Assistenti vocali e cybersecurity: forse è già troppo tardi


Gli assistenti vocali sono più popolari che mai e dovrebbero semplificarci la vita, non spiarci. Eppure, la possibilità che essi vengano hackerati è una realtà oggettiva.

Secondo un recente studio dell’istituto Canalys, nel 2018 saranno venduti oltre 56 milioni di prodotti dotati di assistente vocale. Attraverso hub che integrano funzionalità smart tra cui Apple HomePod, Google Home e Amazon Echo, Siri, l’assistente vocale di Google, Alexa e Cortana saranno sempre più presenti nelle nostre case oltre che nei nostri smartphone. Si tratta di strumenti indubbiamente ottimi per semplificare le nostre vite e farci risparmiare tempo, ma rappresentano anche un rischio in termini di sicurezza delle informazioni, considerando la naturale iperconnettività di questi oggetti e lo scarso livello di protezione offerto. In un articolo apparso sul sito “Motherboard”, i ricercatori israeliani Tal Be’ery e Amichai Shulman – entrambi specialisti di cybersecurity – hanno postulato la seguente inquietante conclusione: “Abbiamo ancora la brutta abitudine di introdurre nuove interfacce nelle macchine senza analizzarne appieno le implicazioni in termini di sicurezza”.

(fonte: Google)

Dalla pubblicità sovversiva all’intrusione ultrasonica

Le notizie sulle vulnerabilità di questi sistemi e su casi di hackeraggio degli assistenti vocali hanno dato ragione ai due ricercatori.

Nell’aprile 2017, Burger King versò benzina su un dibattito già infuocato con una pubblicità di durata inferiore ai 15 secondi. La pubblicità consisteva di una semplice richiesta di informazioni all’assistente vocale da parte del personale della catena di fast food: “OK Google, cos’è uno Whopper?”. Sui dispositivi dei telespettatori si attivava automaticamente l’assistente vocale, che apriva in un battibaleno la pagina Wikipedia sul famoso hamburger.

Per alcuni, è stato un colpo di genio pubblicitario, per altri un chiaro esempio dei rischi connessi all’omnipresenza degli assistenti vocali. Tal Be’ery e Amichai Shulman dimostrarono altresì che gli attacchi agli assistenti vocali avrebbero potuto essere anche molto più sinistri. Trovarono infatti un metodo per aggirare la procedura di login su un computer Windows utilizzando Cortana – l’assistente virtuale di Windows 10. Come hanno fatto? Sfruttando il fatto che questo assistente non è mai “spento” e risponde a determinati comandi vocali anche quando i dispositivi sono bloccati.

Un esempio simile ma ancora più insidioso è il DolphinAttack sviluppato da alcuni ricercatori cinesi. Questa tecnica implica l’uso di comandi ultrasonici non udibili per l’uomo ma rilevati dal microfono di un computer. In questo modo, la maggior parte degli assistenti vocali può essere attivata da remoto.

Un’altra vulnerabilità dal retrogusto amaro per gli utenti Apple è data dalla possibilità di bypassare la funzione di privacy che nasconde i messaggi che altrimenti apparirebbero sulla schermata di blocco dei dispositivi. Il sito Mac Magazine brasiliano rivelò che chiunque avrebbe avuto accesso ai messaggi nascosti, semplicemente chiedendo a Siri di leggerli ad alta voce, trasformando Siri (l’assistente vocale proprietario di Apple) in modo efficace in un cavallo di Troia.

Aumentare la consapevolezza e usare la crittografia: le uniche contromisure immediatamente disponibili

“Per loro natura, i microfoni utilizzati dagli assistenti vocali, specie quelli integrati negli hub intelligenti, sono sempre attivi e rappresentano un problema per la tutela della privacy”, conferma Paul Fariello, Technical Leader di Stormshield. “Una minaccia che tuttavia risulta ridotta se si considera che per i cybercriminali è molto più semplice avvalersi di tecniche più tradizionali come il ransomware e il phishing. Crittografare i dati sensibili per impedirne l’uso in caso di furto riduce il rischio di leakage. ”

Oggi, i produttori si limitano a fornire correzioni caso per caso. “Non esistono attualmente contromisure tecnologiche per questo tipo di problema. L’unica cosa che si può fare è sensibilizzare gli utenti, un processo che però ha i suoi limiti “, precisa Fariello. A fronte dell’architettura chiusa che caratterizza i dispositivi interconnessi o gli stessi smart hub non è infatti ancora possibile dotare tali apparecchi di soluzioni di sicurezza supplementari. Alla luce dell’infinita creatività degli hacker, l’opzione migliore sembra essere quella della sicurezza by design, di responsabilità esclusiva dei produttori. Seguendo il modello delle impronte digitali, l’impronta vocale potrebbe essere la nuova password biometrica per autenticare chi ha accesso agli assistenti vocali?

Continua a leggere

Lavorare da casa e cyber sicurezza: un connubio burrascoso


Sempre più numerose le aziende che anche in Italia adottano lo smart working, favorite dalla presenza di normative specifiche. Pratica popolare tra gli impiegati, specie in settori di mercato in cui la dinamicità del personale e quindi la mobilità delle risorse umane è la chiave del successo delle organizzazioni, lo smart working rappresenta però un rischio in termini di protezione dei dati. Le società che desiderano avvalersene dovrebbero prendere alcune precauzioni per evitare spiacevoli sorprese.

Stando a recenti stime dell’Osservatorio Smart Working della School of Management del Politecnico di Milano tra il 2013 e il 2017 i lavoratori che in Italia possono svolgere le proprie mansioni anche dal di fuori delle mura aziendali a intervalli più o meno regolari sono cresciuti di circa il 60%, complice il fatto che nel bel Paese lo Smart Working o Lavoro Agile è chiaramente disciplinato dalla Legge n.81 del 22/05/17, il cui varo ha favorito un ulteriore incremento degli “smart worker” a 350.000 unità, ossia l’8% della forza lavoro italiana, un risultato importante, sebbene ancora lontano dalla media europea, dove circa il 30% dei dipendenti si avvale dello smart working per più di un giorno alla settimana.

Lavoro a distanza: pratica popolare non scevra da rischi IT

L’86% degli impiegati intervistati da Symantec UK per un recente studio ha dichiarato di utilizzare il proprio computer personale per scopi lavorativi, di questi il 42% ha dichiarato di non aggiornare regolarmente i sistemi e le applicazioni, al contrario del 70% dei tedeschi. Se lo smart working dovesse prendere piede come ci si aspetta, il suo sviluppo potrebbe diventare il nuovo incubo per i manager IT.

Tre i rischi principali che le aziende devono essere pronte ad affrontare:

  • Gli impiegati potrebbero non essere in grado di accedere alle informazioni necessarie per lavorare
  • Contaminazione della rete aziendale tramite una falla di sicurezza del computer dell’impiegato (o vice versa)
  • Furto o perdita di dati.

Sensibilizzare gli impiegati sui rischi informatici dello smart working

Per prevenire incidenti è indispensabile sensibilizzare gli utenti sulle problematiche di sicurezza IT connesse al lavoro a distanza. Coloro che lavorano al di fuori della sede aziendale dovrebbero ricevere regolarmente promemoria relativi alle buone pratiche da implementare: aggiornamenti regolari dell’antivirus, separazione tra le email personali e quelle aziendali, l’uso di periferiche esterne (chiavette USB, dischi rigidi ecc) dovrebbe essere limitato al trasferimento di dati da un computer all’altro e similari.

“Aumentare la consapevolezza degli utenti è essenziale ma non è sufficiente” avverte Jocelyn Krystlik, Manager Data Security Business Unit di Stormshield. “Semplicemente non è realistico oggigiorno far accollare agli utenti oneri eccessivi. Le imprese non possono affidarsi esclusivamente a questo tipo di misure preventive per tutelare la propria sicurezza”.

Soluzioni di protezione basate su sistemi di identificazione e tecnologia cloud

Le imprese non possono esimersi dall’implementare misure pratiche e soluzioni tecniche al fine di limitare i crescenti rischi IT derivanti dal lavoro a distanza.

  1. Determinare il profilo dei lavoratori a distanza. Per le organizzazioni è essenziale pianificare in anticipo e stabilire un profilo per ogni tipologia di addetto, basandosi sul rispettivo ruolo e sulle informazioni sensibili a cui l’impiegato deve poter accedere, che si trovi in azienda o fuori sede. I meccanismi di sicurezza non possono essere identici per i lavoratori a tempo pieno, per quelli part-time o per coloro che lavorano unicamente nel weekend.
  2. Autenticazione dell’accesso remoto. Uno dei principali strumenti per prevenire che la rete aziendale venga hackerata è l’impiego di un sistema che identifichi il lavoratore momento del log-in (tramite ID, password, codice d’accesso singolo ecc.) e ne limiti l’accesso alle sole risorse autorizzate tramite policy.
  3. Separazione e protezione dei sistemi operativi. Oltre al tradizionale software antivirus, uno dei metodi più semplici per prevenire una contaminazione incrociata tra il computer dell’impiegato e la rete aziendale è di minimizzare i diritti di amministrazione dell’addetto sulla macchina. Ciò significa dotare i lavoratori di un PC utilizzato strettamente a fini aziendali e aggiornato regolarmente dal reparto IT.
  4. Fornire un accesso sicuro ai dati. Per la messa in sicurezza del flusso di dati tra lo smart worker e la rete aziendale è d’uopo avvalersi di una VPN (Virtual Private Network), anche se “questa tipologia di accesso cifrato ai dati sta perdendo di rilevanza a fronte dello sviluppo della tecnologia cloud”, osserva Krystlik. Attraverso le piattaforme virtuali è possibile accedere a dati aziendali sensibili in qualsiasi momento, dovunque ci si trovi, senza alcuna connessione fisica diretta. “Il cloud consente di scorrelare l’autenticazione per l’utilizzo del computer, sempre difficile da proteggere, dall’autenticazione per l’accesso alle informazioni sensibili. Alla fine ciò che conta realmente è la sicurezza dei dati che si vogliono trasferire” conclude Jocelyn Krystlik.

Le soluzioni Stormshield Network Security aumentano l’agilità aziendale in un universo “Bring-Your-Own-Everything” garantendo accesso sicuro alle risorse interne aziendali (server email, intranet, applicazioni interne, file ecc.) attraverso le più restrittive policy di sicurezza. Con Stormshield Data Security invece il produttore europeo di soluzioni per la sicurezza IT protegge efficacemente i dati aziendali. Basate sulla cifratura dei dati end-to-end dall’utente al destinatario, Stormshield Data Security assicura protezione trasparente contro attacchi “man-in-the-middle”, amministrazione abusiva dei file e perdita di dati, in linea con il GDPR.

Continua a leggere

Sicurezza dei Sistemi Informativi Industriali: un’assoluta necessità


In termini di cybersicurezza Il 2017 è stato un anno buio per molte aziende afferenti al settore industriale. Gli attacchi perpetrati ai danni dei rispettivi sistemi informativi hanno fatto notizia e incrementato la consapevolezza degli operatori sulle proprie vulnerabilità. La carente sicurezza dei sistemi industriali richiede l’adozione misure appropriate, sia in termini di infrastruttura IT sia di integrità OT. La continuità del servizio è cruciale e il suo impatto risulta addirittura superiore a quello dei sistemi IT, poiché determinante per l’integrità di beni e individui.

Sistemi informativi industriali: molte le sfaccettature da prendere in considerazione

Un dato di fatto che è sempre bene ricordare: il sistema informativo di un’azienda manifatturiera differisce da quello utilizzato in altri settori di mercato e le sue specificità richiedono dispositivi di protezione che integrino la logica legata al tipo di attività. Ne consegue che le tradizionali soluzioni multifunzione trasversali proposte sul mercato non offrono un elevato livello di sicurezza. Prima di avviare un progetto, le organizzazioni industriali dovrebbero prendere in considerazione questi vincoli specifici e rivolgersi a specialisti del settore. A nostro avviso infatti solo i fornitori che hanno sviluppato competenze specifiche sono in grado di affrontare le sfide poste dal settore industriale.

Elaborare un progetto in maniera unificata, semplifica la gestione dei sistemi impiegati (in particolare in termini di amministrazione delle soluzioni). Consente anche di sviluppare una sinergia tra i team informatici e aziendali coinvolti nella messa in sicurezza dei sistemi informativi e dell’infrastruttura industriale. Le competenze nel campo della cybersecurity sono una merce troppo rara per potersi permettere un deficit di efficienza.

Fonte: Wikimedia

La nascita di vere e proprie alleanze industriali

E’ proprio la particolarità dell’universo industriale la ragione per cui ultimamente si assiste allo sviluppo di un intero ecosistema imperniato sulla protezione dei sistemi informativi industriali. Sono nate alleanze tecniche e commerciali tra operatori complementari, che unendo le proprie forze hanno sviluppato sistemi ad alto valore aggiunto frutto della combinazione di soluzioni, integrazione, consulenza, formazione. Ci si può solo rallegrare di tali iniziative, perché a livello europeo potrebbero dare vita a nuovi leader del settore.

Requisiti normativi e consapevolezza politica

Coscienti di queste sfide strategiche, i legislatori hanno approcciato la tematica proclamando che la messa in sicurezza dei sistemi informativi industriali è un’assoluta necessità. Un’esigenza poi calata in molteplici leggi nazionali o europee. In Italia l’8 febbraio il Consiglio dei Ministri ha approvato lo schema di Decreto Legislativo attualmente al vaglio del Parlamento (ratifica che dovrebbe concludersi il 9 maggio) per il recepimento della Direttiva UE 2016/1148, meglio nota come Direttiva NIS. L’intento della Direttiva è assicurare a tutte le infrastrutture critiche a livello nazionale un’adeguata tutela contro incidenti informatici che potrebbero cagionare la non disponibilità di servizi primari per il Paese. Entro il 9 novembre le Autorità competenti NIS (cinque Ministeri) dovranno identificare gli operatori di servizi essenziali, che, in quanto tali, saranno tenuti a ottemperare alla normativa. In Francia alcuni contenuti della Direttiva NIS sono già stati recepiti attraverso una legge programmatica militare che, tra l’altro, vincola già ora le organizzazioni di importanza vitale per il Paese a separare i sistemi sensibili dai restanti sistemi informativi attraverso soluzioni qualificate da ANSSI, l’agenzia di cybersecurity nazionale francese, secondo i più stringenti standard di sicurezza.

A fronte dell’intervento del legislatore e consapevoli della crescente pervasività di IoT e sistemi Industry 4.0, i professionisti del settore industriale dovranno riconsiderare radicalmente la propria governance della cybersicurezza. Un progetto di questo calibro può però prendere forme concrete solo con il supporto di specialisti. E’ quindi fondamentale che il settore della sicurezza continui a sviluppare soluzioni per far fronte a queste minacce – anche e forse in primo luogo – formando nuove alleanze, al fine di consentire alle organizzazioni industriali di evolvere in ambienti effettivamente sicuri.

*.*

Continua a leggere

Saremo presto liberi dalla maledizione delle password?


Probabilmente non tutti sanno che almeno una persona su dieci della propria cerchia di amici, parenti e conoscenti utilizza una delle 25 password più facilmente hackerabili del mondo. Sicurezza e limitazioni spesso vanno a braccetto, tuttavia a fronte del naturale desiderio di semplificare, molte persone lasciano che le proprie informazioni personali siano accessibili virtualmente da tutte le direzioni. D’altro canto, i più cauti si ritrovano con una quantità incredibile di password e codici infiniti da memorizzare, e alla fine ci si avvale dell’uno o l’altro promemoria altrettanto alla mercé del mondo. Ma è possibile che non ci sia una soluzione più semplice?

Questione di fiducia

Probabilmente sì, ma “più semplice” non è sufficiente: deve essere anche “più sicura” e “meno invasiva”. Ad esempio la soluzione che permette ad algoritmi di apprendere dalle proprie abitudini potrebbe risultare invitante: la password sarebbe necessaria solo quando il sistema non riconosce un comportamento o luogo abituale, che si tratti dell’orario di attività, dei luoghi visitati, della velocità di inserimento testi, ecc. Tuttavia consentire a Microsoft Cloud di raccogliere informazioni sui propri contenuti per compilare statistiche per alcuni può comportare un livello di trasparenza incompatibile con il concetto di protezione dei dati.

Fidarsi del sistema, come oggi fa la maggior parte della popolazione al di sotto dei 20 anni, non è da tutti. Se la generazione precedente non è così lassista quando si tratta di protezione dei dati, è perché ha ancora vivido nella memoria il tempo in cui misure di sicurezza più restrittive ricordavano agli internauti che l’hackeraggio non è una pratica riservata unicamente alle celebrità e che gli attacchi informatici diretti non avvengono solo nei film di spionaggio. È anche più semplice rilassarsi quando l’unica propria preoccupazione sono i borseggiatori: a livello aziendale però questo rischio cambia dimensione drasticamente.

Meno password, più qualità

A qualsiasi livello ci si trovi, la protezione del dispositivo (tablet, computer o telefono) e la protezione dei dati implicano due password diverse. Per la prima si stanno già cercando soluzioni alternative: oltre a modelli semplici ma facilmente riconoscibili e a sensori per la lettura delle impronte digitali (qualora si fosse d’accordo sull’archiviazione delle proprie impronte, e tenendo in conto il fatto che non esiste opzione migliore), è ora possibile sostituire 10 numeri e le 26 lettere della tastiera con 12 emoji tra 2500 disponibili e selezionarne una sequenza di 4 o 6. Alta protezione E divertimento quindi, ma, di nuovo, una sola di queste password non è sufficiente! Tra le altre alternative divertenti, Nova Spatial sta attualmente sviluppando un sistema di autenticazione basato sul riconoscimento di una determinata area su una cartina mondiale digitale, le cui coordinate geografiche vengono utilizzate come codice la cui memorizzazione non è necessaria – basta sapere dove si trova un particolare albero, piscina, incrocio o altro.

Finché non sarà possibile affidarsi alla propria memoria visiva, tramite l’utilizzo di emoji e mappe, i password manager online continuano ad aumentare. Attraverso questo genere di cassaforti virtuali come 1PassWord, LastPass o KeePass, basta un’unica “master password” per proteggere tutte le altre password archiviate e criptate. La master key è l’unica cosa di cui si ha bisogno, ma deve essere il più complicato possibile – una singola frase può già funzionare. Un esempio potrebbe essere “Apriti Sesamo!” (punteggiatura inclusa!).

L’altra faccia della biometria

A mali estremi, estremi rimedi: forse il futuro ci riserverà un processo di autenticazione più rigido tramite l’utilizzo di oggetti fisici? Un pollice, l’occhio, la voce o il viso sono i più noti esempi di una metodologia utilizzata sempre più di sovente per sbloccare i dispositivi, e che potrebbe finire con l’essere implementata anche per accedere ai profili delle piattaforme social. Gli hacker sostengono di aver raggirato il sistema di riconoscimento facciale dell’iPhone X tramite l’utilizzo di una maschera in lattice ultra-realistica, ma non ci si aspettano problemi generalizzati per i consumatori. Di conseguenza ci si aspetta un incremento dell’impiego della biometria e una maggior sofisticatezza nei prossimi decenni: si tratta semplicemente di sviluppare sensori per l’identificazione del DNA.

Questo genere di sensori sancirebbe la fine dei problemi causati da barbe o tagli di capelli che occasionalmente confondono i sistemi di riconoscimento facciale – l’unico altro problema potrebbe essere quello di avere un gemello cattivo! Jonathan Leblanc, Global Head of Developer Advocacy di Paypal, disse ancora nel 2015 che le password del futuro non saranno più scritte né memorizzate, ma piuttosto saranno impiantate, ingoiate o iniettate. Ha parlato anche di computer indossabili sotto forma di tatuaggio, sensori ECG che rilevano i dati del cuore o del riconoscimento delle vene e della pressione arteriosa. Probabilmente infallibile, ma piuttosto sgradevole… A tre anni di distanza, i tatuaggi digitali sembrano aver preso piede: il chimico Zhenan Bao, che ha recentemente sviluppato la e-skin, sottolinea le possibilità mediche e sociali di questo materiale elettronico connesso che coincide perfettamente con la pelle umana. Ma anche in questo caso ad un certo punto si ripresenterà l’ostico tema della confidenzialità: non saranno più le proprie impronte digitali ad essere utilizzate come password universali, bensì una sottile membrana elettronica posizionata sui polpastrelli e connessa allo smartphone. Da brividi, vero?

Il segreto dell’autenticazione a doppio fattore

Piuttosto che focalizzarsi sulla messa a punto di un’infallibile biometria al costo di chi sa quale invasione di privacy, probabilmente basterebbe pensare ad una semplificazione dell’autenticazione a doppio fattore. Questo sistema è già ampiamente utilizzato, soprattutto per i pagamenti online, che in genere richiedono un secondo codice inviato tramite SMS con una validità di qualche minuto. Il codice di conferma non solo può essere inviato sullo smartphone, ma anche a Google Watch, smartcard, applicazioni (per esempio con la soluzione Stormshield Data Security), token crittografato o chiavetta USB (come quella di sicurezza FIDO).

Ciò comporta però l’obbligo di portare costantemente con sé l’oggetto necessario alla ricezione del secondo codice. È più probabile lasciare a casa lo smartphone che parti del proprio corpo, a meno che il device non diventi una sorta di nuovo organo in dotazione allo “homo numericus”. Come ultima alternativa si può sempre diventare un genio in grado di memorizzare dozzine di sequenze numeriche… Your choice!

*.*

Continua a leggere

Ransomware: come proteggersi e cosa fare in caso di attacco


 

A fronte del rapido incremento dei ransomware per le aziende è di vitale importanza difendersi e sapere cosa fare in caso di attacco. Il primo passo è non cadere nella trappola del ricatto.

Se ad un furto di dati segue un attacco ransomware, è buona cosa non seguire l’esempio di Uber. La nota società americana non ha solo confermato oltre un anno dopo il misfatto di essere stata vittima di un furto di dati ma ha persino pagato agli hacker $100.000 di riscatto.

Picco di attacchi ransomware e riscatti alle stelle

Ciò che ha fatto Uber è sicuramente l’esempio migliore di cosa non fare nel caso in cui si dovesse subire un attacco soprattutto a fronte della crescita esponenziale del malware. Basta tornare agli avvenimenti dello scorso maggio. Il ransomware WannaCry aveva infettato diverse centinaia di migliaia di computer di tutto il mondo rendendo i file illeggibili. Per poterli ripristinare, un messaggio sullo schermo intimava il pagamento di un riscatto pari a $300 in Bitcoin, che sarebbe raddoppiato nel giro di qualche giorno in caso di mancato pagamento.

L’elenco di malware simili a WannaCry è lungo. Tra i ransomware in circolazione i più noti sono Cryptowall, TeslaCrypt, Locky Ransomware, Cerber Ransomware, CTB-Locker e Petya / Not Petya. L’incremento significativo della diffusione dei ransomware negli scorsi anni è altresì indice dell’accresciuto livello di rischio per gli utenti. A ciò si aggiunge quanto rilevato da Symantec negli Stati Uniti in uno studio pubblicato nell’aprile dello scorso anno: anche le aspettative degli hacker tendono ad aumentare, nel 2015 i ransomware esigevano un riscatto medio di $294 per dispositivo, nel 2016 si superava la soglia dei $1000, un importo medio confermato di recente anche da McAfee.

Rischio ransomware: grossa preoccupazione per il mondo business

Un rischio di questo calibro non può restare incontrollato. Secondo uno studio di Intermedia, questo tipo di cyberattacco viene considerato dalle aziende come la seconda minaccia più temibile (29%), preceduto solo dal malfunzionamento dell’hardware (30%). Una ricerca condotta da Osterman Research ha evidenziato che il 54% delle aziende operanti nel settore finanziario teme estremamente questo genere di minacce, mentre le aziende di trasporti figurano all’ultima posizione con un 26%.

Non meraviglia che comunque che i ransomware spaventino le aziende a livello globale: il costo annuale di questi ransomware è salito dai 325 milioni di dollari del 2015 ai 5 miliardi del 2017.

In che modo proteggere la propria azienda dai ransomware?

Esistono misure di sicurezza di base, tra cui aggiornare regolarmente i sistemi nel tempo, impiegare software antivirus di nuova generazione, non aprire allegati sospetti o messaggi da sconosciuti, e fare di tanto in tanto back-up verso un disco esterno, che sia rimovibile o cloud. Qualora queste precauzioni non vengano messe in atto o si rivelino insufficienti: non pagare! Cedere ai ricatti degli hacker non fa altro che incentivare queste pratiche illegali. Sfortunatamente non tutti prendono a cuore questa raccomandazione. La ricerca Intermedia rivela che il 59% degli impiegati di società con oltre 1000 dipendenti vittima di ransomware, pagano loro stessi il riscatto. Tuttavia, nonostante il pagamento, una vittima su cinque non riesce a recuperare i dati cifrati.

Cosa fare nel caso di un attacco ransomware

In presenza di un ransomware le aziende possono applicare diverse misure:

  • Disconnettere i sistemi dalla rete per limitare la contaminazione
  • Lasciare accesi i computer e non cercare di riavviarli; si potrebbero perdere informazioni utili all’analisi dell’attacco
  • Informare il responsabile della sicurezza della società
  • Scoprire il nome del ransomware (una versione datata potrebbe avere un antidoto per recuperare i file). Per riuscire a farlo bisogna andare sul sito nomoreransom.org e scaricare lo strumento di decriptazione disponibile per alcuni tipi di ransomware
  • Tentare di ripristinare i dati utilizzando sistemi di back-up automatici di qualche sistema operativo o tramite il proprio sistema di back-up
  • Recuperare i file da un servizio di stoccaggio dati come Dropbox nel caso in cui il computer fosse stato sincronizzato con questo genere di servizio

Gli attacchi ransomware spesso bypassano tipologie convenzionali di protezione impiegate sulle singole postazioni di lavoro e possono andare a buon fine nonostante in azienda si tengano corsi sulle best practice di sicurezza. Stormshield Endpoint Security, con i suoi meccanismi di hardenizzazione dei sistemi operativi, offre una protezione proattiva di alto livello contro le attuali minacce digitali.

Continua a leggere

Cybersicurezza: quanta paura bisogna avere della macchina del caffè?


Il caffè è il carburante quotidiano dell’occidentale medio, come vivere senza? Proprio questa abitudine è risultata fatale ad un’industria petrolchimica che si è trovata ad affrontare le conseguenze di un’infezione da ransomware.

Nel luglio dello scorso anno, l’IT manager di una società petrolchimica con diverse fabbriche in Europa gestite sia in locale sia da remoto, fu contattato perché la sala di controllo locale di uno dei siti produttivi risultava fuori servizio. Una breve descrizione dell’accaduto fu sufficiente per capire che si trattava di un’infezione da ransomware (proprio uno dei tanti in circolo a metà dell’anno scorso). Per debellare il virus, l’IT manager decise inizialmente di reinizializzare tutti i sistemi formattandoli e reinstallando tutto, ma malgrado ciò poco tempo dopo i computer risultavano ancora infetti, sebbene nessuno fosse direttamente collegato alla sala di controllo locale.

Come ha fatto un semplice ransomware non targettizzato a colpire la rete di un’azienda che collabora con molti fornitori ed esperti di cybersicurezza? Sono diverse le strategie applicabili per limitare l’estensione della superficie vulnerabile. Un’attenta analisi fece luce sul rebus informatico: un paio di settimane prima era stata installata in azienda una nuova macchina del caffè di ultima generazione.

Dotata di collegamento Internet, la nuova macchina era in grado di inviare automaticamente gli ordini di rifornimento alla casa madre. Si dà il caso che per tale attività si collegasse alla stessa rete della sala di controllo locale anziché appoggiarsi a una rete wifi isolata, aprendo involontariamente le porte al malware. Fortunatamente questo incidente non ha avuto un impatto di maggiore entità sulla produttività aziendale, ma risulta molto istruttivo.

La superficie di attacco consta della somma delle potenziali aree esposte, sfruttabili per garantirsi un accesso non autorizzato a determinate risorse dell’ambiente digitale. Queste aree includono anche l’hardware di rete (tra cui i firewall), i server Web, le applicazioni esterne, i servizi di rifornimento e i dispositivi mobili che possono accedere a informazioni o servizi di valore.

Rappresentazione schematica dell’azienda al momento dell’infezione.

Qui di seguito le strategie di protezione raccomandate da Stormshield, noto produttore di soluzioni di sicurezza per reti industriali, al fine di evitare situazioni analoghe.

Soluzione numero 1: dotarsi di una soluzione per la protezione degli endpoint

Con “Endpoint Protection” ci si riferisce a software di sicurezza di consuetudine installati sulla maggior parte dei dispositivi. Il software di sicurezza può includere anche un antivirus, un firewall personale, un software antiintrusioni e altri programmi di protezione. Se i computer della sala di controllo locale fossero stati dotati di tale protezione, il ransomware non avrebbe avuto modo di diffondersi.

Soluzione numero 2: Creare una rete segmentata

La segmentazione della rete consta nel separare in sottoreti dispositivi, cablaggio e applicazioni che connettono, trasportano, trasmettono, monitorano o salvaguardano i dati. Ciò garantisce una maggior discrezionalità nel trattamento di ogni singolo segmento, permettendo di applicare soluzioni di sicurezza più forti laddove fosse necessario e limitando l’impatto di una possibile infezione malware o qualsiasi altro comportamento malevolo ad un singolo frammento della rete.Con una rete di questo tipo due segmenti separati non possono comunicare tra di loro, il virus non avrebbe quindi potuto raggiungere i computer della sala di controllo locale e la macchina del caffè avrebbe potuto fare solo ciò che le riesce meglio: il caffè.

Soluzione numero 3: implementare una migliore protezione perimetrale e attivare un’ispezione profonda dei pacchetti

La Deep Packet Inspection o DPI monitora e filtra pacchetti di dati all’interno della rete aziendale non appena passano il punto di controllo. Ne esamina possibilmente anche lo header al fine di rilevare discordanze con il protocollo, virus, spam o intrusioni, utilizzando anche criteri aggiuntivi per stabilire se il pacchetto è legittimo o meno.Tale meccanismo di filtro del firewall avrebbe evitato ogni tipo di connessione tra la sala di controllo centrale e la macchina del caffè. Anche qualora fosse stato necessario collegare le due, tale connessione sarebbe stata monitorata tramite Deep Packet Inspection. In entrambi i casi il virus sarebbe stato scartato per direttissima, proprio come un caffè dal sapore terribile.

Soluzione numero 4: implementare il controllo della comunicazione tra le applicazioni di rete

Il controllo della comunicazine tra le applicazioni di rete consente di autorizzare esclusivamente il passaggio di un set di comandi o messaggi predefiniti, anche nel caso in cui gli altri non vengano bloccati dal filtro DPI perché legittimi a livello di protocollo. Questo doppio controllo avrebbe bloccato la trasmissione del ransomware ai sistemi della sala di controllo locale.

Soluzione numero 5: smettere di bere caffè

Questa soluzione è facile, e si può riferire anche a chi beve te. Se però venissero messi in pratica i consigli sopracitati, non dovrebbe essere necessario arrivare fino a questo punto… Caffè con o senza zucchero?Conclusione: come proteggere la propria azienda dalla macchina del caffè?

Stormshield raccomanda di implementare tutte le soluzioni di difesa possibili. Più strategie di tutela vengono applicate, più si limita la superficie di attacco e si riduce il potenziale impatto di una minaccia informatica.

Continua a leggere