Cyber Risk – il Dipendente infedele (la minaccia e’ in azienda)

il dipendente infedele

The Unfaithful Employee – #Cyber Risk

The unfaithful employee

Ormai leggiamo, sentiamo, vediamo speciali alla TV, che hanno come tema l’esponenziale crescita del Cyber Risk da cui derivano attacchi di ogni genere che vanno dalla truffa online, alla compra vendita di carte di credito, all’uso di speciali software/scripts ai Ransomware, che “rapiscono” i nostri device, personali o aziendali per un vero e proprio riscatto, spesso in cripto valute, etc….. e la lista e’ varia come la fantasia delle persone che le studiano.

Oltre ai pericoli sopra citati dobbiamo aggiungerne uno che negli ultimi anni sta evidenziandosi alla stregua dei cosiddetti “attacchi hacker”, questo pericolo e’ il rischio del “dipendente infedele”.
Gia, perche’ se e’ ancora vero che piu’ dell’80% delle spese in ambito security delle aziende e’ ancora improntato verso la “sicurezza del perimetro esterno”, sono sempre piu’ in aumento i casi documentati di violazioni (spesso ad hoc) da parte o con la complicita’ di dipendenti infedeli.

Del resto sono sempre piu’ lontani, o confinati nella cinematografia, gli attacchi del singolo hacker che punta ostinatamente la grande preda (Banche o Assicurazioni, la NASA ed i soliti noti….), mentre nella realta’ ormai siamo tutti collegati a tutti tramite e-mail, social network e cosi anche chi punta “alla balena bianca” passa prima per quelli che, nella migliore delle ipotesi, possono diventare vittime collaterali, ma comunque vittime.
Chi entra nella nostra privacy per poter arrivare ad un bersaglio piu’ importante, colpisce comunque prima noi ed i nostri diritti; questo perche’ non venga mai sottovalutata l’importanza che ormai rivestiamo tutti nei confronti di tutti, un po’ come spiegato anche nel famoso concetto dei 6 gradi di separazione (Six Degrees of Separation).
Basta quindi con l’idea ormai assurda di credere di essere al sicuro, affermando semplicemente: “perche’ dovrebbero colpire proprio me, io non ho nulla da nascondere….” ;
e’ esattamente questo modo di pensare che aiuta chi usa con capacita’ le tecniche di ingegneria sociale e di phishing a perpretare i loro crimini.

In effetti possiamo elencare alcuni punti importanti che possiamo descrivere come sfavorevoli alla lotta al Cyber Risk:

  • apparente e diffusa sensazione di sicurezza – troppe persone pensano che avere un antivirus sul pc ed un Firewall da 2 euro al mese sul cellulare basti alla protezione;
  • sottostimiamo che i danni possono essere pesantissimi – per un privato puo’ essere il trovarsi con il conto bancario svuotato, oppure dover pagare un riscatto x riavere l’accesso alle proprie foto, mentre per le aziende molto spesso e’ la perdita della reputazione e molto altro ancora….
  • il campo di gioco/battaglia e’ il mondo intero – questo e’ uno degli aspetti meno considerati, oggi giorno si puo’ venire attaccati da chiunque, da ogni parte del mondo, ed i motivi che smuovono gli attacchi possono essere i piu’ diversi, non soltanto quelli economici o legati allo spionaggio industriale (che fa molto spy story)
  • il rischio dell’errore umano e’ dietro l’angolo – quotidianamente i nostri software e le nostre app vengono aggiornate, spesso in automatico, perche’ le aziende scoprono (spesso troppo in ritardo) bugs e malfunzionamenti di ogni genere, a volte sono errori di programmazione, altri sono modifiche richieste dal mercato, altri ancora iniettati da dipendenti fraudolenti, o pagati per farlo etc….etc….

Non a caso, anche il mercato assicurativo sta introducendo polizze per il “cyber risk”, studiate per garantire risposte certe e complete a questo rischio in forte ascesa.

Ma torniamo al tema portante di questo articolo e proviamo a definire chi e’ il “dipendente infedele”.
Il dipendente infedele è quel soggetto che essendo all’interno di una azienda, attraverso svariate tecniche tra cui il social engineering e, l’utilizzo dei sistemi e delle tecnologie informatiche, riesce a carpire/rubare informazioni sensibili circa l’azienda stessa e i colleghi di lavoro.

Sbagliamo se pensiamo che per arrivare ad avere informazioni tanto importanti o confidenziali si debba essere per forza parte dell’ingranaggio dei Manager (anch’essi spesso non esenti da questo rischio per via del ruolo chiave che rivestono) , invece tipicamente queste figure, qualora non abbiano privilegi particolari o amministrativi, punteranno ad acquisire informazioni in qualsiasi  modo possibile, tipo rovistando tra le varie scrivanie in cerca di
post-it riportanti utenze e password, accedendo alle postazioni dei colleghi durante la loro assenza oppure introducendosi in aree con accesso restrittivo in cerca di documenti lasciati in vista, effettuando backup dalla rete aziendale interna o di database contenenti progetti in corso o qualsiasi altra informazione che potrebbe tornare utile, salvando il tutto su supporti esterni come chiavette USB e molto altro ancora……

Quali sono le cause

Generalizzando il concetto, potremmo dire che questa figura è solitamente caratterizzata da un forte senso di insoddisfazione verso l’azienda, i titolari o i colleghi.

I dati sottratti illecitamente solitamente vengono utilizzati per i seguenti scopi:

  • vendita delle informazioni ad una azienda concorrente in cambio di un compenso economico oppure di una offerta lavorativa migliore;
  • riutilizzo dei dati sottratti per aprire una società in parallelo spesso violando patti di non concorrenza;
  • estorsione di denaro verso i legittimi proprietari dei dati;
  • modifica/cancellazione di dati, oppure divulgazione senza scopo di lucro al fine di creare un danno economico e di immagine all’azienda.

Questo ci porta ad interrogarci circa la validita’ sul campo di molte delle piu’ comuni tecniche di policy aziendale, ma nel caso si verifichi una fuga di dati verso l’esterno ad opera di un dipendente infedele sara’ importante effettuare delle indagini per far luce sullo scenario accaduto e trattare nel modo più opportuno l’incidente verificatosi, e quale miglior sistema che adottare le tecniche della Digital Forensics ed i tencici specializzati in questa materia.

Questo fenomeno e’ in grande ascesa e le aziende che monitorano lo sviluppo del Cyber Crime, fanno notare come negli ultimi anni nel dark web, gli hacker stanno reclutando e preparando tecnicamanete degli insider con gli strumenti e le conoscenze necessarie a perpetrare attacchi, informatici e non, nei confronti delle loro aziende.

Il rischio del DarkWeb

Il dark web sta facendo leva principalmente su tre fattori predominanti, per creare la propria “armata” di dipendenti infedeli, quali:

  • insider trading: bastera’ dimostrare di poter accedere ad informazioni non disponibili al grande pubblico, per poter essere reclutati;
  • vendita di numeri di carte di credito da parte di insider che lavorano presso negozi di vendita al dettaglio;
  • installazione di malware all’interno delle aziende, eludendo così ogni sistema di sicurezza perimetrale.

Tutti motivi per i quali oggi giorno alle aziende non basta piu’ monitorare soltanto la parte fisica dei propri dati e device ma e’ costretta ad introdurre anche quelli che vengono definiti come “vigilanti del sentiment”, ossia personale preparato ed addestrato a riconoscere non soltanto gli abusi a livello tecnico ma principalmente i “segnali” della possibile infedelta’ , quindi del “sentiment negativo” dei dipendenti verso specifiche figure aziendali o dell’intera azienda, insomma dei veri e propri investigatori.

Anche in questo caso potremmo dettagliare con tre punti chiave, i motivi per cui un’azienda dovrebbe rivolgersi ad un’agenzia investigativa:

  • a tutela del patrimonio e della produttività aziendale;
  • a salvaguardia del know-how aziendale;
  • a sostegno del management

A coadiuvare questo articolo useremo le parole di due veri esperti del mondo digitale e della sicurezza, in grado di spiegare ancora meglio i concetti sopra descritti; eccovi dunque il video dell’ottima intervista fatta da Matteo Flora a Marianna Vintiadis

Godetevi il video:

Progetto Mozilla per l’IoT

Mozilla Webthings per IoT

Mozilla Webthings per IoT

Su questo portale abbiamo iniziato a parlare di IoT gia alcuni anni fa, se interessati potete fare una pausa e leggervi prima l’articolo del 2015 dal titolo: Internet of Things , e poco tempo fa abbiamo iniziato a descrivere i nuovi scenari inerenti all’arrivo ed all’uso della tecnologia 5G .

Ed e’ proprio in questo anno che la tecnologia, grazie all’arrivo del 5G, subira’ una nuova impennata, non a caso su queste pagine parleremo a breve di diversi nuovi argomenti quali :

  • assistenti virtuali,
  • connessione ultraveloce 5G,
  • intelligenza artificiale per azioni legate alla vita quotidiana,
  • blockchain al di fuori delle aziende,
  • crescita degli eSport,
  • cloud,
  • i rischi della cybersecurity,
  • i furti informatici di dati biometrici,
  • la consapevolezza dell’importanza dell’etica nel mondo business

Come gia spiegato in precedenza, la tecnologia IoT sta avendo un rapidissimo sviluppo, ed ancor piu’ avra’ un’enorme diffusione in ogni campo della nostra vita, lavorativa e personale.
Il McKinsey Global Institute ha recentemente stimato che ogni secondo vengono connessi circa 127 nuovi devices IoT.
Seguendo questo andamento, le previsioni per il 2020, riguardo gli oggetti connessi alla rete, vanno dalla stima di 37 miliardi di device, calcolati da Cisco, fino ai 200 miliardi stimati da Intel.

Mozilla WebThings

In tutto questo fervore attorno al mondo IoT, il Mozilla IoT Team ha presentato recentemente un nuovo progetto denominato Mozilla WebThings, un progetto completamente open source sul quale è possibile contribuire direttamente al suo sviluppo dal repository pubblico di Github.
Il concetto alla base del progetto e’ quello di fornire una open platform pensata per il monitoraggio ed il controllo dei device IoT.

Sostanzialmente si tratta di una distribuzione Linux, da installare su una Raspberry Pi dove, al suo interno, sara’ possibile trovare vari tool che insieme generano un Hub dedicato alla gestione dei “device smart” connessi alla rete locale, come ad esempio le lampadine o i sensori di movimento e molto altro ancora……

I vari dispositivi potranno essere successivamente configurati tramite una pratica dashboard richiamabile dal Web browser.

Mozilla WebThings è animato dalle Web Thing API, grazie a questi set di librerie ad hoc, gli sviluppatori possono realizzare delle Web Things, ovvero le app dedicate alla gestione dei vari smart device supportati.

Sempre tramite l’utilizzo di queste API, gli sviluppatori potranno anche creare degli add-on in modo da abilitare funzionalità connesse ad un determinato Cloud provider e connettervi i molti device gestiti.

Il Mozilla WebThings è suddiviso in due componenti principali:

  • WebThings Gateway
  • WebThings Framework

Con Mozilla WebThings sara’ possibile tenere sotto controllo tutti i dettagli della propria rete di device IoT. Si potra’, ad esempio, monitorare il numero di utilizzi di un determinato dispositivo o i consumi energetici durante uno specifico arco temporale.

Tramite Mozilla WebThings l’utente potrà anche centralizzare la gestione di molti allarmi, quali, allarmi dei sensori di fumo, umidità e movimento da un’ unico pannello, impostando le varie regole e la quantità di notifiche da generare in caso di un evento o trigger.

Mozilla Webthings gestione consumi

Mozilla Webthings gestione consumi

Il team di Mozilla è anche al lavoro su una versione personalizzata di OpenWrt, famosa distribuzione Linux dedicata ai device embedded.

Seguiremo gli sviluppi del progetto, per tutti gli altri aggiornamenti potete andare a vedere direttamente sul repository di Github.

WARP la VPN di Cloudflare per il Mobile

Warp la VPN Mobile di Cloudflare

 

Cloudflare e’ ormai un’azienda affermata, tanto quanto Akamai o Amazon…..; in pratica CloudFlare è un sistema di reverse proxy con funzioni di CDN (Content Delivery Network), è dunque un servizio che si interpone tra il server dove viene ospitato il tuo sito ed i tuoi visitatori, svolgendo anche funzioni di caching, velocizzando cosi ulteriormente le performance del tuo sito.
Ma non si limita alla distribuzione dei contenuti statici (come potrebbe fare una normale CDN), infatti offre numerose funzionalità per aumentare la sicurezza, ottimizzare i siti, velocizzare le risoluzioni dei DNS e proteggerti dagli attacchi DDOS.

Ad oggi, con oltre il 39% dei domini DNS gestiti, Cloudflare gestisce una delle più grandi e autorevoli reti DNS al mondo, non a caso Cloudflare ha sviluppato un servizio di risoluzione “DNS Resolver” ad hoc (il famoso IP 1.1.1.1) che nulla ha da invidiare a quello di Google o di OpenDNS.

Non pago, Cloudflare, dopo aver lanciato il suo DNS Resolver 1.1.1.1, si è focalizzata nello sviluppo di soluzioni consumer per migliorare la privacy e la sicurezza per la navigazione sul web, infatti e’ notizia recente che 1.1.1.1 DNS è solo un tassello di una strategia ben più vasta di Cloudflare, e proprio in questi giorni infatti l’azienda ha lanciato il suo nuovo servizio VPN, chiamato WARP, pensato appositamente per gli utenti mobile.

Possiamo affermare in tutta tranquillita’ che oggi, gran parte degli utenti di Internet utilizza uno smartphone per interfacciarsi con la Rete. Tuttavia i protocolli Internet, come ad esempio il TCP, sono stati progettati in modo specifico per delle reti wired (rete standard cablata LAN) quindi non riescono ad offrire le medesime performance con le grandi reti wireless.

E’ per questo motivo che il team di Cloudflare ha sviluppato un servizio VPN ottimizzato per i dispositivi che sfruttano unicamente le reti wireless, come appunto gli smartphone. Warp è stato creato basandosi sul protocollo UDP (User Datagram Protocol) e su WireGuard, che e’ il successore di OpenVPN (ne parleremo nel prossimo articolo).

Le caratteristiche del protocollo UDP sono le seguenti:

  • E’ un protocollo non orientato alla connessione, utilizzato quando l’affidabilità, il cui controllo viene richiesto ai protocolli applicativi che ne fanno uso, non è il target primario.

Ma se per il protocollo UDP l’affidabilita’ non e’ il target primario, perche’ e’ stato scelto proprio questo protocollo, rispetto al TCP ??

Perché UDP

Come appena spiegato, a differenza del TCP, UDP ha la caratteristica di essere ” connection less “, inoltre non si occupa di gestire il riordinamento dei pacchetti né la ritrasmissione di quelli persi.

Per tali motivi solitamente è considerato meno affidabile di TCP, tuttavia UDP è molto rapido nelle sue operazioni, visto che non presenta latenza per il riordino e la ritrasmissione. Quindi risulta essere molto efficiente quando implementato, ad esempio, nei sistemi VOIP.

Perché WireGuard

WireGuard e un protocollo che implementa una virtual private network per creare connessioni sicure Point-to-Point in configurazione routed o bridged. Inoltre viene eseguito come modulo nel kernel Linux ed in certi contesti permette di avere prestazioni migliori rispetto ad altri protocolli simili come i ben piu’ conosciuti IPsec o OpenVPN.

WireGuard utilizza alcune specifiche tecnologie per la gestione della criptografia come, Curve25519 per lo scambio chiavi, ChaCha20 e Poly1305 per l’autenticazione e BLAKE2s per l’hashing. Queste permettono a WireGuard di impattare in modo molto contenuto sui consumi energetici e di rete dei dispositivi mobile.

Perche’ WARP

Perche’ Warp, non solo permette di ottenere buone performance con gli smartphone, ma offre anche tutte le features di privacy e sicurezza disponibili con il servizio DNS Resolver 1.1.1.1.

Dopo i tanti scandali sulla privacy, possiamo aggiungere con un certo piacere che, tra le caratteristiche di Warp c’e’ quella di non salvare i log di navigazione degli utenti, poiche’ il suo modello di business non è incentrato sulla vendita di dati a società terze, prova ne e’ che non è nemmeno necessario inserire i propri dati personali per utilizzare l’applicazione associata.

Attualmente Warp è gratuito anche se il team di Cloudflare è al lavoro per realizzare anche un servizio premium chiamato Warp+, basato sul virtual private backbone dell’azienda californiana e sulla tecnologia Argo.

CITRIX databreach – Rubati 6 Terabyte di dati

Citrix databreach 6 Terabyte rubati

CyberWar, questo potrebbe essere il titolo di meta’ delle notizie che hanno a che fare con attacchi informatici di ogni genere, sia che siano diretti ad enti governativi o di Inteligence o che vadano a colpire grandi aziende.
Questo perche’ la CyberSecurity passa prima di tutto dalle aziende responsabili della creazione e dello sviluppo delle piattaforme informatiche/web che sempre piu’ quotidianemente usiamo ed useremo.

Pensando ai danni che potranno accadere con lo sviluppo delle tecnologie IoT, se non verranno ben gestite, il futuro digitale sembra vivere un momento di forte confusione. Ma veniamo alla notizia di qualche giorno fa.

L’attacco questa volte e’ avvenuto ai danni di Citrix, ed e’ di nuovo allarme sicurezza a livello mondiale, poiche’ questa volta la vittima è una di quelle aziende popolari, cosi come Facebook o Amazon, in quanto Citrix  e’ un’ azienda d’importanza e di forte impatto nel mercato delle soluzioni per la virtualizzazione desktop e server.

L’attacco e’ cosi importante, non soltanto per la quantita’ di dati sottratti, ma perche’ molti, o la stragrande maggioranza di essi, sono documenti tecnici di progettazione, che potrebbero quindi essere usati per accedere ai sistemi dei clienti che utilizzano le piattaforme Citrix. Tanto importante, dicevamo, che a gestire le indagini e’ intervenuta direttamente l’FBI, cosi come riportato anche in un’articolo di Forbes:
Why The Citrix Breach Matters And What To Do Next

Citrix ha immediatamente dichiarato di essere al lavoro per far rientrare l’allarme, ed ha aperto un’indagine interna, di tipo forense, per poter capire cosa e come sia successo.

Di per se a noi che non siamo direttamente coinvolti poco importa il COME, anche se lascia comunque basiti del fatto che, in pratica, non esiste alcune azienda che non sia attaccabile, sembra soltanto che sia piu’ una questione di tempo, di QUANDO questo succedera’.

In questo specifico caso, sembra che gli attaccanti avrebbero usato una tattica chiamata “password spraying”, in cui vengono sfruttate le password deboli per ottenere accesso al sistema, anche se limitato, per poi, successivamente, trovare il modo per aggirare i sistemi di sicurezza e fare escalation sul sistema vittima.

Quello che vorrei evidenziare, piu’ dell’attacco in se e piu’ ancora dell’azienda che e’ stata vittima, e’ che oggi giorno dovremmo tutti capire che Internet ( ossia il luogo in cui tutti noi ci scambiamo informazioni lavorative e/o personali ) e’ visto dagli altri “competitor” come un vero e proprio campo di battaglia, questo perche’ “la Rete” si e’ trasformata nel “Quinto Dominio Militare”, infatti il Cyberspazio è oramai da considerarsi la nuova frontiera della Guerra tra stati, un dominio in carenza di regolamentazione, dove i danni collaterali (le vittime ignare) siamo noi.

Consiglio a tutti la visione e l’ascolto di questo ottimo video che s’intitola per l’appunto GUERRA DIGITALE
con Matteo Flora & Stefano Mele.

La Russia si disconnette da Internet

URSS_disconnect_internet

La Russia di disconnette da Internet

Negli ultimissimi giorni, campeggia su molte testate occidentali (quali webnews, wired….) la notizia per cui la Russia si starebbe preparando ad affrontare un “test” molto particolare, soprattutto in questa era di Internet mondiale, secondo cui dovrebbero “disconnettere l’intera nazione da Internet” cosi da poter verificare la loro “capacita’ di rispondere ad un’eventuale attacco cyber” , testando al tempo stesso l’autonomia e la sicurezza della loro rete interna (Runet).

A riportare questa notizia e’ stato un’articolo comparso sul sito dell’agenzia di stampa russa RBK .

Questa idea, nata gia nel 2017, e’ scaturita in una proposta di legge presentata a fine 2018, che ha come scopo quello di creare misure protettive per lo spazio internet russo entro il 2020.

L’attuazione di questo progetto di legge potrebbe cambiare radicalmente il sistema di organizzazione dello scambio di traffico internet del paese, in quanto sarà il servizio federale per la supervisione delle comunicazioni  (Roskomnadzor) a decretare in quali punti di scambio esso dovrà passare e come dovra’ essere gestito.

Per la messa in opera, in tempi brevi, di questo progetto anche il governo russo ha dovuto aggiungere alcune modifiche al decreto di legge, tra le quali , l’accettazione da parte del governo russo di coprire i costi che gli ISP dovranno sostenere per aggiornare tutte le infrastrutture ed installare i nuovi server.

A guidare questo gruppo di lavoro, secondo quanto riferiscono i media russi, c’è Natalya Kaspersky, direttrice della società di sicurezza informatica russa Info Watch e cofondatrice di Kaspersky Lab.

La disconnessione dal resto del mondo, si apprende da alcune fonti russe, dovrebbe avvenire attorno ad aprile 2019, anche se non è stata ancora comunicata la data ufficiale, ma se il test dovesse dare i risultati auspicati dalle autorità russe, il Governo di Mosca darà continuità al progetto, sino ad arrivare all’obiettivo finale di “autodeterminazione” della Rete.

Il governo ha anche affermato che, secondo una loro previsione, entro il 2020 il 95% del traffico Internet generato in Russia sarà instradato attraverso server locali e non uscirà mai al di fuori dei confini della confederazione di stati.

Il costo previsto per l’intera operazione è di oltre 20 miliardi di rubli (circa 27 miliardi di euro). L’obiettivo finale è di sviluppare un controllo del traffico web, sulla falsa riga del sistema di censura “Great Firewall” della Cina.

In ultima analisi si potrebbe intravedere in questo test, una possibile risposta alle accuse mosse alla Russia da parte della NATO di essere una delle responsabili degli attacchi alla cyber sicurezza di altre nazioni, e un modo per avvicinarsi alla “sovranità delle rete” cinese che rientra in quella comunione di intenti stretta nel 2016 tra Vladimir Putin e Xi Jinping, segretario generale del Partito Comunista Cinese, quando le due potenze mondiali siglarono un accordo sullo sviluppo dell’informazione nei rispettivi Paesi.

#WarGames