Le politiche di sicurezza e personale. Diritti eccessivi dell'utente e dispositivi non autorizzati, Phishing e Spear Phishing, Laptop senza crittografia e dispositivi rimovibili.

• H1. Diritti eccessivi dell'utente e dispositivi non autorizzati
• H2. Phishing e Spear Phishing
• H3. Laptop senza crittografia e dispositivi rimovibili

H1. Diritti eccessivi dell'utente e dispositivi non autorizzati

H1.1 Introduzione

Alcuni attacchi non possono essere efficacemente prevenuti dai soli controlli tecnici. Gli utenti imprudenti possono essere attratti verso operazioni poco sicure. Gli utenti più smaliziati possono inventari metodi poco sicuri di eseguire alcuni compiti, esponendo involontariamente loro datori di lavoro a molti rischi. Per prevenire che tali rischi siano sfruttati da attacchi sono necessari controlli organizzativi per completare i controlli tecnici e fisici.

Col passare del tempo, i controlli tecnici possono essere in grado di applicare politiche che precludono alcuni comportamenti degli utenti, ma fino a quando questo risultato non viene raggiunto sono importanti dei controlli periodici al fine di garantire che i controlli organizzativi siano efficaci. È inoltre essenziale istituire un processo rilevi le violazioni alle politiche scelte e garantire che eventuali sistemi non conformi siano riportati a una situazione di rispetto delle politiche scelte in modo efficace.

H.1a Dispositivi infetti e/o non autorizzati in rete

I migliori sforzi per garantire la sicurezza di un sistema informatico diventano inutili se gli utenti connettono dispositivi non autorizzati alla rete o a un computer. Una access point wireless non autorizzato può essere una porta aperta a qualsiasi malintenzionato che vogliono avere un accesso alla rete. Un computer portatile collegato a una rete aziendale può introdurre qualsiasi malware, infettando l'intera rete. I laptop aziendali non protetti che siano stati collegati a reti pubbliche poco sicure possono trasmettere tutti i malware raccolti e condividerli con l'intera organizzazione. Migliaia di computer sono stati compromessi da attacchi in cui il proprietario di un computer portatile è specificamente preso di mira al fine di infettare il laptop con un cavallo di Troia che "chiama casa" una volta collegato alla rete aziendale. Questo permette un accesso completo a un esterno a una rete in precedenza sicura. Lo stesso vale per un esterno in grado di collegare una periferica sconosciuta sulla rete aziendale, sia questa un semplice computer portatile o un più rischioso access point wireless.

Le policy devono quindi affrontare questioni come quelle dei dispositivi non autorizzati e dei sistemi infetti, al fine di garantire una tutela adeguata delle infrastrutture informatiche aziendali, ma senza politiche di verifica sono generalmente inefficaci. Il controllo dell'accesso alla rete è diventata uno strumento importante per affrontare tali questioni. Il monitoraggio continuo dei flussi di dati e delle connessioni di rete può individuare immediatamente i dispositivi non autorizzati. Il sistema di monitoraggio degli accessi alla rete può inoltre identificare il malware, nonché garantire che le patch e le firme malware siano aggiornate. Possono quindi separare i sistemi che non soddisfano i criteri scelti e metterli in quarantena fino a quando non hanno raggiunto gli standard definiti nella politica aziendale.

H.1b Diritti eccessivi dell'utente e software non autorizzato

Il software non regolamentato introduce in azienda diversi rischi. Tale software può contenere vulnerabilità di sicurezza e chi lo usa può essere non sufficientemente informato o motivato per applicare regolarmente le patch. Inoltre gli utenti (o le persone che utilizzano il loro computer senza l'approvazione aziendale come figli o coniugi) possono installare software che, senza che gli utenti lo sappiano, contiene malware che potrebbero portare a compromettere la sicurezza dei dati o della rete. Gli utenti potrebbero anche installare software che forniscono funzionalità tali (ad esempio il file sharing peer-to-peer) da introdurre nuove vulnerabilità nell'ambiente di rete. Chi è responsabile per la sicurezza delle informazioni dovrebbe quindi prendere in considerazione l'attuazione di politiche, e dei corrispondenti controlli correttivi, atte a mitigare tali vulnerabilità

Le organizzazioni sono vulnerabili se agli utenti sono concessi diritti che consentano loro di installare da soli software in una modo incontrollato. Questa libertà può portare anche a software pirata installato sui sistemi aziendali, fatto che apre un'altra serie di questioni da analizzare da un punto di vista giuridico. Per correggere questi problemi è essenziale applicare una politica di limitazione dei diritti dell'utente fino a garantirgli i privilegi minimi indispensabili necessari per eseguire le funzioni connesse alla mansione lavorativa. Una politica di questo tipo nei fatti elimina molti problemi legati ai malware, a programmi potenzialmente indesiderati e a software pirata installato autonomamente dall'utente.

H1.2 Approfondimenti

http://www.isaca.org/Template.cfm?Section=Home&CONTENTID=17170&TEMPLATE=/ContentManagement/ContentDisplay.cfm

http://technet2.microsoft.com/WindowsServer/en/library/e903f7a2-4def-4f5f-9480-41de6010fd291033.mspx?mfr=true

http://www.sans.org/resources/policies/Password_Policy.pdf

http://www.sans.org/resources/policies/Acceptable_Use_Policy.pdf

http://www.cerias.purdue.edu/weblogs/spaf/general/post-30/

H2. Phishing e Spear Phishing

H2.1 Descrizione

Furto d'identità online
Furto d'identità (Identity Theft) è l'espressione utilizzata per descrivere una azione in cui una persona usa l'identità di un'altra per ottenere in modo fraudolento credito, beni e servizi o per commettere qualche crimine. Alcuni esempi di questi crimini sono le frodi bancarie e con carte di credito, frode elettronica, frode postale, riciclaggio di denaro sporco, bancarotta fraudolenta e crimini informatici. La diffusione di Internet ha amplificato alcuni schemi tradizionali legati alle frodi, in particolare il cosiddetto furto d'identità online.

La parola "phishing" fu usata la prima volta quando nel 1996 alcuni hacker iniziarono a impadronirsi di account di America On-Line inviando messaggi e-mail agli utenti AOL che fingevano di provenire dalla stessa America On-Line. Gli attacchi di phishing oggi prendono di mira utenti di servizi di online banking, servizi di pagamento come PayPal, di siti di commercio elettronico, di utenti web-mail. Questi attacchi sono rapidamente cresciuti in numero e in sofisticatezza. Le maggiori banche USA, del Regno Unito e dell' Australia sono infatti state vittima di attacchi phishing.

Spear Phishing
Gli autori di questo tipo di frode inviano messaggi di posta elettronica che contengono informazioni che riguardano gli impiegati o gli attuali problemi organizzativi dell'azienda, le quali le fanno apparire attendibili a tutti gli impiegati o i membri di una determinata società, ente pubblico, organizzazione o gruppo. Il messaggio può apparire come inviato dal datore di lavoro o da un collega che avrebbe potuto spedire un messaggio e-mail a tutto il personale, come ad esempio il responsabile delle risorse umane o colui che gestisce il sistema informativo, e può comprendere richieste legate a username o password oppure invitare i destinatari a scaricare allegati dannosi da un sito web infetto. Lo spear phishing è diventato una delle forme di attacco più devastanti presso le organizzazioni militari americane e di altri paesi sviluppati. I phisher guadagnano in questo modo informazioni sugli username e sulle password che utilizzano per intrufolarsi attraverso i sistemi di filtro che proteggono le informazioni militari riservate.

Voice Phishing
A newer form of phishing replaces a web site with a telephone number. In this form of phishing, an email tells you to call a specific number where an audio response unit, at the end of a compromised voice phone line, waits to take your account number, personal identification number, password, or other valuable personal data. The person/audio unit on the other end of the voice phone line might claim that your account will be closed or other problems could occur if you don't respond.

Una nuova forma di phishing sostituisce il sito web con un numero di telefono. In questa forma di phishing, una e-mail vi invita a chiamare uno specifico numero dove, installato presso una linea telefonica voce compromessa, trova un interlocutore o un sistema di risposta automatica in attesa di prendere il vostro numero di conto, numero di identificazione personale, la password o altri dati personali di valore. Se vi rifiutate di rispondere alle domande, la persona o il sistema audio dall'altra parte del filo potrebbe sostenere che il vostro conto verrà chiuso o che si potrebbero verificare altri problemi simili.

H2.2 Sistemi operativi interessati

Il phishing è una tecnica di social engineering che prende di mira gli utenti. Per quando esistano varie applicazioni aggiuntive che possono fornire una qualche difesa contro le tecniche di phishing, tutti i sistemi operativi possono essere considerati ugualmente colpiti, poiché l'obiettivo dell'attacco non è tanto il sistema quanto l'utente finale. È un istinto naturale umano quello di fidarsi e i tentativi di phishing tentano di sfruttare proprio questo. Per quanto questi attacchi siano agevolati da difetti nei browser, nei sistemi di posta elettronica e nei DNS, lo sono solo nel migliorare l'apparenza di legittimità del messaggio: alla fine è l'utente finale che viene ingannato se fornisce informazioni al phisher.

H2.3 Come stabilire se si è a rischio

Il phishing per riuscire nel suo intento utilizza principalmente tecniche di social engineering. La consapevolezza di tali tecniche può diminuire la possibilità di essere a rischio in tali attacchi

I ladri di identità possono anche usare le intrusioni nei computer in organizzazioni come quelle degli operatori di business on-line per raccogliere grandi quantità di dati su carte di credito o altre informazioni identificative. Essi possono inoltre cercare di raccogliere informazioni disponibili su siti Internet pubblici: è meglio quindi non esporre troppe informazioni su se stessi e i propri familiari (ad esempio indirizzi e numeri di telefono) in siti di community come MySpace, Facebook e Orkut

H2.4 Come proteggersi dagli attacchi phishing

Dal momento che gli attacchi di phishing sono rivolti a utenti, la sensibilizzazione degli utenti è un elemento fondamentale di difesa. Il più promettente metodo di arresto dello spear phishing è quello di organizzare periodici corsi di formazione per sensibilizzare tutti gli utenti, che può includere anche tentativi simulati di phishing per verificare la sensibilizzazione degli utenti.

Metodi meno efficaci, ma comunque validi sono:

• Evitare di inviare mail comuni ai vostri clienti con link diretti al vostro sito web o a un sito terzo. In questo modo si abitua i clienti ad accettare come normali le e-mail di questo tipo.
• Non usare le vostre credenziali di autenticazione o altre informazioni personali non pubbliche per autenticare la vostra clientela.
• Mantenere un sistema di log per identificare qualsiasi cambiamento di informazioni dell'utente nei sistemi online.
• Assicurarsi che tutti i casi di frode siano denunciati all'autorità competente.
• Software anti-phishing: applicazioni che tentano di individuare i contenuti di phishing nelle e-mail e nei siti web, di solito integrati nei browser web e nei client di posta elettronica. Esistono diverse opzioni:
  • Toolbar NetCraft: disponibile sia per Internet Explorer che per Firefox
  • Google Safe browsing: disponibile per Firefox
  • Ebay Toolbar: disponibile per Internet Explorer
  • Earthlink Scamblocker: disponibile sia per Internet Explorer che per Firefox
  • Geotrust Trustwatch - disponibile per Internet Explorer, Firefox e Flock
  • McAfee SiteAdvisor - disponibile sia per Internet Explorer che per Firefox
• Formazione dell'utente: una delle migliori strategie per la lotta contro il phishing è quello di educare gli utenti ai metodi correnti e a tutte le nuove tecniche di attacco di phishing, e di renderli edotti su cosa fare in caso di un attacco phishing
• Doppia autenticazione (Two Factor Authentication): Prevdere, quando possibile, un diverso meccanismo di autenticazione oltre alla password.

H2.6 Approfondimenti

Anti-Phishing Working Group
http://www.antiphishing.org/

3sharp study Gone Phishing: Evaluating Anti-Phishing Tools for Windows
http://www.3sharp.com/projects/antiphishing/gone-phishing.pdf

VoIP Phishing Scams
http://blogs.pcworld.com/staffblog/archives/001921.html

The Ghost In The Browser; Analysis of Web-based Malware
http://www.usenix.org/events/hotbots07/tech/full_papers/provos/provos.pdf

Phone phishing: The role of VoIP in phishing attacks
http://searchsecurity.techtarget.com/tip/0,289483,sid14_gci1193304,00.html

Phishing and Spamming via IM (SPIM)
http://isc.sans.org/diary.html?storyid=1905

Suspicious e-Mails and Identity Theft
http://www.irs.gov/newsroom/article/0,,id=155682,00.html

H3. Laptop senza crittografia e dispositivi rimovibili

H3.1 Descrizione

La perdita di computer portatili e di supporti rimovibili è diventata un'importante responsabilità per le imprese e gli enti pubblici, oltre che per i privati. Troppo spesso capita che grosse fughe di dati personali o altre informazioni derivino da il furto o lo smarrimento di un laptop o di un supporto di memorizzazione rimovibile.

In passato, i dati personali venivano memorizzati in registri cartacei o in sistemi centralizzati. Con la crescita della capacità di memorizzazione dei computer, è possibile archiviare grandi quantità di informazioni personali su computer portatili, desktop o dispositivi portatili. Questa portabilità provoca un maggiore rischio di perdita o di compromissione dei dati, sia questa dovuta a dolo o a semplice distrazione. Dal momento che i dispositivi di archiviazione rimovibili sono stati progettati specificamente per la portabilità, essi tendono anche ad essere persi o lasciati nel posto sbagliato.

Siccome i dispositivi di memorizzazione portatili sono spesso condivisi tra diverse macchine, rappresentano un potente vettore di propagazione del malware. Gli utenti spesso condividono i dispositivi tra sistemi aziendali e personali o domestici, fornendo un evidente opportunità di diffusione a virus e altri malware, che possono così propagarsi tra reti e ubicazioni fisiche diverse.

Identità messe in pericolo da recenti perdite di computer portatili:

Statistiche da: http://www.privacyrights.org/ar/ChronDataBreaches.htm

H3.2 Come stabilire se si è a rischio

Tutte le aziende hanno qualche dato che deve essere protetto: segreti commerciali, informazioni di identificazione personale, dati personali dei dipendenti, dati relativi alle buste paga e alle risorse umane, dati relativi alle vendite, listini, contatti, database dei clienti e via dicendo. In assenza di controlli attivi che assicurino che tutti i dispositivi portatili e i supporti rimovibili siano crittati autorizzati, qualche rischio è sempre presente. Ecco alcune domande che aiutano a determinare il livello di rischio:

• Qual è la politica in materia di dati critici che si spostano su supporti rimovibili o computer portatili?
• Quale sistema di crittografia è installato e utilizzato su portatili, palmari e supporti removibili?
• Quali sono i controlli in atto per monitorare l'accesso ai dati critici che possono determinare il trasferimento non autorizzato dei dati?
• Quali sono i controlli in atto per assicurarsi che tutti i dispositivi di storage siano distrutti (o cancellati in modo sicuro) in modo che i dati non siano più accessibili o recuperabili quando smaltiti?

H3.3 Strategie per ridurre il rischio

• Come minimo è necessaria una policy di sicurezza scritta che riguardi i computer portatili e i dispositivi di memorizzazione removibili. La policy dovrebbe essere controllata ed approvata dai vertici organizzativi. Se la cosa è possibile, nella policy dovrebbe essere indicato l'obbligo di cifrare tutti i dati contenuti sul portatile e sui dispositivi removibili.
• Se dovesse risultare impossibile approvare una politica che introduca sistemi di crittografia completa, si potrebbe provare a introdurre una crittografia a livello di disco o di file system per almeno per alcuni file. Se si applica tale strategia, abbiate cura di farla precedere da una analisi accurata: i sistemi operativi e le applicazioni spesso memorizzano i lavori e dati temporanei in cartelle che potrebbero risiedere al di fuori dell'area cifrata nel sistema. Bisogna evitare un falso senso di sicurezza quando è implementata solo una cifratura parziale.
• Ci dovrebbe essere una policy chiara che identifichi quali sistemi vadano soggetti a cifratura: tutti i sistemi o alcuni sottoinsiemi di sistemi. La policy di sicurezza dovrebbe obbligare a archiviare i dati riservati solo sui sistemi effettivamente cifrati. Naturalmente, dovrebbero essere implementati alcuni metodi efficaci per assicurarsi che i sistemi siano conformi alle policy di sicurezza definite.
• I metodi e gli strumenti per decriptare, incluse le chiavi di crittografia, dovrebbero essere noti solo a un numero molto limitato di individui. Ciò nonostante, in nessuna circostanza la capacità di decifrare i dati dovrebbe essere affidata ad un singolo individuo, poiché la mancanza di quest'ultimo sarebbe catastrofica quanto la perdita dei dati. Dovrebbero essere implementate strategie di condivisione delle chiavi crittografiche e strategie di deposito delle chiavi presso terzi.
• Per quanto riguarda i dispositivi removibili, le policy di sicurezza dovrebbero indicare chi è autorizzato ad utilizzare questi dispositivi, la natura dei dati (tipologia e grado di criticità) che possono essere memorizzati, se possono essere portati al di fuori dell'ambiente aziendale e, possibilmente, gli specifici tipi e modelli di dispositivi removibili utilizzabili.
• Una volta che la policy di sicurezza è presente, l'azienda dovrebbe scegliere il livello e il metodo di controllo da implementare. Si può andare dall'assenza di controlli tecnici (si fa un affidamento esclusivo sulla policy) fino all'impiego di specifici software che limitano le possibilità di utilizzo di dispostivi removibili.
• Dovrebbero essere predisposte misure di sicurezza che notifichino allo staff tecnico il momento in cui dati riservati vengono trasferiti su dispositivi o sistemi removibili. Si tratta di un compito per niente banale, che aiuta spesso a compiere una scelta tra una soluzione di cifratura che interessi l'intero disco o una cifratura parziale.
• Spesso la perdita di dispositivi contenenti dati riservati è colpa di soggetti terzi, come società esterne che effettuano operazioni strumentali, piuttosto che delle organizzazioni proprietarie dei dati. Per ridurre questo rischio è necessario aggiungere specifici requisiti per la crittografia dei dati e dei supporti di storage al momento di stipulare un contratto con società esterne che possono aver accesso a dati riservati.

H3.4 Approfondimenti:

Usare le Group Policy per disabilitare USB, CD-ROM e Floppy Disk
http://support.microsoft.com/kb/555324

Elenco di violazioni dei dati personali
http://www.privacyrights.org/ar/ChronDataBreaches.htm

Elenco delle leggi americane sulla divulgazione dopo la perdita di informazioni personali (PII)
http://www.vigilantminds.com/files/vigilantminds_state_security_breach_legislation_summary.pdf

Perdita di laptop
http://www.numbrx.net/2006/08/19/chevron-employees-data-lost-with-stolen-laptop/
http://www.caslon.com.au/datalossnote3.htm
http://privacy.med.miami.edu/learning_from_others.htm
http://wizbangblog.com/content/2007/08/02/laptop-theft-leaves-verisign-employees-data-exposed.php
http://seattlepi.nwsource.com/business/295769_boeing13.html
http://www.journalinquirer.com/site/news.cfm?newsid=18840780&BRD=985&PAG=461&dept_id=161556&rfi=6

Perdita di chiavi USB
http://www.fcw.com/article97113-12-18-06-Print
http://www.kristv.com/Global/story.asp?S=6667387
http://redtape.msnbc.com/2006/04/military_thumb_.html
http://www.securestix.com/bad_news.php
http://www.nytimes.com/2006/04/14/world/asia/14afghan.html?_r=2&oref=slogin&oref=slogin

Perdita di supporti di backup

In febbraio, Bank of America ha perso una serie di supporti di backup non cifrati che erano stati spediti tramite in aereo di linea; i dati comprendevano dettagli relativi a milioni di clienti.
http://tinyurl.com/4jvbz

In aprile, Iron Mountain ha perso la sua quarta spedizione di nastri di backup dal 2005 - questa volta contenente dati di circa 600000 attuali ed ex dipendenti della Time Warner
http://www.networkworld.com/news/2005/050605-timewarner.html?rl

In giugno, Citigroup ha annunciato che i nastri di backup spediti tramite UPS sono stati smarriti durante il trasporto; i dati al loro interni comprendevano i numeri di Social Security di 3.9 milioni di clienti.
http://www.networkworld.com/news/2005/060605-citibank.html?rl

In novembre, Marriott International ha scoperto la mancanza di supporti nastri di back-up del suo Vacation Club; alla fine dell'anno ha annunciato i nastri smarriti o rubati contenevano dati relativi alla carta di credito e i numeri di Social Security di 206.000 clienti e di qualche impiegato.
http://www.washingtonpost.com/wp-dyn/content/article/2005/12/27/AR2005122700959.html