, ingoiate o iniettate. Ha parlato anche di computer indossabili sotto forma di tatuaggio, sensori ECG che rilevano i dati del cuore o del riconoscimento delle vene e della pressione arteriosa. Probabilmente infallibile, ma piuttosto sgradevole… A tre anni di distanza, i tatuaggi digitali sembrano aver preso piede: il chimico Zhenan Bao, che ha recentemente sviluppato la e-skin, sottolinea le possibilità mediche e sociali di questo materiale elettronico connesso che coincide perfettamente con la pelle umana. Ma anche in questo caso ad un certo punto si ripresenterà l’ostico tema della confidenzialità: non saranno più le proprie impronte digitali ad essere utilizzate come password universali, bensì una sottile membrana elettronica posizionata sui polpastrelli e connessa allo smartphone. Da brividi, vero?

Il segreto dell’autenticazione a doppio fattore

Piuttosto che focalizzarsi sulla messa a punto di un’infallibile biometria al costo di chi sa quale invasione di privacy, probabilmente basterebbe pensare ad una semplificazione dell’autenticazione a doppio fattore. Questo sistema è già ampiamente utilizzato, soprattutto per i pagamenti online, che in genere richiedono un secondo codice inviato tramite SMS con una validità di qualche minuto. Il codice di conferma non solo può essere inviato sullo smartphone, ma anche a Google Watch, smartcard, applicazioni (per esempio con la soluzione Stormshield Data Security), token crittografato o chiavetta USB (come quella di sicurezza FIDO).

Ciò comporta però l’obbligo di portare costantemente con sé l’oggetto necessario alla ricezione del secondo codice. È più probabile lasciare a casa lo smartphone che parti del proprio corpo, a meno che il device non diventi una sorta di nuovo organo in dotazione allo “homo numericus”. Come ultima alternativa si può sempre diventare un genio in grado di memorizzare dozzine di sequenze numeriche… Your choice!

*.*

Continua a leggere

Add-on piratato di WordPress trasforma siti in dispenser di malware


Gli analisti G DATA analizzano una backdoor che viene diffusa con moderne tecniche SEO.

Bochum (Germania) – Tra gli strumenti utilizzati nella creazione di siti web, WordPress è sicuramente uno dei CMS (content management system) più noti e impiegati. Le numerose estensioni disponibili permettono di creare pagine web facilmente pur non disponendo di buone capacità di programmazione. È comunque importante prestare attenzione nello scegliere i plugin.

L’idea di creare il proprio sito internet è associata ad un’ingente quantità di lavoro manuale. La strumentazione moderna lo rende invece un gioco da ragazzi –innumerevoli i layout già “pronti all’uso” nei quali bisogna solo aggiungere testo e immagini. Molte estensioni per WordPress sono gratuite, mentre altre sono a pagamento. Un webmaster attento ai costi cerca di evitare al massimo questo genere di spese. Nel caso evidenziato in questo report, i criminali mirano a colpire i numerosi utenti WordPress che desiderano avvalersi di template gratuiti, ecco come.

Trappola gratuita?

Alcune tipologie di temi a pagamento sono molto più utilizzate di altre e non stupisce che sul web se ne possano trovare anche di piratate. Parte di queste copie contraffatte vengono fornite con “add-on” nascosti che possono creare non pochi problemi al webmaster poiché in grado di trasformare le pagine web in distributori di malware, ovviamente del tutto all’oscuro dell’amministratore del sito.

Ottimizzazione dei motori di ricerca aka SEO

Chiunque sia in possesso di un sito web desidera essere il primo sui motori di ricerca. I risultati presentati su Google si basano su diversi criteri, uno dei quali, oltre all’impiego delle giuste keyword, è la frequenza con cui la pagina valutata viene menzionata da altre pagine. Alcune società assumono uno o più dipendenti con il compito di applicare la miglior strategia per far apparire il sito il più in alto possibile nei risultati delle ricerche. Questa attività è chiamata ottimizzazione dei motori di ricerca (Search Engine Optimization – SEO). Strategie adottate anche dai cybercriminali, esistono infatti alcuni template WordPress contraffatti che integrano tecniche SEO per incrementare la distribuzione di codice malevolo, come l’ultima evoluzione della backdoor Wp-Vcd, che una volta installata su WordPress crea automaticamente un account amministratore nascosto che consente all’hacker di accedere alla piattaforma quando più gli aggrada e, per esempio, postare malware sul sito compromesso a propria discrezione.

In primo acchito la backdoor è stata riscontrata scaricando il tema ExProduct v1.0.7 dal sito “hxxp://downloadfreethemes.download” che ospita numerosissimi template WordPress (al momento dell’analisi 32.200) piratati. Ulteriori analisi hanno rivelato quanto l’autore fosse proattivo nel posizionare al meglio il template sui motori di ricerca e quanto l’algoritmo di Google sia passibile di raggiro.

Ulteriori informazioni sull’analisi

Ulteriori informazioni e dettagli tecnici su diffusione e funzionamento della backdoor sono contenute nel whitepaper reperibile in lingua inglese al link https://file.gdatasoftware.com/web/en/documents/whitepaper/G_Data_Whitepaper_Analysis_Wp_vcd.pdf

Uomo avvisato mezzo salvato

Fino a quando le persone riporranno cieca fiducia in qualunque sito web venga loro proposto, saranno potenziali vittime e ciò non cambierà in tempi brevi. Agli occhi di moltissime persone i servizi di ricerca e di posta elettronica che Google eroga da anni sono estremamente affidabili. I criminali lo sanno bene e sfruttano la situazione, riuscendo a posizionare ottimamente persino applicazioni quali “paypal generator v1.0” o “Facebook hacker v2.3 updated” nei risultati dei motori di ricerca. Il team GDATA raccomanda di prestare attenzione ai contenuti per evitare di cadere nel mirino dei criminali online.

Continua a leggere

Di G DATA e Reale Mutua la soluzione “Insurtech” per le PMI


Insieme al noto istituto assicurativo torinese e al broker Margas, il produttore di soluzioni di sicurezza informatica teutonico dà vita ad una formula di CyberInsurance congiunta, dedicata ai propri clienti, in previsione dell’imminente entrata in vigore del nuovo Regolamento per la protezione dei dati personali (GDPR).

Bologna / Torino / Padova

Uno studio pubblicato di recente sull’impatto economico sostenuto dalle aziende per gli incidenti informatici in Italia rivela un importo di poco inferiore ai 100.000 Euro per le PMI e di poco inferiore al milione di Euro per le grandi aziende. Un valore statistico in crescita anche alla luce del nuovo provvedimento del Garante, che, anticipando il nuovo Regolamento europeo, impone agli operatori economici e alla PA di comunicare tempestivamente le violazioni o gli incidenti informatici subiti. Ma non solo.

Al rischio di furto di dati sensibili, ai sensi del nuovo GDPR, concorre anche l’eventuale vulnerabilità dell’infrastruttura di operatori a cui le aziende hanno commissionato servizi che richiedono la condivisione dei propri dati riservati (come nel caso di sistemi di gestione della clientela ospitati nel cloud o dei dati forniti agli operatori privati del mercato postale nazionale dai rispettivi committenti). In caso di incidente, le conseguenze ricadono in primis quasi interamente sul titolare del trattamento, ossia l’azienda, spesso impreparata ad affrontare tali danni. Le imprese non dovrebbero preoccuparsi solo dei rischi legati alla propria sicurezza ma anche dell’intrinseca debolezza dei processi legati al trattamento e all’elaborazione dei dati rispetto alle esigenze normative. L’accresciuto rischio di una potenziale inadempienza complica infatti la situazione ed espone a conseguenze economiche difficilmente prevedibili.

Privacy & Cyber Risk: la formula Insurtech integrata per mitigare l’impatto economico degli incidenti informatici

Giulio Vada, Country Manager, G DATA Italia

G DATA individua nel principio della Data Protection by design e della Accountability (responsabilità) i due elementi chiave del nuovo Regolamento europeo. “Consapevoli che la progressiva digitalizzazione dell’attività aziendale contribuisca ad aumentare l’esposizione dei dati ai rischi informatici e le aziende a danni inaspettati, abbiamo lavorato alacremente ad una soluzione Insurtech che integra tecnologie di sicurezza con una polizza assicurativa per la Responsabilità Civile (Accountability). Denominata Privacy & Cyber Risk, la nuova RC è dedicata alle PMI, che avranno così modo di prepararsi efficacemente al GDPR e di intraprendere più serenamente il percorso virtuoso che li porterà alla piena compliance normativa”, così Giulio Vada, country Manager di G DATA Italia commenta la stretta collaborazione instauratasi tra il vendor, Società Reale Mutua di Assicurazioni e Margas, broker padovano specializzato in assicurazioni cyber. Secondo G DATA infatti la Cyber Insurance dovrebbe entrare a far parte della preparazione all’imminente GDPR e essere prevista come strumento di risk management aziendale.

Andrea Bertalot, Vice Direttore Generale, Reale Mutua Assicurazioni

“Una polizza ben strutturata e direttamente collegata ad una soluzione di sicurezza di nuova generazione, in grado di prevenire attivamente le minacce informatiche, può rivelarsi l’arma vincente per le aziende che, nella fase di transizione e a posteriori dell’entrata in vigore del GDPR, desiderano ridurre attivamente il rischio informatico e avvalersi nel contempo di strumenti per il trasferimento del rischio residuo proteggendosi contro imprevisti finanziari” aggiunge Andrea Bertalot, Vice Direttore Generale di Reale Mutua.

Cesare Burei, CEO, Margas

“Se ti viene sottoposta un’esigenza, cerca di soddisfarla” dichiara Cesare Burei, CEO di Margas. “La nostra esperienza quasi ventennale maturata in ambito Cyber Insurance e la stretta collaborazione con La Società Reale Mutua di Assicurazioni, ci hanno consentito di trovare un trait d’union tra il mercato assicurativo e quello di G DATA, portando valore aggiunto ad entrambi e fornendo uno strumento di salvaguardia in più alle imprese che beneficiano da subito di questa collaborazione sinergica.”

La soluzione assicurativa Privacy & Cyber Risk è accessibile esclusivamente in concomitanza con l’impiego delle suite di sicurezza business G DATA e sosterrà finanziariamente i fruitori nei casi di richieste di risarcimento danni da parte di terzi per:

  • diffusione di dati personali (leakage)
  • ‎trasmissione di ransomware
  • ‎pubblicazione di informazioni lesive della reputazione e della privacy di terzi, come conseguenza di un incidente informatico.

Ovviamente, un’assicurazione non può sostituirsi ad una gestione, o Governance, dei dati che preveda adeguate politiche di protezione e sia incastonata nel più generale processo di gestione del rischio d’impresa. Per questo motivo ogni organizzazione è chiamata a mettere in atto tutte le azioni necessarie per prevenire l’accesso non autorizzato alle proprie risorse (data leak prevention). “Nell’attuale contesto di relativa insicurezza, la vera sfida per le imprese è di guardare a se stesse in maniera olistica, con un approccio che incorpori le persone, i processi e le informazioni. L’errore classico è di considerare la sicurezza come un problema meramente tecnologico. Con Privacy & Cyber Risk intendiamo contribuire ad un cambiamento di rotta”, conclude Vada.

Continua a leggere

Le previsioni di G DATA per il 2018: i cybercriminali puntano a Bitcon & Co.


Società, criptovalute e IoT sempre più spesso nel mirino dei cybercriminali.

Anche nel 2017 il ransomware è stato il protagonista dell’anno per quanto concerne la sicurezza IT. WannaCry e NotPetya hanno dimostrato che i criminali hanno perfezionato le proprie tecniche e che le aziende sono oggetto di attacchi mirati. Gli esperti di sicurezza G DATA non possono dichiarare il cessato allarme per il 2018, al contrario si aspettano un ulteriore incremento del livello delle minacce. A fronte di tassi di interesse sul capitale sempre più bassi, un crescente numero di persone investe in criptovalute come i Bitcoin. I cybercriminali non sono da meno, hanno creato nuovi modelli di business illegale particolarmente lucrativi e tentano di accaparrarsi la propria fetta di criptovalute con script per il mining e altri attacchi.

G DATA prevede di chiudere il 2017 con la rilevazione di almeno dieci milioni di nuovi ceppi di malware per Windows e più o meno tre milioni e mezzo per Android. Le statistiche mostrano che il livello di minaccia è in costante aumento. Molte attività quotidiane come le transazioni bancarie o gli acquisti vengono effettuate online. La conduzione di tali attività diventa di giorno in giorno sempre più semplice grazie all’utilizzo di supporti operativi quali gli assistenti vocali e ad una migliore fruibilità. Cosa che aumenta altresì il raggio d’azione dei criminali.

“I Bitcoin e le altre criptovalute stanno infrangendo record su record. Sempre più persone si interessano alle valute digitali. I criminali sfruttano questo trend, focalizzandosi sempre più sugli utenti Internet attivi in questo ambito “spiega Tim Berghoff, G DATA Security Evangelist. “Inoltre, ci aspettiamo di vedere molti più attacchi su larga scala condotti ai danni di piattaforme che in precedenza non erano mai state prese in considerazione, dato che solo di recente soluzioni IoT, come gli assistenti personali digitali e i dispositivi domotici, sono entrati nel mercato di massa.

Sicurezza IT: previsioni 2018

  • Maggiore attenzione all’IoT: i dispositivi intelligenti sono presenti tanto in ambito residenziale quanto aziendale / industriale. L’Internet of Things non è più solo una moda, per molti utenti è uno strumento quotidiano. Nel 2018 i cybercriminali daranno vita ad attività illegali mirate.
  • Attacchi ransomware in crescita: nel 2017 i cybercriminali hanno ottenuto enormi profitti dall’utilizzo di questa forma di estorsione virtuale. Le tecniche sono diventate sempre più raffinate. In virtù di ciò, per il 2018 ci si attende un’ulteriore aumento dei malware che chiedono un riscatto.
  • Estorsione di dati riservati: il furto di dati è stato un business estremamente lucrativo per molti anni. In passato i cybercriminali hanno messo in vendita i dati ottenuti sul dark web. Gli esperti di G DATA hanno però riscontrato un trend diverso: le aziende a cui sono stati criminali minacciano le aziende alle quali hanno estorto illegalmente i dati richiedendo un riscatto.
  • Attacchi agli assistenti vocali: Sempre più utenti si affidano ad assistenti personali come Siri e Alexa. Nel 2018, gli esperti di sicurezza G DATA si aspettano primi attacchi di successo contro queste piattaforme e la nascita dei primi (?) modelli di business redditizio.
  • Nuove normative sulla protezione dei dati: La data d’entrata in vigore del GDPR Europeo si avvicina inesorabilmente. La nuova normativa entrerà in vigore il 25 maggio 2018. Molte società sono ancora molto indietro in termine di conformità alle nuove leggi. Entro la data di scadenza, le aziende dovranno garantire che i dati sensibili dei propri clienti vengano elaborati e tutelati nel rispetto della legge. G DATA ritiene che circa il 50% delle aziende non si sarà adeguato integralmente al contenuto della normativa europea prima della sua data di decorrenza.
  • Criptovalute come vettore di attacco: L’euforia generata dalle criptovalute rievoca la corsa all’oro del diciannovesimo secolo. A fronte di un investimento sempre più massiccio in monete digitali, i cybercriminali stanno compiendo sforzi concertati con l’intento di derubare gli utenti.

Continua a leggere

Fiducia nella sicurezza – una delle preoccupazioni più pressanti dell’universo Internet


Come possiamo generare fiducia nelle tecnologie che offriamo in qualità di produttore? Questa domanda è indubbiamente una delle preoccupazioni chiave che meritano attenzione e tuttavia se ne discute ben poco tra le aziende che sviluppano e producono soluzioni per la cybersecurity. E’ necesario analizzare in dettaglio l’argomento per comprenderne le sue implicazioni strategiche.

Comprendere il contesto generale

Gli eventi recenti hanno mostrato che non appena sorge il minimo dubbio sull’efficacia e l’affidabilità delle soluzioni di sicurezza queste vengono messe immediatamente in discussione. Ad esempio, il caso Snowden ha rivelato al mondo l’esistenza del catalogo ANT della NSA e quindi l’utilizzo di backdoor o altri strumenti inseriti nelle soluzioni per la sicurezza perimetrale al fine di proteggere e tutelare gli interessi degli Stati Uniti. Pur non sorprendendo nessuno, questa informazione è stata resa di pubblico dominio.

Matthieu Bonenfant, Chief Marketing Officer – ‎Stormshield

Ovviamente queste backdoor potrebbero essere state implementate goffamente per ragioni tecniche o in relazione a vulnerabilità 0-day. Molti dei produttori coinvolti hanno più volte ribadito che non hanno indebolito le proprie soluzioni deliberatamente. “Non mi permetto di giudicare questa affermazione, non è il mio lavoro”, commenta Matthieu BONENFANT, Chief Marketing Officer di Stormshield, “tuttavia, al di là del potenziale impatto sulla sovranità dei Paesi terzi che adottano queste soluzioni, le backdoor possono avere altre conseguenze drammatiche”. Basti pensare agli effetti disastrosi del leak svelato da Shadow Brokers, che segnalava numerose vulnerabilità di MS Windows utilizzate dalla NSA come backdoor. Wannacry, NotPetya, e – più recentemente – il ransomware Bad Rabbit si sono diffusi con estrema rapidità proprio grazie a questo tipo di falle.

“A mio avviso questa situazione mette in luce una delle maggiori sfide con cui i vendor di sicurezza devono confrontarsi”, chiosa Bonenfant. “Le nostre tecnologie manipolano e ispezionano file riservati, processano e archiviano dati personali, cifrano informazioni sensibili, accedono a risorse il cui uso è regolato, gestiscono identità digitali, analizzano il traffico ed il suo comportamento e molto altro”. Come garantire quindi ai clienti e all’ecosistema che queste attività sono affidabili? Come rispettare la sovranità sul dato alla luce di tutte le tensioni geopolitiche? Il fatto che la digital economy fiorisca esclusivamente in un clima di fiducia è risaputo, ma molte di queste domande ad oggi non trovano risposta.

Per i produttori di soluzioni per la sicurezza perimetrale, questa domanda è vitale considerando che la cifratura del traffico è una delle colonne portanti di un account digitale affidabile. Secondo Gartner, entro il 2019 l’80% del traffico generato dalle aziende sul web sarà cifrato, una buona notizia. Questo significa però che un numero crescente di attacchi e applicazioni malevole (ransomware incluso) si celeranno dietro al traffico HTTPS per nascondere l’infezione iniziale e prendere il controllo delle comunicazioni. Alla luce di ciò, Gartner raccomanda che le aziende e le organizzazioni formalizzino un piano pluriennale per l’implementazione di soluzioni e programmi per la decodifica e l’ispezione del flusso di dati HTTPS. La tecnica di ispezione di SSL si basa per lo più sul metodo “man-in-the-middle”, che inevitabilmente crea una falla nello scambio di comunicazioni cifrate. Una debolezza nel prodotto che conduce la decodifica e l’ispezione del traffico SSL può quindi far collassare l’intera catena di fiducia.

Potenziali soluzioni

Prima di tutto, possiamo fare affidamento sui test condotti da aziende esterne specializzate nella valutazione delle tecnologie di sicurezza, decisamente in grado di giudicare l’efficacia dei meccanismi di protezione. Tuttavia questi test, che tra l’altro non sono particolarmente a buon mercato, non si focalizzano in realtà sul design della soluzione di sicurezza in sè.

E’ altrettanto possibile fare affidamento sulle linee guida dettate dai Common Criteria, adottate da 26 Paesi. In questo caso però il produttore di soluzioni di sicurezza è colui che definisce lo spettro di valutazione, chiamato “obiettivo di sicurezza”, che può quindi essere limitato ad una piccola parte del software analizzato. Sfortunatamente solo in alcuni Paesi si misura l’importanza e si valuta la rilevanza dell’obiettivo prefissato. Per farla breve, i clienti fanno fatica a seguire il numero crescente di livelli certificazione (EAL) di Common Criteria.

Ci sono anche numerosi programmi che incentivano la ricerca di “bug”, software di analisi del codice statico o audit indipendenti volti a rilevare e correggere eventuali vulnerabilità. Queste iniziative migliorano effettivamente la sicurezza della tecnologia, a volte anche già in fase di design, tuttavia è difficile presentarle agli utenti come garanzia di affidabilità.

Infine, le certificazioni ufficiali svolgono un ruolo importante. Ad esempio in Francia, la ANSSI (l’agenzia nazionale per la sicurezza informatica) valuta il livello di affidabilità dei prodotti di sicurezza utilizzando un framework di qualificazione specifico, che è un’estensione dei principi Common Criteria. Questo framework definisce tre livelli di qualificazione basati su obiettivi di sicurezza predefiniti. Di conseguenza sono più facili da comprendere. A seconda del livello di qualificazione, si conduce una revisione indipendente del codice sulle componenti ritenute essenziali per la sicurezza, come la cifratura. Vengono analizzate anche le potenziali vulnerabilità, insieme all’ambiente fisico di sviluppo. Questo metodo fornisce la prova che i prodotti siano robusti e che non vi siano vulnerabilità sfruttabili come backdoor.

E’ necessario un framework ominivalente

Il fatto che questo framework di qualificazione sia riconosciuto esclusivamente in Francia rappresenta un problema. Ad esempio Germania e Regno Unito dispongono di un proprio framework, creato rispettivamente dal BSI (ufficio federale per la sicurezza informatica) e dal NCSC (centro nazionale per la cybersicurezza). La situazione attuale, sic stantibus, non è nè scalabile né economicamente accettabile per la maggior parte dei produttori, dato che dovrebbero far certificare i prodotti in ogni Paese. Per poter dar vita ad un unico mercato digitale in Europa, che alimenti la fiducia e assicuri la sovranità dei Paesi europei, è necessario implementare certificazioni riconosciute in tutti gli Stati membri. La commissione europea sembra aver compreso il messaggio, ha difatti lanciato di recente un’iniziativa atta a creare un framework europeo di certificazione. Questa misura costituirà un enorme passo avanti, sempre che il nuovo framework si basi sull’esperienza e sui criteri di valutazione dei Paesi che già sanno esattamente cosa fare e non indebolisca i criteri di qualificazione per far posto a chi è rimasto indietro.

La luce alla fine del tunnel

Alla fine un framework che instilli fiducia nelle tecnologie di sicurezza si svilupperà inevitabilmente attraverso una miglior collaborazione e cooperazione di tutti gli interessati nell’ecosistema cyber. Uno scambio costante tra il settore pubblico e privato, la costituzione di alleanze tra i produttori di soluzioni di cybersecurity, il coinvolgimento dei clienti nel processo di sviluppo (p.es. design collaborativo) aumenteranno senza dubbio l’affidabilità e l’efficacia dei dispositivi di sicurezza.

Continua a leggere