Tra queste, quella che attualmente spicca prende il nome di spear phishing. Come funziona? Dapprima gli hacker si iscrivono al sito spacciandosi per dipendente o affiliato di una qualsivoglia azienda. La seconda fase consiste nell’acquisire la credibilità necessaria all’interno della rete, accumulando contatti di persone appartenenti alla stessa azienda di cui ci si dichiara indebitamente dipendente.

Successivamente ci si infiltra all’interno di forum aziendali e si aprono nuove discussioni o iniziative che possano contemplare l’invio di mail contenenti malware o spyware. Soltanto così si riuscirà a prelevare dati e informazioni riservate e arrivare a centrare il bersaglio.

Come proteggersi? Innanzitutto monitorando costantemente la propria rubrica di contatti, per verificare se alcuni di loro possano essere identificati come sospetti. Ma i controlli devono essere effettuati anche a monte, soprattutto dagli amministratori delle community, che devono essere in grado di individuare le identità reali dei partecipanti alle discussioni.

Spesso infatti, questi forum di discussione non vengono riconosciuti ufficialmente dalle aziende, e per questo motivo lasciati in balia di organizzatori improvvisati dietro i quali possono abilmente nascondersi anche cybercriminali.

E così, un dipendente d’azienda si è visto confermare la condanna in primo e secondo grado dalla sentenza n. 8555 della V Sezione penale della Cassazione, emessa il 5 marzo scorso. Secondo i giudici, infatti, il reato di danneggiamento su sistemi informatici si consuma anche quando dopo lo svuotamento del cestino i dati possono essere recuperati grazie a speciali (e dispendiose) procedure tecniche.

Il fatto che il danno non si fosse effettivamente verificato non basta a limitare la responsabilità del dipendente. Anzi, la conformità allo spirito della diposizione normativa sul danneggiamento prevede che anche la cancellazione integri gli estremi della fattispecie delittuosa.

A causa di questa maldestra cancellazione dal proprio pc, l’incauto dipendente si è visto così costretto anche a risarcire il proprio datore di lavoro, costituitosi parte civile.

E voi, come proteggete i vostri computer aziendali?

E’ l’opinione del 57% degli esperti mondiali di sicurezza informatica, secondo i quali i paesi più all’avanguardia in questa escalation sarebbero Finlandia, Israele e Svezia.

Secondo i risultati del report intitolato “Sicurezza informatica: la controversa questione delle regole globali”, il 36% degli intervistati vede la sicurezza informatica importante tanto quanto quella missilistica. Il 43% individua le minacce informatiche come un attentato alla sicurezza nazionale che potrebbe avere gravi conseguenze economiche. Il 45% considera la sicurezza informatica alla stregua delle misure messe in atto per la difesa del territorio e segnala come maggiormente “impreparate” agli attacchi grandi nazioni quali Stati Uniti, Cina, Germania, Regno Unito.

Uno dei motivi di questa scarsa preparazione è rappresentato dalla carenza di personale pronto a fronteggiare questo particolare tipo di situazioni conflittuali. Le esercitazioni di sicurezza informatica vengono infatti seguite soltanto da un’esigua minoranza, nonostante siano ritenute da tutti di importanza strategica.

Oltre ad un punto sulla situazione informatica, il report offre infine anche alcuni suggerimenti su come difendersi da quest’escalation:

•    Condivisione in tempo reale delle informazioni richieste
•    Maggiori incentivi finanziari per prevenire le minacce informatiche
•    Conferimento di maggiori poteri alle forze armate per combattere la criminalità informatica transfrontaliera
•    Sviluppare standard internazionali per la sicurezza
•    Avvio di campagne pubbliche per la sensibilizzazione

A cosa state pensando?

Per essere robuste dal punto di vista crittografico, le chiavi devono possedere due fondamentali requisiti: non devono essere facilmente rompibili da chi vuole furtivamente accedere ai dati e non devono essere prevedibili.

Niente di più sicuro, quindi, per siti di e-commerce o piattaforme e-banking. Ma uno studio effettuato da ricercatori svizzeri e californiani, rivela i due punti deboli legati a questo sistema di sicurezza: il 4% delle chiavi di un sito è condiviso da altri nel mondo e lo 0,38% delle chiavi è debole, ovvero facilmente rompibile in tempi molto brevi.

Ciò è dovuto soprattutto ai limiti degli apparecchi che generano le chiavi. Infatti, a causa di costi contenuti e allo scopo di migliorare la velocità di generazione, gli Hardware secure module usati dai siti spesso non verificano se le chiavi create sono deboli. E nemmeno gli enti certificatori si occupano del fatto che più Hsm generino doppioni.

E, se il rischio per i siti è ancora minimo (ma non trascurabile), la preoccupazione è soprattutto per il diffondersi sempre più capillare delle PEC (caselle di posta certificata), delle quali è molto più facile ottenere le chiavi allo scopo di sostituirsi all’identità dell’utilizzatore.

Come rimediare? Continuando ad investire nei sistemi di sicurezza informatica e soprattutto affidarsi ad una certification authority in grado di fornire una chiave verificata come sicura. Entrambe le soluzioni rappresentano un notevole dispendio per le aziende, ma sicuramente contribuiscono a far loro dormire sonni più sicuri.

Siete disposti a investire?

Ma cosa si nasconde dietro questi link apparentemente innocui? Il social spam, fenomeno in costante ascesa che colpisce ogni giorno circa 4 milioni di utenti solo su facebook. Sembra infatti che lo spam abbia traslocato dalle email ai social network, creando notevoli grattacapi ai sistemi di sicurezza di colossi quali facebook o twitter.

Soluzioni? Per il momento poche. A differenza della lotta allo spam di tipo classico, polizia e grandi aziende per ora riescono a fare ben poco contro le nuove strategie degli spammer, attualmente mirate a luoghi dove colpire è diventato più facile. Una vulnerabilità diffusa grazie alla quale è possibile attingere facilmente informazioni sottratte ai profili degli utenti, per poter andare a segno in maniera più sottile e mirata.

Che fare quindi? Facebook ha messo in piedi un team comprendente 30 ingegneri, 46 persone che si occupano della sicurezza del sito e circa 300 dipendenti che risolvono i problemi degli utenti. E grazie a questo staff riesce a bloccare ogni giorno circa 200 milioni di pericolosi contenuti. E Twitter? Per ora le forze di difesa si limitano a 5 programmatori e 9 specialisti.

Ciò a cui puntano questi piccoli eserciti per la difesa dei social è un affinamento delle tecniche per impedire le attività degli spammer. Ciò avverrebbe attraverso stratagemmi quali test di riconoscimento o sistemi per identificare i profili fake. Stratagemmi che incrementando soltanto costi inutili per gli spammer, consentirebbero in questo modo di limitarne le minacce.

Ma siamo solo agli inizi, la strada da percorrere è ancora lunga.

E’ di questo che si discuterà il prossimo 8 febbraio, a Milano, quando Nextvalue e CIOnet.com presenteranno l’Information Security Management Report 2012, il documento sull’evoluzione dell’Information Security nel nostro paese, realizzato con il contributo di 214 responsabili della sicurezza di grandi aziende italiane.

Obiettivo del report è quello di fare il punto della situazione all’interno del settore, offrendo un’ampia panoramica delle trasformazioni in corso e soprattutto di proporsi come uno strumento indispensabile per i responsabili della sicurezza che intendono aggiornarsi e adottare soluzioni più efficienti per la risoluzione dei problemi.

Oggi, le aziende destinano all’Information Security in media soltanto il 5% del budget dedicato all’informatica, sebbene il 64% delle intervistate ritenga il problema della sicurezza parecchio rilevante per lo sviluppo del proprio business.

L’esiguità degli investimenti dedicati alla prevenzione e risoluzione di problemi connessi alla sicurezza dipendono soprattutto dai costi, ma spesso anche dalla difficoltà nel dimostrare che si tratta di investimenti assolutamente necessari.

Ma è soprattutto l’assenza di una vera e propria cultura aziendale, che rende queste problematiche ancora poco rilevanti all’interno delle agende dei CEO.  Diffondere una maggiore consapevolezza dovrebbe in primis servire a dotarsi di strumenti in grado di offrire soluzioni efficaci. E anche a trasformare la gestione del rischio in una strategia volta a dotarsi di un vantaggio rispetto ai competitors.

Voi la classificate come una priorità?

Grazie a questo accorpamento, i dati raccolti permetteranno agli utenti di essere riconosciuti all’interno dell’intero universo di servizi targati Mountain View (Gmail, YouTube, Google+ etc.). Tutto ciò per rispondere in maniera esaustiva alle richieste delle autorità, indirizzate a politiche di privacy più semplici.

“Il principale cambiamento è per gli utenti di Google Accounts – spiega sul suo blog Alma Whitten, direttore della privacy di Google -  le nostre nuove politiche sulla privacy mettono in chiaro che, se sei loggato, noi possiamo combinare le informazioni che tu hai fornito da uno dei nostri servizi con quelle provenienti da altri. In pratica ti tratteremo come un unico utente attraverso tutti i nostri prodotti, il che significa vivere un’esperienza più semplice e più intuitiva su Google”.

L’annuncio ha scatenato le polemiche, anche se Mountain View ha immediatamente dichiarato che i dati personali contenuti all’interno dei vari servizi non usciranno in nessun modo da Google, così come fu a suo tempo con gli indirizzi mail degli utenti iscritti a Buzz.

In sintesi, nessun rischio sulla privacy ma un miglioramento nella precisione delle ricerche dovuto all’integrazione dei vari servizi. Anche se è forte il sospetto che, detenendo uno strumento più organizzato per usare le nostre informazioni, Google avrà la possibilità di rendere gli annunci pubblicitari molto più mirati.

Ma soprattutto, come sottolineato dalle nuove norme, “[…] Qualora altri utenti conoscessero già l’indirizzo email di un utente o altre informazioni che lo identificano, potremmo mostrare loro le informazioni del profilo Google dell’utente visibili pubblicamente, ad esempio nome e foto […]”, il rischio che la nostra identità possa essere ancor più esposta pubblicamente è forte.

Che ne pensate?

Tutto ciò era regolato dall’art.122 del Codice della privacy, che vietava “[…] l’uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell’apparecchio terminale di un abbonato o di un utente, per archiviare informazioni o per monitorare le operazioni dell’utente”.

Oggi però l’Italia si è adeguata all’Europa, recependo la direttiva 2009/136/CE. Ciò significa che sarà possibile, entro i limiti individuati dal legislatore, l’installazione dei cookies. In che modo? Attraverso l’espressione di un consenso, tema scottante sul quale dovranno confrontarsi il legislatore, l’authority e l’industria pubblicitaria, per capire come possa essere adeguatamente manifestato.

In ballo ci sono interessi economici enormi. Basta soltanto pensare che, secondo un rapporto dello Iab (Internet advertising report 2011), nei primi sei mesi del 2011 vi è stato un incremento della raccolta pubblicitaria on line del 23%, un trend destinato a crescere soprattutto in relazione ai social network.

La legge comunitaria 2010, che ha preso effetti a partire dal 17 gennaio scorso, prevede una delega al Governo ad adottare, entro tre mesi, un decreto legislativo di recepimento della direttiva 2009/136/CE. Sarà ora compito del legislatore rafforzare le prescrizioni in tema di sicurezza e protezione di dati personali, fornendo allo stesso tempo all’utente precise indicazioni riguardo all’espressione del discusso consenso.

Riusciranno ad adottare misure adeguate per continuare a tutelare la nostra privacy?

Come si diffonde questo malware? Attraverso file con estensione .DLL, .EXE e .HTML. Scoperto nel mese di aprile 2010, è evoluto sino a trasformarsi, nell’agosto 2011, in un worm finanziario, una creatura ibrida con le capacità di infezione di Ramnit e quelle di data-sniffing di ZeuS. Ciò gli ha permesso di ottenere accesso ad istituzioni finanziarie, sessioni di online banking e di penetrare in diverse reti aziendali dopo averle compromesse.

Successivamente, il laboratorio di ricerca Seculert ha rilevato un’inedita veste finanziaria di Ramnit che sottrae le credenziali d’accesso a facebook. A fine dicembre 2011 erano circa 800.000 i computer infettati.

Esistono reali motivi di preoccupazione per l’avanzata di Ramnit? Meno di quanto si creda. Sia perché il malware ha infettato i pc di alcuni utenti e non l’intero social network che per il sistema di propagazione, dal quale ci si può difendere con qualche semplice accorgimento. Ma soprattutto perché circa la metà delle password sottratte erano obsolete, praticamente nulla in confronto ai circa 600.000 login violati ogni giorno su facebook.

Qualche suggerimento? Tenere gli antivirus aggiornati, non permettere al proprio pc di eseguire automaticamente i VBScript ricevuti via internet e soprattutto non utilizzare la medesima password per più di un sito. Infine, diffidare di ciò che i vostri amici pubblicano sulle loro bacheche quando ciò non corrisponde ai loro normali stili di pubblicazione: a volte è fin troppo semplice individuare anomalie che rimandano a virus.

Una tipologia che Symantec ha denominato Android.Rufraud e che, nonostante sia stata definita a basso rischio e semplice da rimuovere dal sistema operativo, è riuscita ad infettare circa 14.000 utenti nella sola Europa.

Si tratta di un problema che puntualmente si ripresenta a Google. L’azienda di Mountain View, infatti, è famosa per rendere disponibili sul mercato le proprie app senza preoccuparsi di controlli preventivi sul lavoro degli sviluppatori. Prassi invece non seguita dall’Apple Store e nemmeno da Microsoft con le app per Windows Mobile.

“Google dovrebbe porre maggiore attenzione – dichiara David Emm, ricercatore di Kaspersky, azienda produttrice di software antivirus – ai software che rende pubblici e che permette ai suoi utenti di scaricare”. Un problema che, dato l’incremento del numero di app disponibili all’interno di un mercato in forte crescita, dovrebbe essere di primaria importanza per la tutela degli utenti.

E soprattutto un problema che potrebbe rivelarsi ben più grande di quello che sembra. Gran parte dei servizi di Google si basano sul cloud computing, e per questo motivo i problemi di Android Market potrebbero estendersi anche a tutta un’altra serie di servizi tra i quali Gmail.

Forse è il caso che un colosso come Google inizi a prestare più attenzione a problemi relativi alla sicurezza dei suoi utenti. Voi che ne pensate?