Disponibilità

Uno dei tre pilastri dell'IT Security si chiama Disponibilità (Availability). A che serve sapere che i miei dati sono "al sicuro", che nessuno (non autorizzato) può vederli o modificarli, se poi al momento in cui mi servono non riesco ad accedervi?

Ne parliamo qui perché in questo momento (18 febbraio 2017, ore 21:54 italiane) uno dei servizi "cloud" maggiormente utilizzato, Amazon AWS S3 (Virginia, USA), sta avendo grossi problemi di disponibilità. Per avere un'idea di che cosa stiamo parlando, realtà come Imgur, Medium, Runkeeper, Trello, e Yahoo webmail dipendono dal buon funzionamento di questo "cloud".

Ricordo benissimo quando il marketing delle architetture "cloud" sbandierava la principale caratteristica superiore del "cloud" rispetto ad altre soluzioni: la disponibilità. E forse, passata la bufera, lo farà ancora. Dicevano che per chi usa i servizi in "cloud" una eventuale riallocazione delle risorse dovuta a qualche malfunzionamento di uno dei siti sarebbe stata del tutto trasparente, e il "cloud" avrebbe garantito una continuità di servizio mai vista senza di esso. Finché, come dico spesso, "la realtà ha sempre ragione", anche sul marketing (o soprattutto su di esso).

Non vorrei essere in questo momento nei panni dei "tecnici" incaricati di capire che cosa non sta funzionando e soprattutto di porvi rimedio il più presto possibile (due obiettivi che quasi mai vanno a braccetto, lo dico per esperienza personale). 

Che cosa accadrà? Ma certamente "in breve tempo" tutto tornerà "normale", o quasi. Se posso azzardare una previsione, ciò che non verrà in breve tempo sarà la spiegazione pubblica di che cosa è accaduto, di come si intende porvi rimedio stabilmente, e soprattutto di come si pensa di evitare che il fatto si ripeta. Si parlerà (sto sempre immaginando) di qualche imprevisto imprevedibile, e si esalteranno (giustamente) le capacità tecniche e organizzative di chi ha saputo porvi rimedio in breve tempo.

Alla fine resterà l'episodio di un disservizio su cui il privato non può accampare molte pretese, mentre per le Aziende tutto dipenderà dalle clausole contrattuali (SLA e relative penali) a suo tempo stabilite per i servizi in "cloud".

Per un'Azienda che subisca un danno (materiale o d'immagine) conta riuscire almeno a recuperare un po' di capitale, da reinvestire per cercare soluzioni più robuste e anche per riguadagnare quella parte di fiducia dei clienti che potrebbe essere andata persa.

E poi qualcuno ancora pensa che l'IT Security sia un costo e non un investimento.

---

Per quel che ne sanno a The Register:
https://www.theregister.co.uk/2017/02/28/aws_is_awol_as_s3_goes_haywire/

Ancora router

Abbiamo già parlato dei rischi legati ai Router che consentono le connessioni internet "da casa" (o dalle postazioni small business). Vedere per esempio questo post.

Partiamo dalla cronaca

Per approfondire l'argomento, ricordiamo innanzi tutto che genere di rischio comportano i router delle connessioni casalinghe forniti dai Provider di connettività.  

Un caso recente (novembre 2016) è l'attacco che ha colpito la rete in Germania, sia per le connessioni dati, che per quelle telefoniche (ricordiamo che la maggior parte delle "linee" telefoniche in Germania sono su tecnologia digitale, via internet). 

Dopo mesi di indagini, si è arrivati forse a individuare uno dei responsabili di quell'attacco, il che tuttavia non tutela dal ripetersi di simili situazioni.

Valutare il rischio

Per poter valutare il rischio reale, occorre analizzare quali sono le condizioni di sicurezza con cui sono distribuiti e amministrati questi router. Vediamo innanzi tutto la teoria.

Genericamente, i router dei Provider sono installati e gestiti secondo questo schema:

[1]

Esiste cioè un'apposita infrastruttura del Provider, composta (con riferimento alla figura, da sinistra verso destra) di:

1. interfaccia centralizzata per la definizione delle configurazioni
2. server centralizzato per la distribuzione delle configurazioni e degli aggiornamenti
3. collegamento in rete geografica verso i router installati presso i clienti
4. molteplicità di router installati, e infine
5. rete locale del cliente

In questo modo i Provider tengono sotto controllo e gestiscono i router installati presso i clienti, aggiornando se necessario le configurazioni.

L'anello più debole di questa catena è costituito dal collegamento in rete (c) fra i server del Provider e la miriade di router presso i clienti. Se tale connessione non è opportunamente protetta, può essere preda di malintenzionati (cracker), come appunto è accaduto in Germania nell'incidente citato sopra.

Il protocollo di comunicazione fra server e router è definito da alcuni standard, che purtroppo sembrano alquanto vulnerabili ad attacchi da parte di soggetti non autorizzati. 

Un fattore molto importante per la sicurezza di questa architettura è il tipo di connessione geografica (c) fra server e router: 

• se tale rete ricade interamente sotto il controllo del Provider, allora il rischio di intrusione sui router è decisamente moderato e dipende dal livello di sicurezza di questa rete, che di fatto risulta interna alle infrastrutture del Provider stesso. 
• se invece tale rete sfrutta o attraversa anche parzialmente la rete pubblica (internet) senza ulteriori protezioni (es: VPN), allora il rischio di intrusione diventa concreto e consistente.

 

Conclusioni

 

Che cosa può fare il cliente per scongiurare intrusioni come quelle descritte?

Praticamente niente, salvo chiedere informazioni al suo Provider circa il tipo di infrastruttura usata per la manutenzione del router.

Che cosa dovrebbero fare i Provider?

Assicurarsi che l'accesso ai propri router sia consentito soltanto alle proprie procedure di gestione (server ed eventualmente personale autorizzato), che non vi siano backdoor a bordo dei router (password di fabbrica o universalmente note) e infine che la connessione fra le loro strutture centrali e i router siano opportunamente schermate contro i tentativi di intrusione o spionaggio.

Eventualmente, modificare le modalità di accesso ai router per raggiungere questi obiettivi minimi di sicurezza.

Altri Riferimenti

• Articolo di PCWorld (del 10 agosto 2014)

Note:

---

[1] (immagine di: de:user:Sternagel - de:Datei:Remote CPE Controle via TR-069.jpg, CC BY-SA 3.0, https://commons.wikimedia.org/w/index.php?curid=9845264)

Il rischio corre sul Cloud

"Quello che non c'è, non si guasta": questo proverbiale adagio dei meccanici della Ferrari è sempre valido, anche quando si tratta di Sicurezza IT.

Alcuni servizi in rete sono diventati ormai pane quotidiano per chi con la rete internet ci lavora, e magari le affida business milionari. Questi servizi sono in genere molto utili, e consentono di avere buone funzionalità senza investire in infrastrutture private, che possono essere anche molto costose.

È il caso di quei servizi che offrono "acceleratori" di accesso ai siti web (tecnicamente si parla di "reverse proxy"), con capacità di allocazione dinamica, a seconda del traffico. Uno dei più famosi e maggiormente utilizzati è CloudFlare.

Il Problema

Perché ne parliamo? Accade che c'è stato un problema con questo servizio, più esattamente un "incident" di IT Security: a causa di un errore software (un bug!), questo servizio, in determinate circostanze, forniva agli utenti di un sito informazioni riguardanti un altro sito, magari appartenente a un cliente (azienda) completamente diverso, e ignaro del fatto. Si fa presto a immaginare che, una volta scoperta la falla, i soliti malintenzionati (crackers) potessero studiare come volgere la situazione a loro favore, e a danno di alcuni utenti del servizio (aziende e loro utenti).

Per chi volesse approfondire (sapendo leggere un po' di inglese) il dettaglio è in questo Incident Report pubblicato dalla stessa società Cloudflare.

Come riportato nel Report, i tecnici sono corsi prontamente ai ripari e sono riusciti a "mitigare" gli effetti negativi in appena 47 minuti, chiudendo completamente la falla complessivamente in 7 ore. Per chi lavora nello sviluppo e manutenzione IT questi sono tempi straordinariamente brevi (per avere una correzione di un bug software normalmente passano settimane o mesi), mentre nel caso di un incident di IT Security sono tempi non eccezionali ma accettabili, soprattutto tenendo conto che la falla non era nota (ai famosi crackers) e quindi era praticamente innocua.

Conseguenze per gli utenti

Per la maggior parte degli utenti di servizi online delle aziende indirettamente colpite (cioè quelle che fanno uso dei servizi Cloudflare), si tratta di cambiare le credenziali di accesso (password o altro), specie quelle memorizzate per comodità su vari dispositivi (smartphone, PC, ecc). Discorso analogo, anche se tecnicamente più complesso, per le credenziali di autenticazione fra server che collaborano alla fornitura di servizi online.

Per quanto riguarda eventuali altri dati che possono essere stati esposti a chi non era autorizzato a leggerli, considerato il breve lasso di tempo e la sostanziale "oscurità" del malfunzionamento, si ritiene che non ci sia stato il tempo materiale per approfittarne (exploit).

Conclusioni

Come sempre ripetiamo, non esiste sicurezza assoluta e, al crescere della complessità delle architetture IT, il rischio cresce in maniera non lineare.

L'importante è disporre (come in questo caso) di un'organizzazione pronta ed efficiente, in grado di ridurre al minimo il danno in caso di incident.

Come dire: qualche bue è scappato, ma la porta della stalla stavolta è stata chiusa prima che fuggissero tutti i buoi.

Spionaggio "senza rete"

Siamo abituati a pensare che, al giorno d'oggi, tutti i malware, e in particolare quelli che rubano dati e informazioni da un computer, agiscano via rete.

Anche se questo è vero nella maggior parte dei casi, e isolare un computer infetto o infettabile dalla rete internet è una buona misura di sicurezza, ci sono casi in cui non è sufficiente. Si tratta di casi un po' estremi, ma vale la pena citare il più recente.

Il caso

Esperti di una università israeliana hanno dimostrato che è possibile "rubare" dati da un computer completamente scollegato da internet, solo sfruttando il led che normalmente segnala l'attività dei dischi del computer.

Naturalmente, è necessario che il computer venga infettato da un apposito "trojan" che costituisce l'agente "spione" della nostra storia di spionaggio, ma tutto il resto avviene in maniera abbondantemente trasparente per l'ignaro utente del computer stesso.

Dettagli

Nella dimostrazione di cui stiamo parlando, il "troian" legge le informazioni sensibili che è programmato per rilevare (password, chiavi di cifratura, dati sensibili) e le trasmette modulando l'accensione del led di attività del disco fino a 4000 volte al secondo, risultando quindi invisibile all'occhio umano. A distanza ottica opportuna viene posizionato un sensore/rilevatore che registra otticamente l'attività di quel led: nella dimostrazione in questione è stato usato un drone con una telecamera fuori da una finestra della stanza in cui si trovava il computer vittima dell'azione di spionaggio, ma non è difficile immaginare altre più sofisticate applicazioni.

Conclusioni

Naturalmente, come abbiamo detto all'inizio, questo è un caso estremo, e non ci deve indurre a tralasciare le normali precauzioni di sicurezza sui dispositivi e computer privati e aziendali.

Nei casi in cui invece su qualche computer siano custoditi o elaborati (anche in transito) dati di estrema importanza, sui quali si richiede una confidenzialità e segretezza quasi assoluta, sarà il caso di adottare alcune misure supplementari, come quelle indicate

• evitare qualsiasi contatto con device esterni, non solo la rete Internet, anche la rete interna e device come chiavette USB o altri supporti rimovibili, che potrebbero essere fonte di infezione
• installare questi computer in ambienti controllati e protetti, sia dal punto di vista dell'accesso di personale, sia dal punto di vista ambientale (locale senza finestre e opportunamente schermato da onde radio e in più generale elettromagnetiche)
• rimuovere o disattivare tutti gli indicatori ottici e acustici di attività del computer (senza smontare niente, i led si possono coprire con un nastro nero)
• disattivare tutti i dispositivi non necessari (es: microfoni, altoparlanti e webcam, anche queste ultime possono essere "accecate" con un pezzo di nastro nero)

Riferimenti

L'articolo che riporta la ricerca israeliana è il seguente: https://www.wired.com/2017/02/malware-sends-stolen-data-drone-just-pcs-blinking-led/

Furto di identità

Uno dei pericoli nell'uso delle tecnologie informatiche soprattutto online è il furto di identità, cioè la sottrazione di credenziali atte a identificare utenti di servizi informatici e il loro uso per impersonare il legittimo proprietario di queste identità.

Esempi di furti di identità e loro utilizzo

In ordine di pericolosità crescente, dal più innocuo al più dannoso.

• username e password di accesso a Social Network:
• usati per impersonare il soggetto colpito, scrivendo messaggi o commenti considerati autentici all'insaputa della vittima, solitamente a scopo diffamatorio

• password dell'account email: 
• usata per inviare messaggi ai contatti della rubrica, 
• usata per inviare messaggi spam

• password di accesso a servizi di Home Banking:
• usata per truffe a carattere economico, sottrazione di denaro dal conto corrente della vittima

• numero e codici operativi della Carta di credito:
• usata per truffe a carattere economico, acquisti illeciti a spese della vittima

Possibili contromisure preventive

• per servizi online protetti solo da username/password (Email, Home Banking) e la Carta di credito:
• attivare se possibile l'autenticazione a due fattori, esempio:
• one time password tramite messaggio sul cellulare
• autenticazione tramite token o certificato digitale
• autenticazione biometrica (impronte digitali, iride)
• attivare se possibile notifiche degli accessi tramite messaggi sul cellulare
• non utilizzare questi servizi in caso di connessione WiFi pubblica o semi-pubblica (es. bar, ristoranti, biblioteche), su computer pubblici o condivisi (es. biblioteche, ambienti lavorativi) o comunque in situazioni in cui il rischio di sniffing del traffico da parte di altri utenti è solitamente molto alto
• in ogni caso:
• impostare password non facilmente vulnerabili
• non comunicare mai le password, né direttamente (tramite messaggi) né indirettamente (lasciandole scritte in giro)
• usare password diverse fra loro per i servizi più importanti, e soprattutto diverse da quelle usate su social network e altri servizi di minore importanza
• non memorizzare le password su servizi in cloud (es. Dropbox, Box e simili)
• digitare username/password solo su pagine web munite del contrassegno https (solitamente un lucchetto verde)
• cambiare periodicamente le password

Possibili azioni in caso di violazione dell'identità

• disattivare immediatamente l'accesso alla risorsa, esempio:
• comunicare alla banca la violazione, disconoscere le operazioni illecite e far bloccare ulteriori accessi, fino a risoluzione del caso

• denunciare il fatto alle Autorità di Polizia, anche allo scopo di recuperare le somme eventualmente oggetto di frode

• in ogni caso, cambiare le password e le altre credenziali di accesso

• comunicare alle altre potenziali vittime l'accaduto, in modo che possano prendere le opportune misure preventive e correttive

Risorse e riferimenti

• programmi per il controllo delle password

• Esistono molti programmi per la misurazione della robustezza di una password. Questo strumento online ne è un esempio. Non sottoponete mai le vostre password a siti online, usate questi siti per capire se alcune varianti delle vostre password sono deboli. 

•  http://it.kryptotel.net/passwordmeter.html

• programmi per la generazione di password "sicure"

•  Questa è una pagina di Norton (quello dell'antivirus):

• https://identitysafe.norton.com/it/password-generator

• autenticazione a più fattori

• https://it.wikipedia.org/wiki/Autenticazione_a_due_fattori

• https://support.google.com/accounts/answer/185839?hl=it

 

• autenticazione biometrica

• https://it.wikipedia.org/wiki/Sistema_di_riconoscimento_biometrico

• numero verde per blocco bancomat o carta di credito

• Bancomat: 800 822 056
• Postamat: 800 652 653
• Postepay: 800 902 122
• Carte di credito e numeri chiamabili dall'estero:
• http://www.tuttitalia.it/banche/blocco-carta-di-credito-e-bancomat/

• numero per comunicazioni di sicurezza alla propria banca

•  vedi: http://www.tuttitalia.it/banche/blocco-carta-di-credito-e-bancomat/

WiFi: comodità e rischi. Come proteggersi

Connessione WiFi: c'era una volta la connessione cablata, e c'è ancora, ma normalmente non si usa più per gli apparecchi end-user (computer personali, smartphone, tablet). Risulta molto comodo connettersi utilizzando reti WiFi. Analizzeremo le più importanti aree di rischio e le relative contromisure utili per raggiungere una maggiore sicurezza nell'uso del WiFi.

Router casalingo fornito dal provider

Quando stipuliamo un contratto di fornitura per l'accesso Internet "fisso", normalmente il Provider ci fornisce un suo apparato (denominato "router", anche se svolge altre funzioni), collegato da un lato alla rete esterna (telefonica o fibra) e avente diverse opzioni di collegamento interno: un certo numero di "porte" per le connessioni cablate e due o più antennine per le connessioni WiFi.

• Protocollo e Password di cifratura WiFi: la connessione WiFi fra gli apparecchi dell'utente e il "router" avviene secondo un ben definito protocollo di comunicazione (IEEE 802.11 e sue varianti) e di cifratura (es: WPA2) e utilizzando una password impostata dal Provider (e riportata in un'etichetta sul "router"). Per potersi connettere, è necessario impostare questa password su ciascun apparecchio dell'utente (le procedure variano a seconda che si tratti di computer, smartphone, tablet e sono diverse per ogni sistema operativo e sue versioni). Se sono "visibili" altre reti WiFi sugli apparecchi dell'utente, si consiglia di disabilitare l'accesso (accidentale) a queste reti, lasciando soltanto la rete relativa al "router". Opzionalmente, è possibile cambiare la password predefinita dal Provider, che potrebbe essere nota a soggetti malintenzionati

Access point casalingo installato dall'utente

A volte si rende necessario estendere la rete WiFi così come fornita dal Provider, oppure il contratto non prevede la fornitura del "router". In questi casi, l'utente installerà un proprio Access Point, che potrebbe avere anche funzioni di Router.

• Protocollo e Password di cifratura WiFi: la connessione WiFi fra gli apparecchi dell'utente e l'Access Point privato avviene secondo un ben definito protocollo di comunicazione (IEEE 802.11 e sue varianti) e di cifratura (es: WPA2) e utilizzando in questo caso una password impostata dall'utente. Per potersi connettere, è necessario impostare questa password su ciascun apparecchio dell'utente (le procedure variano a seconda che si tratti di computer, smartphone, tablet e sono diverse per ogni sistema operativo e sue versioni). Se sono "visibili" altre reti WiFi sugli apparecchi dell'utente, si consiglia di disabilitare l'accesso (accidentale) a queste reti, lasciando soltanto la rete relativa al "router". Si consiglia di utilizzare un protocollo sicuro e una password lunga e complessa, per evitare accessi non autorizzati da parte di soggetti malintenzionati

 Access point pubblico protetto da password

Molto spesso nei locali pubblici, bar, ristoranti, alcuni treni, si trovano Access Point che consentono la connessione: normalmente, è necessaria una password, che viene fornita a richiesta dal gestore del locale, o in alcuni (pessimi) casi si trova scritta nel locale stesso. Naturalmente sarà necessario impostare questa password sull'apparecchio dell'utente (smartphone, tablet) in corrispondenza della rete WiFi in questione (non modificando la password del WiFi casalingo!). È importante ricordare che tutti i dati che transitano su questa rete WiFi sono facilmente visibili dagli altri utenti della stessa rete: si consiglia perciò di non effettuare accessi a siti di Home Banking e di non utilizzare Carte di credito, né trasmettere altre informazioni sensibili. La consultazione di notizie online non è critica in queste situazioni, mentre l'uso di email o servizi di messaggistica espone le credenziali di accesso di tali servizi, aumentando il rischio di frodi informatiche o (nei casi peggiori) furto di identità telematica.

Access point pubblico non protetto

In alcuni luoghi pubblici, piazze, stazioni ferroviarie o centri commerciali si trovano Access Point che consentono la connessione senza password (di solito dopo aver visionato e accettato una pagina di Condizioni d'uso). Valgono tutte le considerazioni fatte al punto precedente, ossia:

• tutti i dati che transitano su questa rete WiFi sono facilmente visibili dagli altri utenti della stessa rete


• non effettuare accessi a siti di Home Banking


• non utilizzare Carte di credito, né trasmettere altre informazioni sensibili


• l'uso di email o servizi di messaggistica espone le credenziali di accesso di tali servizi, aumentando il rischio di frodi informatiche o (nei casi peggiori) furto di identità telematica

Conclusioni

L'uso della connessione WiFI è molto comodo e perciò molto diffuso, ma bisogna sempre fare attenzione al contesto tecnologico in cui ci si trova ad agire: in alcuni casi è più facile proteggersi e individuare eventuali malintenzionati, in altri casi è addirittura impossibile.

Riferimenti esterni

• Lo Standard IEEE 802.11 e sua evoluzione


• CIfratura WPA2 (std. IEEE 802.11i)


• Access Point


• HotSpot

Le cose preziose: sicurezza online

Sicurezza online: se ne parla tanto, ne parlano tutti, spesso a sproposito. Come mantenere un livello di sicurezza decente quando si usa la rete?

Vediamo di rendere esplicite le aree di rischio della nostra presenza online, suddividendole per categorie.

Email

Si tratta forse della più antica forma di presenza online, e tuttora abbondantemente usata. Le aree di rischio della sicurezza online delle email sono costituite da:

• rubrica degli indirizzi: qualsiasi sistema moderno prevede la memorizzazione degli indirizzi email più usati, sia in entrata che in uscita. Molti malware usano la rubrica per diffondersi in rete


• contenuti di testo e oggetto della mail: ciò che scriviamo (o che riceviamo) è, in assenza di particolari precauzioni che solo pochi addetti ai lavori utilizzano, leggibile a tutti, non solo al mittente e al destinatario delle email. Giusto per fare un piccolo elenco incompleto, ci sono gli admin dei sistemi di posta del mittente e del destinatario, ma anche di tutti i sistemi che il messaggio di posta attraversa per arrivare a destinazione, per non parlare di altri server e apparati di rete del tutto trasparenti per l'utente finale


• allegati: sono forse la parte più delicata di un messaggio email, perché possono essere veicolo di infezione da malware di vario tipo


• link a siti web: utilissimi per evidenziare contenuti senza allegarli alla mail, sono molto usati dai criminali per indirizzare verso siti che installano malware o rubano credenziali di accesso (si pensi al phishing bancario, con richieste di "conferma" account o password)

Siti Web

Si tratta della parte più ovvia dell'uso della rete. Ogni giorno, per lavoro o per motivi personali, visitiamo centinaia di pagine web. Analizziamo alcuni aspetti critici della sicurezza online dei siti web.

• cifratura in transito: un sito a cui si accede in http non offre alcun tipo di protezione, né rispetto ai dati in transito, né relativamente alla sua autenticità. Per ovviare ad alcuni di questi inconvenienti esiste l'https: il sito si presenta in rete con un certificato digitale e tutto il traffico è criptato. I browser si stanno già attrezzando per visualizzare all'utente informazioni circa l'affidabilità e la sicurezza offerta dalle pagine web (di solito nella barra degli indirizzi compare un'indicazione colorata, in verde per i siti considerati sicuri, in rosso per quelli non sicuri)


• contenuti multimediali: come accade per gli allegati delle mail, molte pagine web presentano contenuti multimediali (video, immagini, animazioni, più raramente suoni) insieme con il tradizionale testo. Esattamente come gli allegati, questi contenuti potrebbero nascondere malware se il sito è ambiguo o sconosciuto, oppure se la pagina legittima è stata modificata da malintenzionati, o infine se siamo stati dirottati su pagine che sembrano quelle originali, ma invece sono in mano a criminali del web. In quest'ultimo caso, la presenza di https (e indicatori verdi nella barra degli indirizzi) dovrebbe tranquillizzarci


• link pubblicitari o finestre popup: spesso la pagina ospita contenuti pubblicitari di terzi, del contenuto dei quali il proprietario del sito è abbondantemente ignaro. Bisogna sempre ricordare che cliccando su una pubblicità si visita una pagina esterna al sito, sulla quale è bene ripetere le considerazioni di sicurezza appena esposte

Social Network

Vale la pena trattare separatamente dai siti web i Social Network, per la loro caratteristica altamente mutevole e interattiva. La sicurezza online sui SN è particolarmente debole.

• contatti e "amicizie": considerare attentamente chi non si conosce di persona e diffidare di contatti particolarmente espansivi. Non fornire a sconosciuti informazioni che potrebbero essere usate a vostro danno (attenzione alle informazioni riguardanti minori, figli o altri parenti)


• privacy: recentemente alcuni SN (non tutti) hanno introdotto una certa gestione della privacy, lasciando che sia l'utente a definire chi può leggere che cosa di ciò che scrive. La protezione in ogni caso non può essere completa, perché ci sono aree in cui la privacy è controllata da altri (solo per fare un esempio: se scrivo un commento in un post non mio, almeno gli amici di chi ha scritto quel post potranno vedere ciò che ho scritto, se non addirittura tutta Internet)


• permanenza: non è affatto vero che cancellando i nostri contenuti (post, commenti) da un SN questi spariscano dal web. Nemmeno la cancellazione dell'intero account garantisce questa funzione (rif.: il successivo paragrafo "Motori di ricerca - Permanenza")

Messaggistica istantanea

Sono sempre più usate app per inviare e ricevere messaggi in tempo reale. Anche in questo caso ci sono avvertenze relative alla sicurezza online.

• contatti: vale quanto detto per i SN


• privacy: ormai la maggior parte delle app funziona in https, però è sempre bene informarsi se i messaggi transitano su server (nel qual caso, in teoria i messaggi sono leggibili dagli admin del server) e altre impostazioni del servizio


• permanenza: a differenza di quanto sembra, i messaggi non vengono distrutti appena ricevuti, nemmeno per quelle app che lo dichiarano. Non fornire mai informazioni riservate o critiche tramite questi canali

Motori di ricerca

Per orizzontarsi nel mare magnum dei siti web, spesso si ricorre ai Motori di ricerca. Sono molto utili per trovare le informazioni di cui abbiamo bisogno, tenendo conto di alcuni aspetti di sicurezza online.

• autenticità: nessun Motore di ricerca garantisce che (per esempio) il sito della Banca che stiamo cercando sia il primo fra i risultati. La pagina dei risultati è semplicemente una pagina web, su cui valgono le considerazioni fatte sopra per i link che vi compaiono


• pubblicità, link sponsorizzati o in evidenza: anche i Motori di ricerca, come le altre pagine web, propongono (di solito ben evidenziati) contenuti pubblicitari variamente denominati. Fare sempre attenzione a che cosa si sta accedendo


• permanenza: a volte nei risultati delle ricerche compaiono contenuti che sul sito originale sono stati cancellati, perché i Motori di ricerca eseguono scansioni periodiche e non istantanee delle pagine web. Esistono anche servizi appositi che giornalmente archiviano tutte le pagine web che riescono a trovare, e permettono di ricercarle come se fossero ancora online: per esempio, è possibile ripescare una pagina o anche un intero sito web che non esistono più da mesi o anche da anni

Conclusioni

Le considerazioni sopra esposte sono ovviamente incomplete, sia come ambito che come contenuti, ma dovrebbero far riflettere e consigliare un uso responsabile della rete, a tutto vantaggio di una maggiore sicurezza online personale e generale.

Si fa presto a dire Router

Si fa presto a dire Router: ognuno di noi ne ha sentito parlare, forse, ma non tutti sanno esattamente che oggetti sono, questi silenziosi e onnipresenti "lavoratori" della connessione in rete.

Genericamente, quando si parla di tecnologie di rete, si chiama router un apparato che indirizza e smista pacchetti di rete fra due o più reti diverse.

Un esempio classico è il router che mette in contatto le reti interne di un'azienda, di solito suddivise in base ai dipartimenti, servizi o uffici, con la rete esterna Internet. In questo caso si parla anche di Gateway (intendendo "gateway IP da e verso Internet").

Un altro esempio sotto gli occhi di tutti è quello "scatolotto" che normalmente il provider della nostra connessione Internet casalinga ci affida in "comodato d'uso" (cioè ne mantiene la proprietà e la gestione), e viene collegato da un lato alla rete esterna (doppino telefonico o fibra ottica) e dall'altro alla rete domestica (sia essa cablata o sempre più spesso WiFi).

Importanza dei router nell'IT Security

Per sua natura, un router assolve a due compiti principali:

• tiene separato  il traffico "locale" di ciascuna rete a lui collegata


• trasmette pacchetti (IP) fra una rete e l'altra, quando richiesto e necessario

Si comprende abbastanza bene come sia necessario separare il traffico Internet da quello "locale", e al tempo stesso come sia essenziale poter inviare e ricevere dati da e verso Internet, appunto. Possibilmente, in maniera ordinata e controllabile.

Gestione e configurazione

Non entreremo nel dettaglio delle diverse configurazioni, statiche o dinamiche, dei router: ci basta sottolineare come questi apparati abbiano necessità di essere gestiti (per esempio per cambi di configurazione, per aggiornamenti software o per aggiunta di funzioni di sicurezza) anche da remoto. Il caso più frequente è il già nominato router del provider della connessione Internet che ci troviamo in casa: il provider stesso lo aggiorna (da remoto, tramite la sua infrastruttura) e fornisce una configurazione base, che può essere in parte modificata dall'utente (se sa che cosa fare).

Praticamente tutti i router/gateway domestici verso Internet hanno capacità di filtraggio del traffico (mini-firewall) incluse, ma non sempre attivate: sarà opportuno che l'utente attivi queste funzioni, per non trovarsi completamente esposto a qualsiasi attacco proveniente da Internet.

Protezione da attacchi

Si è anche recentemente parlato di router "infettati" da vario malware (il più noto è denominato Mirai, ma ne esistono in circolazione molte varianti): è perciò molto importante che questi apparati siano protetti dal lato Internet, e non solo: se qualche versione di malware riesce a installarsi su un nodo della rete interna (es.: un PC o uno smartphone connessi in WiFi al router domestico), è molto probabile che il malware vada alla scoperta di altri apparecchi da infettare, fra cui il router è di gran lunga il più importante, perché è direttamente connesso in Internet e, almeno in teoria, può fare "qualsiasi cosa".

Conclusioni

Non si sottolinea mai abbastanza l'importanza di mantenere aggiornati, protetti e controllati tutti gli oggetti collegati in rete su cui abbiamo qualche tipo di controllo: i PC, gli smartphone, gli eventuali oggetti IoT che usiamo, e in ultima istanza il router casalingo.

IoT: l'Internet degli oggetti

Oggi parliamo di IoT: l'internet degli oggetti, o meglio una serie (sempre crescente) di oggetti che si connettono in Internet per fornire funzionalità finora sconosciute o impossibili nel loro campo.

IoT e IT Security

Che rapporti intercorrono fra l'IoT e l'IT Security? Certamente, in quanto oggetti connessi in Internet, valgono tutte le considerazioni fatte per qualsiasi "host" che sia pubblicamente raggiungibile. Con qualche "piccola" osservazione ulteriore:

• a differenza dei computer (e dei telefonini), un oggetto IoT (allo stato dell'arte) non prevede aggiornamenti software: ciò significa che, se ci sono vulnerabilità nel progetto originale, tali resteranno esposte in Internet finché l'oggetto sarà attivo


• come è stato dimostrato da recenti fatti di cronaca, tali oggetti espongono spesso accessi "protetti" da password standard di fabbrica: non è difficile per chi voglia comprometterli procurarsi tali password e prendere possesso degli oggetti


• molto spesso le comunicazioni "lecite" fra un oggetto e un device del suo proprietario (esempio: una app sul telefonino che controlla la centralina termica di casa) avvengono in maniera trasparente, senza nessuna protezione dei dati in transito, e senza alcuna autenticazione forte della controparte

Modifiche di progetto necessarie per la Sicurezze in rete

Alla luce di quanto esposto (e purtroppo di quanto si riscontra nella realtà), almeno le seguenti modifiche si rendono necessarie per assicurare un buon funzionamento degli oggetti IoT connessi in Internet:

• prevedere meccanismi di aggiornamento periodico del software, analogamente a quanto avviene sui PC e sugli smartphone


• eliminare ogni porta di accesso tipo "backdoor" o comunque "protetta" da password standard di fabbrica


• proteggere e criptare le comunicazioni fra l'oggetto e i device con cui è messo in contatto (app per il controllo, eventuali server, altri oggetti simili, ecc.)


• autenticare ogni accesso con meccanismi sicuri (certificati digitali, encryption)

Queste modifiche dovrebbero essere indotte anche da normative nazionali e internazionali sulla sicurezza degli oggetti in rete e sulla responsabilità dei relativi proprietari e fornitori in caso di problemi rilevanti causati dal malfunzionamento di tali oggetti.

Riferimenti:

Osservatorio IoT

Pagina Wikipedia

Possibili scenari (EN)

The 10 biggest security incidents of 2016 (EN)

Altro? Cerca con Google!

Ransomware

Un ransomware è un tipo di malware che limita l'accesso del dispositivo che infetta, richiedendo un riscatto (ransom in Inglese) da pagare per rimuovere la limitazione. (Wikipedia)

Sono diventati sempre più frequenti gli attacchi denominati "Ransomware", specialmente se diretti contro Enti Pubblici (le cronache per esempio hanno riportato casi relativi a uffici di qualche Comune).

Che cosa fa

Questo tipo di "malware" agisce sui dati memorizzati su PC, server o altri dispositivi, rendendoli illeggibili e inutilizzabili per l'utente, e richiedendo esplicitamente un riscatto ("ransom") in denaro o più spesso in Bitcoin (BTC).

Come comportarsi in caso di infezione

Molto dipende dalle precauzioni che erano a suo tempo state attivate prima dell'infezione (vedi paragrafo successivo). Ogni volta che è possibile, si consiglia di non pagare il riscatto e denunciare l'accaduto alle Autorità competenti, per evitare altri casi. Finché non si è ripristinato il normale funzionamento, scollegare il computer infetto dalla rete.

Come prevenire l'infezione

I metodi raccomandati per prevenire l'infezione da Ransomware non sono molto diversi dalle precauzioni per evitare virus e altro malware:

• tenere sempre aggiornato il software (o affidarsi a uno specialista, nei casi più complessi)


• installare un antivirus e tenerlo aggiornato


• non frequentare siti di dubbia reputazione


• non aprire allegati di posta elettronica anche se sembrano provenire da contatti conosciuti (chiedere al mittente se ha inviato davvero quel messaggio).


• non aprire messaggi di posta elettronica in arrivo da mittenti sconosciuti


• non aprire allegati ricevuti in chat (Facebook, Whatsapp e altro) se non si è assolutamente sicuri di che si tratta (chiedere al mittente)


• definire una strategia per il salvataggio almeno dei dati più importanti, per poterli ripristinare in caso di necessità

Risorse per la disinfezione

In alcuni casi è possibile ripristinare almeno una parte dei dati colpiti da ransomware, seguendo le istruzioni contenute nei link indicati.

In ogni caso, è sempre meglio chiedere l'assistenza di una persona esperta.

• Avast: https://www.avast.com/it-it/c-ransomware


• Microsoft: https://www.microsoft.com/it-it/security/resources/ransomware-whatis.aspx

Ricominciamo da "tre"

Riapro questo Blog, interrotto qualche anno fa per motivi personali.

Spero che potrà essere utile a chi si occupa di IT Security, sia a livello professionale che "amatoriale".

Buona lettura.