Sicurezza dei Sistemi Informativi Industriali: un’assoluta necessità


In termini di cybersicurezza Il 2017 è stato un anno buio per molte aziende afferenti al settore industriale. Gli attacchi perpetrati ai danni dei rispettivi sistemi informativi hanno fatto notizia e incrementato la consapevolezza degli operatori sulle proprie vulnerabilità. La carente sicurezza dei sistemi industriali richiede l’adozione misure appropriate, sia in termini di infrastruttura IT sia di integrità OT. La continuità del servizio è cruciale e il suo impatto risulta addirittura superiore a quello dei sistemi IT, poiché determinante per l’integrità di beni e individui.

Sistemi informativi industriali: molte le sfaccettature da prendere in considerazione

Un dato di fatto che è sempre bene ricordare: il sistema informativo di un’azienda manifatturiera differisce da quello utilizzato in altri settori di mercato e le sue specificità richiedono dispositivi di protezione che integrino la logica legata al tipo di attività. Ne consegue che le tradizionali soluzioni multifunzione trasversali proposte sul mercato non offrono un elevato livello di sicurezza. Prima di avviare un progetto, le organizzazioni industriali dovrebbero prendere in considerazione questi vincoli specifici e rivolgersi a specialisti del settore. A nostro avviso infatti solo i fornitori che hanno sviluppato competenze specifiche sono in grado di affrontare le sfide poste dal settore industriale.

Elaborare un progetto in maniera unificata, semplifica la gestione dei sistemi impiegati (in particolare in termini di amministrazione delle soluzioni). Consente anche di sviluppare una sinergia tra i team informatici e aziendali coinvolti nella messa in sicurezza dei sistemi informativi e dell’infrastruttura industriale. Le competenze nel campo della cybersecurity sono una merce troppo rara per potersi permettere un deficit di efficienza.

Fonte: Wikimedia

La nascita di vere e proprie alleanze industriali

E’ proprio la particolarità dell’universo industriale la ragione per cui ultimamente si assiste allo sviluppo di un intero ecosistema imperniato sulla protezione dei sistemi informativi industriali. Sono nate alleanze tecniche e commerciali tra operatori complementari, che unendo le proprie forze hanno sviluppato sistemi ad alto valore aggiunto frutto della combinazione di soluzioni, integrazione, consulenza, formazione. Ci si può solo rallegrare di tali iniziative, perché a livello europeo potrebbero dare vita a nuovi leader del settore.

Requisiti normativi e consapevolezza politica

Coscienti di queste sfide strategiche, i legislatori hanno approcciato la tematica proclamando che la messa in sicurezza dei sistemi informativi industriali è un’assoluta necessità. Un’esigenza poi calata in molteplici leggi nazionali o europee. In Italia l’8 febbraio il Consiglio dei Ministri ha approvato lo schema di Decreto Legislativo attualmente al vaglio del Parlamento (ratifica che dovrebbe concludersi il 9 maggio) per il recepimento della Direttiva UE 2016/1148, meglio nota come Direttiva NIS. L’intento della Direttiva è assicurare a tutte le infrastrutture critiche a livello nazionale un’adeguata tutela contro incidenti informatici che potrebbero cagionare la non disponibilità di servizi primari per il Paese. Entro il 9 novembre le Autorità competenti NIS (cinque Ministeri) dovranno identificare gli operatori di servizi essenziali, che, in quanto tali, saranno tenuti a ottemperare alla normativa. In Francia alcuni contenuti della Direttiva NIS sono già stati recepiti attraverso una legge programmatica militare che, tra l’altro, vincola già ora le organizzazioni di importanza vitale per il Paese a separare i sistemi sensibili dai restanti sistemi informativi attraverso soluzioni qualificate da ANSSI, l’agenzia di cybersecurity nazionale francese, secondo i più stringenti standard di sicurezza.

A fronte dell’intervento del legislatore e consapevoli della crescente pervasività di IoT e sistemi Industry 4.0, i professionisti del settore industriale dovranno riconsiderare radicalmente la propria governance della cybersicurezza. Un progetto di questo calibro può però prendere forme concrete solo con il supporto di specialisti. E’ quindi fondamentale che il settore della sicurezza continui a sviluppare soluzioni per far fronte a queste minacce – anche e forse in primo luogo – formando nuove alleanze, al fine di consentire alle organizzazioni industriali di evolvere in ambienti effettivamente sicuri.

*.*

Continua a leggere

Quale futuro per DECT ULE e comandi vocali in ambienti IoT


In occasione di “Voice of IoT”, un summit di due giorni che avrà luogo a partire dal 7 febbraio ad Amsterdam, DECT Forum e ULE Alliance tratteranno i più recenti sviluppi delle tecnologie e della loro implementazione a livello globale entrando nel dettaglio riguardo a come operatori e produttori di hardware e software possano beneficiarne.

Berna – L’attuale proliferazione di tecnologie IoT sta dando vita a nuove possibilità di collaborare comunicare e interagire, sia dal punto di vista umano che meramente tecnico. Se fino ora l’IoT si focalizzava principalmente sui dati, l’integrazione di comandi vocali offre maggior versatilità nell’interazione uomo-macchina, nella comunicazione e nella gestione delle applicazioni. Non stupisce quindi che le ultime ricerche di Strategy Analytics evidenzino la voce quale strumento applicabile ad un’ampia gamma di applicazioni IoT, ascrivendole un ruolo rilevante in numerosi mercati verticali poiché assicura un’esperienza utente “hands-free” in alcuni casi essenziale, aggiunge un ulteriore livello di sicurezza alle applicazioni e la sua integrazione nei vari dispositivi presenta costi di produzione inferiori rispetto a touchscreen o tradizionali dispositivi per l’immissione dei dati.

Voice e IoT nell’Industria 4.0

La comunicazione wireless è una tecnologia chiave abilitante per la trasformazione delle aziende manifatturiere in Industry 4.0. Le “industrie del futuro” saranno caratterizzate da una flessibilità, versatilità, gestibilità ed efficienza senza precedenti. Molte applicazioni industriali impongono tuttavia requisiti particolarmente severi in termini di affidabilità, latenza e funzionalità in tempo reale, motivo per cui spesso le tradizionali tecnologie wireless non sono in grado di supportare adeguatamente scenari di impiego e applicazioni. Scenari e tipologie di utilizzo presentati durante il “Voice of IoT Summit” di Amsterdam, insieme a dettagli sulle specifiche peculiarità del settore industriale daranno luogo a un dibattito su potenziali candidati tra le tecnologie, inclusi 5G, DECT-2020 e VLC.

I comandi vocali nella smart home

Anche sul mercato consumer la voce sta diventando un fattore di differenziazione primario delle tecnologie smart home e IoT, ambiti che oggi vedono il consumatore confrontarsi fin troppo spesso con molteplici standard e protocolli. L’uso di comandi vocali limita la confusione dovuta all’impiego di sistemi eterogenei assicurando un’esperienza utente uniforme. Interfacce vocali per l’installazione e la gestione delle soluzioni guideranno l’utente nella creazione di un’infrastruttura personalizzata per la propria smart home, una facoltà che porterà ad una più ampia adozione di prodotti e servizi “intelligenti”. Per rimanere competitive in un mercato che mette la voce al primo posto, un crescente numero di aziende sviluppa soluzioni compatibili con le maggiori piattaforme di controllo vocale, con l’obiettivo di affiancare l’utente nei suoi primi passi verso l’ecosistema smart da un lato, e di assicurarsi l’interoperabilità con soluzioni che in futuro possono essere collegate alla rete dall’altro. Molte applicazioni IoT implicano già oggi l’utilizzo di wearables o piccoli sistemi integrati, privi di touchscreen. È in questi casi che i controlli vocali assumono la massima importanza.

Il ruolo di DECT ULE nell’Internet of Things

Di derivazione diretta dal protocollo DECT (Digital Enhanced Cordless Telecommunications), di fatto lo standard per le telecomunicazioni private o aziendali tramite telefoni cordless, implementato da tutti gli operatori su scala globale, ULE (Ultra Low Energy) è l’unico standard in cui i comandi vocali sono già incorporati. A fronte dell’incredibile crescita e dell’impatto che sta avendo l’IoT, la tecnologia ULE consente agli operatori di trasformare milioni di istallazioni DECT esistenti in gateway IoT sicuri, economicamente efficienti e versatili, favorendo quindi l’automazione e l’impiego di piattaforme intelligenti per il monitoraggio ambientale o il controllo della climatizzazione in ambienti residenziali, ospedalieri e aziendali.

Un esempio concreto di questa integrazione sul mercato residenziale è Deutsche Telekom, che impiega la tecnologia DECT ULE per la comunicazione tra router e soluzioni IoT presenti nelle abitazioni tramite un canale sicuro che opera parallelamente al wifi. Nello specifico, ULE e DECT CAT-iq, da anni sinonimo di servizi di telefonia di qualità su linea fissa, coesistono senza interferenze a supplemento di un wifi in costante evoluzione per la gestione di grandi quantità di dati attraverso lo stesso dispositivo per l’accesso ad Internet. Dato che i comandi vocali si apprestano a prendere il sopravvento nella gestione della smart home, anche perché in grado di colmare l’attuale gap tra IoT e servizi di intrattenimento, Deutsche Telekom ha sviluppato un nuovo Smart Speaker utilizzabile come piattaforma aperta per l’immissione di comandi vocali e la gestione dell’intrattenimento audio hi-fi puntando nuovamente su DECT come tecnologia chiave. DECT sopperisce nel modo più conveniente e sicuro possibile al collegamento, oggi mancante, tra assistente vocale per la smart home e servizio telefonico tradizionale. Avvalendosi di una frequenza dedicata e protetta, DECT è a prova di futuro: scenari in cui la necessità di un assistente vocale onnipresente e di una connettività IP ad alto throughput e bassa latenza per la miriade di dispositivi IoT presenti in rete renderanno essenziale una maggior salvaguardia delle connessioni wireless domestiche.

La ULE Alliance dichiara:
“I prodotti DECT ULE sono annoverati tra i dispositivi con connessione wireless più sicuri e stabili sul mercato. Abbiamo sempre dato il massimo supporto a tutte le aziende che desiderano implementare una soluzione IoT usando uno dei nostri protocolli, come LoRa (Long Range Wireless protocol) o HAN FUN (Home Area Network FUNctionality), o che volessero creare un ecosistema stabile usando i loro dispositivi smart home come mostrato al CES’18. È sempre stimolante interfacciarci con i nostri membri, partner e con tutti coloro che sono interessati al mondo delle soluzioni IoT e smart home wireless ad elevato risparmio energetico. Il nostro obiettivo è quello di costruire un intero ecosistema di dispositivi domestici smart interoperabili, prodotti da più vendor, cosa oggi possibile grazie a DECT ULE”.

Continua a leggere

Le previsioni di G DATA per il 2018: i cybercriminali puntano a Bitcon & Co.


Società, criptovalute e IoT sempre più spesso nel mirino dei cybercriminali.

Anche nel 2017 il ransomware è stato il protagonista dell’anno per quanto concerne la sicurezza IT. WannaCry e NotPetya hanno dimostrato che i criminali hanno perfezionato le proprie tecniche e che le aziende sono oggetto di attacchi mirati. Gli esperti di sicurezza G DATA non possono dichiarare il cessato allarme per il 2018, al contrario si aspettano un ulteriore incremento del livello delle minacce. A fronte di tassi di interesse sul capitale sempre più bassi, un crescente numero di persone investe in criptovalute come i Bitcoin. I cybercriminali non sono da meno, hanno creato nuovi modelli di business illegale particolarmente lucrativi e tentano di accaparrarsi la propria fetta di criptovalute con script per il mining e altri attacchi.

G DATA prevede di chiudere il 2017 con la rilevazione di almeno dieci milioni di nuovi ceppi di malware per Windows e più o meno tre milioni e mezzo per Android. Le statistiche mostrano che il livello di minaccia è in costante aumento. Molte attività quotidiane come le transazioni bancarie o gli acquisti vengono effettuate online. La conduzione di tali attività diventa di giorno in giorno sempre più semplice grazie all’utilizzo di supporti operativi quali gli assistenti vocali e ad una migliore fruibilità. Cosa che aumenta altresì il raggio d’azione dei criminali.

“I Bitcoin e le altre criptovalute stanno infrangendo record su record. Sempre più persone si interessano alle valute digitali. I criminali sfruttano questo trend, focalizzandosi sempre più sugli utenti Internet attivi in questo ambito “spiega Tim Berghoff, G DATA Security Evangelist. “Inoltre, ci aspettiamo di vedere molti più attacchi su larga scala condotti ai danni di piattaforme che in precedenza non erano mai state prese in considerazione, dato che solo di recente soluzioni IoT, come gli assistenti personali digitali e i dispositivi domotici, sono entrati nel mercato di massa.

Sicurezza IT: previsioni 2018

  • Maggiore attenzione all’IoT: i dispositivi intelligenti sono presenti tanto in ambito residenziale quanto aziendale / industriale. L’Internet of Things non è più solo una moda, per molti utenti è uno strumento quotidiano. Nel 2018 i cybercriminali daranno vita ad attività illegali mirate.
  • Attacchi ransomware in crescita: nel 2017 i cybercriminali hanno ottenuto enormi profitti dall’utilizzo di questa forma di estorsione virtuale. Le tecniche sono diventate sempre più raffinate. In virtù di ciò, per il 2018 ci si attende un’ulteriore aumento dei malware che chiedono un riscatto.
  • Estorsione di dati riservati: il furto di dati è stato un business estremamente lucrativo per molti anni. In passato i cybercriminali hanno messo in vendita i dati ottenuti sul dark web. Gli esperti di G DATA hanno però riscontrato un trend diverso: le aziende a cui sono stati criminali minacciano le aziende alle quali hanno estorto illegalmente i dati richiedendo un riscatto.
  • Attacchi agli assistenti vocali: Sempre più utenti si affidano ad assistenti personali come Siri e Alexa. Nel 2018, gli esperti di sicurezza G DATA si aspettano primi attacchi di successo contro queste piattaforme e la nascita dei primi (?) modelli di business redditizio.
  • Nuove normative sulla protezione dei dati: La data d’entrata in vigore del GDPR Europeo si avvicina inesorabilmente. La nuova normativa entrerà in vigore il 25 maggio 2018. Molte società sono ancora molto indietro in termine di conformità alle nuove leggi. Entro la data di scadenza, le aziende dovranno garantire che i dati sensibili dei propri clienti vengano elaborati e tutelati nel rispetto della legge. G DATA ritiene che circa il 50% delle aziende non si sarà adeguato integralmente al contenuto della normativa europea prima della sua data di decorrenza.
  • Criptovalute come vettore di attacco: L’euforia generata dalle criptovalute rievoca la corsa all’oro del diciannovesimo secolo. A fronte di un investimento sempre più massiccio in monete digitali, i cybercriminali stanno compiendo sforzi concertati con l’intento di derubare gli utenti.

Continua a leggere

MWC 2017: sicurezza mobile componente basilare della rivoluzione digitale


logo-claim-2015-3c-highresG DATA presenta al Mobile World Congress 2017 di Barcellona le proprie soluzioni di sicurezza completa per smartphone e tablet. Padiglione 6, stand 6B40.

Il leitmotiv del Mobile World Congress 2017 è “basilare” (elemental), uno slogan che simbolizza egregiamente il grado di integrazione dei dispositivi mobili nel nostro quotidiano. Nella nostra penisola il 70% dei consumatori è connesso a Internet unicamente attraverso smartphone e tablet o attraverso device mobili in combinazione con dispositivi desktop. Gli Italiani inoltre trascorrono più tempo su mobile che su desktop, al mobile fa capo infatti il 64% della durata totale delle connessioni (fonte:comScore, analisi 2016). Altrettanto rapidamente cresce il numero di minacce ai danni dei device mobili: con 3.246.284 nuove istanze di malware per Android nel 2016, corrispondente ad un aumento del 40% anno su anno, i cybercriminali hanno messo a segno un nuovo record. A fronte della sua redditività, questo mercato è di forte interesse per i cybercriminali che escogitano metodi sempre più creativi per attirare utenti ignari nella propria trappola.

gdata-infographic-mmwr-h2-16-new-android-malware-per-year-en-rgb

G DATA illustrerà come gli utenti possono rendere sicuri i propri dispositivi mobili con sistema operativo Android e iOS e salvaguardare la propria identità digitale, e come le aziende possano mettere in atto efficaci misure di Mobile Device Management dal 27 febbraio al 2 marzo in occasione del Mobile World Congress di Barcellona, padiglione 6 – stand 6B40.

 

Highlight di G DATA al Mobile World Congress

  • Secure Chat per iOS e Android
    L’applicazione G DATA Secure Chat consente di condurre chat temporizzate, protette attraverso una crittografia multipla che garantisce anche lo scambio sicuro di file multimediali. Già inclusa nella suite G DATA Mobile Internet Security per Android, l’applicazione sarà disponibile a breve anche per dispositivi iOS.
  • Modulo VPN integrato
    Anche gli utenti iOS potranno beneficiare di questa funzionalità integrata nel G DATA Mobile Internet Security. Non sarà quindi più necessario installare ulteriori soluzioni per la protezione del traffico dati nelle reti pubbliche di hotel, bar, ristoranti, aeroporti. Il modulo VPN integrato può essere posto automaticamente in background quando l’utente mobile naviga in Internet, controlla le e-mail o effettua le proprie transazioni bancarie.
  • Status del livello di insicurezza mobile
    Le 3.246.284 nuove istanze di malware per Android identificate nel corso del 2016 rappresentano un nuovo record negativo, corrispondente ad un incremento del 40 percento rispetto al 2015 ai danni di una componente ormai basilare per la nostra quotidianità. Oltre a svolgere attività di online-banking, spedire messaggi o navigare in internet tramite smartphone, gli utenti impiegano questi tuttofare sempre più spesso come telecomando per dispositivi IoT. A Barcellona gli esperti di sicurezza di G DATA presenteranno i più recenti attacchi perpetrati contro utenti privati e aziende. Come si possono affrontare in modo efficace le sfide del mondo mobile?

mwc2017

Continua a leggere

Produzione intelligente – ma la sicurezza?


La sicurezza prima di tutto nell’industria 4.0, perchè questa è la vera intelligenza del concetto “smart”Logo-Claim-2015-3c-highres

Bologna – La crescente digitalizzazione dell’industria e dei macchinari utilizzati nella produzione è la prova del continuo sviluppo dei processi industriali tradizionali. I vantaggi di dispositivi connessi alla rete sono innegabili: interazione tra le sedi di multinazionali, sistemi produttivi intelligenti dotati di autodiagnosi e manutenzione autonoma, tempi di risposta più brevi in presenza di modifiche delle condizioni di produzione, perfetta integrazione di clienti e fornitori nella catena del valore… In pratica, per l’Industria 4.0 è stato creato un Internet delle Cose di natura squisitamente commerciale. Ma la sicurezza vi ha trovato posto?

Non c’è vendor di sicurezza che non confermi che ogni dispositivo che dispone di un indirizzo IP è una potenziale vulnerabilità per la rete interna e per gli utenti di Internet. Lato industriale, le conseguenze di una compromissione dei sistemi produttivi sono molto più ampie rispetto a quelle di mere violazioni dei PC. Ne dovrebbe conseguire un incremento delle esigenze legate alla sicurezza IT in ambienti che non potrebbero essere più sensibili di quanto già sono. Se nell’Europa settentrionale la maggioranza della classe politica e dei decisori vede la sicurezza informatica come la più grande sfida per l’implementazione su larga scala dell’Industria 4.0, qual è la situazione italiana?

Industry_40

Impariamo dagli errori

Certamente non possiamo dire che in Italia l’Industria 4.0 abbia preso piede, si trova ancora in stato embrionale (con casi di successo comunque stupefacenti!) ed è spesso sinonimo di prodotti legati all’universo dell’Internet delle Cose: attrezzature da cucina intelligenti, dispositivi di misurazione che portiamo al polso e quindi ovunque con noi, autoveicoli connessi in Rete (uno dei settori manifatturieri in cui l’industria italiana, legata a doppio filo a Paesi del Nordeuropa, si sta evolvendo a maggior velocità) e molto altro. Tutti apparecchi che fanno già parte della vita quotidiana di molti di noi. Non ci sono premesse migliori per dar vita a nuovi processi produttivi che integrino la sicurezza sin dall’inizio, imparando dagli errori altrui!

Eppure la nostra esperienza ha evidenziato che, nonostante si vogliano definire “intelligenti” ad ogni costo, solo una minima parte degli impianti di produzione e dei prodotti “smart” che ne scaturiscono sono stati oggetto di integrazione di meccanismi di aggiornamento sicuri, protezione con password, sistemi di autenticazione tra i dispositivi, optando per i protocolli di trasmissione sicuri e valutando tutti gli aspetti della sicurezza sin dalla progettazione. Questo perché la sicurezza non è ancora percepita come un reale problema nel contesto d’uso di tali oggetti e, per vari motivi, in realtà, viene messa in secondo piano. Non possiamo che sperare che abbia luogo un rilevante cambiamento di consapevolezza nei confronti della sicurezza nell’Industria 4.0 a breve termine, prima che si verifichino danni eclatanti, perché se da un lato è vero che l’assenza di piattaforme standardizzate per i dispositivi smart dell’IoT rallenti – minimamente – hacker e sviluppatori di malware (su quale sistema operativo dovrebbero concentrarsi?), proprio per l’assenza di standard, non vi è alcun software di sicurezza specificamente sviluppato per i dispositivi intelligenti.

Sicurezza: chi ne è responsabile?

“La sicurezza non è una sorte di polvere miracolosa con cui cospargere il vostro prodotto una volta programmato”, queste le parole del pioniere di Internet, il Dottor Paul Vixie, in occasione degli Internet Security Days 2015. Un monito rimasto praticamente inascoltato. Troppo spesso, gli sviluppatori sono costretti a rilasciare prodotti quando non sono pronti, perché la data di uscita è stata pianificata irrevocabilmente dal reparto commerciale e il mercato è in attesa del prodotto. Lo sviluppo della versione finale del firmware ha spesso luogo quando il prodotto è già in uso presso i consumatori. Così stiamo a guardare produttori che si occupano alacremente di funzionalità e intuitività d’uso, disinteressandosi della protezione garantita agli utenti a qualunque livello, dalla digitalizzazione degli impianti al prodotto finito.

E’ indubbio che il concetto di sicurezza integrata sin dalle prime fasi dello sviluppo, noto anche come “Security by Design”, sarebbe preferibile. E proprio da qui scaturisce la domanda più incresciosa, la cui risposta si lascia attendere, come l’implementazione di misure di sicurezza adeguate, alla luce degli ormai noti e ricorrenti attacchi sistematici a protocolli, servizi e piattaforme. Di chi è, in ultima analisi, la responsabilità della sicurezza operativa?

Un’opportunità con conseguenze

L’Industria 4.0 è destinata a diventare una delle principali fonti di reddito per un gran numero di settori istituzionali, commerciali e di ricerca. Proprio per questo, la collaborazione tra esperti qualificati si rivela essenziale. Tale collaborazione non deve fermarsi allo stato di “idea”, piuttosto, l’intenzione deve dar luogo ad uno sviluppo agile e orientato al futuro progresso di tutti i soggetti coinvolti. Idealmente dovrebbero essere attuate direttive e procedure di sicurezza, non solo perchè “comandate” dall’alto, ma come parte di una cultura della sicurezza all’interno dell’azienda, in grado di ridurre il rischio a tutti i livelli.

Oggi abbiamo un’opportunità irripetibile: integrare le caratteristiche fondamentali della sicurezza nelle infrastrutture per la creazione di nuove tecnologie, quando sono ancora in fase di sviluppo. E abbiamo bisogno di cogliere questa opportunità. A nostro avviso è questa l’intelligenza del concetto “smart”. Oltre a reti intelligenti, fabbriche intelligenti, città intelligenti, automobili intelligenti, intelligente qualunque cosa, abbiamo bisogno anche di sicurezza intelligente.

Perdere questa chance, avrà conseguenze, di cui non vogliamo neanche immaginarci la portata.

Continua a leggere

G DATA – previsioni 2016: L’Internet delle Cose sotto assedio


Il produttore di soluzioni per la sicurezza IT condivide quattro previsioni sul cybercrime per il prossimo anno.Logo-Claim-2015-3c-highres

Bochum (Germania) – Malware preinstallato su smartphone e autovetture oggetto di attacchi informatici tra i temi sotto i riflettori dei media nel 2015. Un internauta su due quest’anno è stato vittima della criminalità informatica (fonte Bitkom). Il 2016 prosegue sull’onda vertiginosa dell’interconnessione: la digitalizzazione dei processi di produzione aziendali avanza e anche i privati collegano alla Rete sempre più dispositivi gestibili via Internet o tramite Apps. In molti casi tuttavia, questo progresso ha luogo senza considerare gli aspetti legati alla sicurezza: via libera quindi per i cybercriminali, che nel 2016 cercheranno ancor più acribicamente obiettivi di attacco e possibilità di manipolazione proprio in questo ambito. Gli esperti di sicurezza G DATA condividono quattro previsioni per l’anno che verrà.

“La digitalizzazione dei processi non ha luogo esclusivamente presso aziende o enti, se ne avvalgono anche i cybercriminali” afferma Eddy Willems, Security Evangelist di G DATA. “Chi tira i fili del traffico di droga su scala mondiale non lo fa più sulle strade ma in negozi del deep web. Anche le armi sono a portata di click, un trend destinato a rafforzarsi nel 2016, perché per i cybercriminali il commercio via Internet minimizza i rischi”.

Le previsioni 2016 in tema di sicurezza IT

  • Crescente digitalizzazione della criminalità
    I confini della criminalità organizzata sbiadiscono: droga, armi, documenti fasulli o intere identità possono essere acquistate in shop del web sommerso con un click. Le attività criminali si sposteranno sempre più verso questo ambito di Internet.
  • L’Internet delle Cose nel mirino dei delinquenti
    Autovetture craccate, braccialetti fitness o dispositivi accessibili da remoto: l’internet delle cose è sempre più apprezzato, che se ne faccia uso privatamente o a livello aziendale. Nel 2016 i cybercriminali potenzieranno le proprie attività in questo settore cercando in modo mirato falle di sicurezza che consentano loro di accedere alle reti aziendali. L’IoT si trasformerà progressivamente in un «Internet of Threats» (Internet delle minacce).
  • Crimine informatico “as a Service”
    Su numerosi forum del deep web è disponibile da tempo una variegata offerta di exploit kits ed altri malware. Gli esperti di sicurezza G DATA si aspettano che un crescente numero di criminali informatici offra in modo diretto i propri servizi “on demand” e che attacchi aziende, enti o privati su commissione.
  • Gli hotspot gratuiti attirano i cybercriminali
    Sempre più locali, edifici, aeroporti, stazioni e centri commerciali si dotano di hotspot wifi gratuiti, che nel 2016 saranno sfruttati in maggior misura dai cybercriminali a caccia dei dati di utenti ignari. Continua a leggere

L’Internet delle cose, ovvero dei problemi


Una storia a puntate, senza fine.

Logo-Claim-2015-3c-highresQuasi sei mesi fa Eddy Willems, Security Evangelist di G DATA ha trattato i problemi che potrebbero sorgere con l‘Internet delle cose (in inglese “Internet of Things”, abbreviato IoT). E indovinate un po’? Quasi tutto ciò che aveva pronosticato ha già avuto luogo, superando addirittura qualsiasi aspettativa… non è una bella cosa.

Industria automobilistica
Le notizie relative ad auto hackerate sono apparsi su giornali ed emittenti di tutto il mondo. In seguito ad un attacco cibernetico andato a buon fine, il gruppo Fiat Chrysler ha dovuto richiamare 1,4 milioni di veicoli Jeep (http://www.bbc.com/news/technology-33650491). Un altro episodio riportato dai media riguarda invece cybercriminali che sono riusciti a craccare i freni delle Corvette (http://www.wired.com/2015/08/hackers-cut-corvettes-brakes-via-common-car-gadget/). Questi esempi confermano i problemi che riguardano indistintamente l’intera industria automobilistica e che avevamo già affrontato in precedenza, trattando, fra l’altro, anche i problemi della BMW.

Settore fitness
Di tutt’altro genere ma facenti anch‘essi parte dell’Internet delle cose sono i nuovi e gettonati wearables: braccialetti per il fitness, misuratori di passi, dispositivi mobili per lo sport ed i rispettivi dati che vengono raccolti nel Cloud, sui dispositivi stessi o sugli smartphone. Significativa è stata in questo caso l’analisi condotta da AV-TEST, un’organizzazione indipendente e nota a livello mondiale per i propri test di soluzioni per la sicurezza IT.
In particolare è stato analizzato il modo in cui i dati personali riguardanti l’attività sportiva vengono trasmessi dai vari dispositivi allo smartphone o al Cloud e testata la sicurezza delle app fitness tracker. I risultati del test sono consultabili a questo link: https://www.av-test.org/en/news/news-single-view/test-fitness-wristbands-reveal-data/. AV-TEST ha rilevato un fatto importante: i risultati di tutte le attività sportive vengono registrati e analizzati tramite un’apposita app sullo smartphone. Le prestazioni sono quindi rese subito disponibili dall’app. Un quesito resta però aperto: questi dati vengono trasmessi in modo cifrato dal braccialetto allo smartphone o è possibile che estranei possano intercettare i dati per poi copiarli o manipolarli? Potrebbe addirittura essere manipolata la app stessa? I tester si sono occupati di questi ed altri quesiti ed hanno analizzato braccialetti e tracker unitamente al funzionamento delle corrispondenti app per Android. Quali sono stati i risultati ottenuti da questi tracker in merito alla sicurezza? Esiste la possibilità che la trasmissione dei dati venga intercettata?

Eddy Willems illustra la Underground Economy (Settembre 2015)

Testare l‘impossibile?
I fitness tracker rivestiranno in futuro un ruolo sempre più importante per il servizio sanitario. E‘ perciò fondamentale un consistente miglioramento della sicurezza da parte dei produttori di questi dispositivi e applicazioni per evitare l’abuso dei dati. Cosa succederebbe se la gente utilizzasse i dati del vicino pressoché coetaneo ma più sportivo? Negli USA ed in altri Stati i contributi per il servizio sanitario sono molto elevati. La manipolazione dei dati rappresenta quindi un’opzione “interessante” per poter ridurre i costi dell’assicurazione sanitaria. D’altro canto i criminali potrebbero utilizzare i dati rubati per esplorare le abitudini sportive dell’utente e scoprire, ad esempio, gli orari in cui si trova fuori casa. Sarebbe così possibile pianificare un‘irruzione nella sua abitazione.

Ai test sui fitness tracker hanno fatto seguito una serie di nuove indagini volte a dare una risposta alle domande in merito al livello di protezione garantito dalle App. Tutti questi test, estesi anche ad altri settori di mercato, seguono per lo più una linea comune: dati, criptaggio e autenticazione. La cifratura è tuttavia solo un aspetto della tutela dell’integrità dei dati e della loro riservatezza. Valutare solo questo punto significa ignorare che la sicurezza comprende molti altri aspetti che andrebbero considerati nei test futuri. Perché non sviluppare, ad esempio, dei test che permettano di scoprire se nell’elettronica delle automobili sia stato trascurato il fattore sicurezza?

Di recente abbiamo appreso che alcuni hacker etici offrono i propri servizi ad aziende appartenenti all’industria automobilistica e che quest’ultima voglia fargli condurre dei penetration test al fine di rilevare eventuali falle. Questo andrà tuttavia a risolvere solo alcuni dei problemi relativi alla sicurezza. Non riesco proprio ad approvare questo metodo, in quanto l’Internet delle cose è troppo diversificato e le aziende impiegano già nuove tecnologie non sufficientemente sicure nei propri prodotti. Una soluzione potrebbe essere la costituzione di un’organizzazione o di un’istituzione che fissi le linee guida per i vari settori dell‘ IoT in modo da poter controllare la sicurezza e testarne i vari aspetti, seguendo standard validi a livello globale.

Online Trust Alliance, forse una risposta?
Un’iniziativa che segue questo tipo di approccio, a mio avviso risolutivo, è l’Online Trust Alliance, che ha sviluppato un progetto chiamato “Internet of Trust Framework“ (https://otalliance.org/initiatives/internet-things-iot#resource). Scopo del progetto è quello di fornire agli sviluppatori linee guida per ridurre vulnerabilità e punti deboli e per promuovere l‘attuazione di misure per la sicurezza e la protezione dei dati. L’iniziativa mira infatti a favorire la messa in atto di “best practice” in merito a sicurezza, protezione dei dati e sostenibilità. Questi concetti dovrebbero valere come modello per lo sviluppo di un codice di comportamento applicabile su scala generalizzata, sebbene su base volontaria.

Eddy Willems illustra la Underground Economy (Settembre 2015)

Eddy Willems illustra la Underground Economy (Settembre 2015)

Prospettive
L’iniziativa citata rappresenta senza dubbio un passo importante nella giusta direzione ma non siamo ancora arrivati alla meta finale. Sono fermamente convinto che l’Internet delle cose sia un settore talmente vasto che sarà difficile trovare un equilibrio stabile tra sicurezza, protezione dei dati e corretta realizzazione in ogni prodotto dell’IoT.
E‘ inoltre indubbio il fatto che gli esperti di sicurezza possano supportare la totalità delle aziende in ambito IoT, data la crescita esponenziale di questo mercato. Gli esperti di IT-Security hanno già molto lavoro da svolgere: lavorano senza sosta per rendere sicuri Internet, i sistemi operativi ed i dispositivi che noi utilizziamo. Il miglior metodo per rapportarsi con i pericoli dell’IoT è dunque seguire un concetto olistico e sistemico.

Il vero pericolo e una possibile soluzione: repetita non juvant!
Le previsioni per l‘Internet delle cose sono impressionanti: entro il 2020 IDC pronostica 212 miliardi di dispositivi IoT con oltre 30 miliardi di apparecchi ad essi automaticamente connessi e un flusso di dati superiore ai 3 milioni di petabyte: il rischio di abuso di questi dispositivi sarà quattro volte maggiore rispetto ai pericoli connessi ai computer. E’ questa la vera minaccia. Cosa succederebbe se la vostra automobile in corsa venisse craccata o se il vostro microinfusore di insulina venisse controllato dai cybercriminali? Il rischio di lesioni gravi diviene sempre più presente nella vita di tutti i giorni.

Gran parte dei problemi di sicurezza riscontrati nei dispositivi IoT possono essere risolti integrando la sicurezza sin dall’inizio, un approccio chiamato “Security by Design“, in parte già attuato e la cui importanza si riscontra specialmente a livello di firmware. Poterlo aggiornare in modo assolutamente semplice può ad esempio rivelarsi un vantaggio. Ciò potrebbe tuttavia trasformarsi in un vero e proprio incubo nel caso in cui i criminali riuscissero a manipolare questo processo, ecco perché nelle menti degli ingegneri dovrebbe sempre riecheggiare il messaggio del ”Security by Design”: i dispositivi devono essere progettati in modo sicuro fin dall’inizio, dopodiché ci si potrà occupare anche di altri aspetti.

Dal momento che i cybercriminali si lanciano sempre sulle prede più facili, le applicazioni IoT rappresentano un ambito particolarmente appetibile. Tra queste, le applicazioni per mobile o desktop che gestiscono dispositivi, firmware o app (ad es: Smartwatch) sono già utilizzate in svariati settori di mercato e vanno assolutamente protette, dal momento che comunicano con i device e consentono a estranei l’accesso a dati riservati o a meccanismi di pagamento. Le misure di sicurezza delle app su questi dispositivi devono quindi essere perfezionate.

Ovviamente abbiamo già avuto a che fare con attacchi e malware, come ad esempio il Vicepass Trojan, che tentano di carpire le password di tutti i dispositivi collegati alla rete. Ritengo tuttavia che si tratti ancora di “esperimenti”. G DATA proporrà sicuramente nuove soluzioni in questo panorama in continua evoluzione. Ce ne stiamo già occupando con le nostre attuali soluzioni di sicurezza per Android, Windows, Linux e MAC, bloccando per lo meno i malware zero day (app che abusano da remoto di dispositivi IoT che montano tali sistemi operativi). Android potrebbe essere una delle prime piattaforme ad essere utilizzata per attaccare dispositivi IoT, a fronte della buona penetrazione di questo sistema operativo tra produttori e cybercriminali.

Tutti i settori ed i rami dell’industria che hanno a che fare con l‘Internet delle cose, come Smart Home, Smart City, Smart Car o automazione industriale (conosciuta anche come industria 4.0), non dovrebbero compiere lo stesso errore del passato e cioè quello di non considerare la sicurezza IT come uno dei problemi fondamentali. Occorrono implementazioni sicure e standard di sicurezza elevati. Il concetto “Security by Design“ riveste qui un ruolo decisivo. Non dimentichiamolo! Possiamo sempre chiudere le falle a posteriori, ma sarebbe indubbiamente preferibile che queste falle fossero escluse già in fase di produzione, in modo da non permettere alcuno sfruttamento o abuso. Continua a leggere