Blog

SAP Attack: l'ERP per eccellenza, la cassaforte di dati aziendali diventerà la meta preferita degli attaccanti.

perchè? Perchè contiene i dati aziendali più importanti per lo spionaggio industriale, e perchè è configurato per funzionare e non per essere sicuro, del resto è un prodotto in mano al management e alla parte amministrativa dell'azienda... a loro interessa che funzioni, la sicurezza è un di cui.
SAP, visto quello che costa alle aziende, non si è risparmiata dal stendere una guida alla configurazione sicura dei vari moduli. Peccato che per la complessità della sua architettura questa guida non viene quasi mai rispettata,  sono veramente pochi i sysadmin che si avventurano nell'hardening della piattaforma, la maggioranza preferisce seguire la guida di installazione classica.

In ogni caso i vincoli architetturali e le le griglie di compatibilità di SAP fanno spesso a cazzotti con i fix di sicurezza e le best practice di configurazione di Application Server e Database

Sapendo quanto SAP è intrinsecamente vulnerabile, dal punto di vista IT, e sapendo che con SAP in aziende medio grandi spesso viene gestito tutto o quasi, dal magazzino, alla contabilità industriale fino alle vendite e fatturazioni, diventa sicuramente un target importante di un attacco di tipo cyber spionaggio. 

Di data breach di SAP non se ne parla in Italia e se ne parla pochissimo in Europa, tipico ateggiamento di chi vuole non affrontare il problema,  in USA invece  questa tematica incomincia ad essere oggetto di attenzione, http://www.darkreading.com/attacks-breaches/first-example-of-sap-breach-surfaces/d/d-id/1320382

Le comunicazione di violazioni della sicurezza, o meglio i data breachs, ormai sdoganata oltre oceano, sembra ormai uno degli eventi all’del giorno. Home Depot, Target, Sony, JP Morgan Chase sono alcuni dei grandi nomi che di recente sono vittima di attacchi che hanno avuto come obiettivo il furto dell’informazione, il data loss. Anche se il fenomeno incomincia ad essere sdoganato ancora è difficile avere una disclosure su come sia stato condotto che possa essere di aiuto e monito a tutta la comunità di Internet per rispondere agli incidenti .
Una delle ultime vittime rese note è Anthem Inc. sembra che il sistema IT sia stato violato già nel dicembre 2014 e non rilevato per diverse settimane. Anthem ha messo a disposizione delle vittime del furto di identità un sito in cui i clienti possono richiedere una verifica e un indennizzo,ed è quantomai giusto e corretto trattandosi di servizi finanziari.
Tornando al tema con cui ho aperto questo post, è chiaro che il rischio di un data breach si riduce quando l’azienda, adotta metodicamente un processo di monitoraggio e seorveglianza, mettendo in campo checkup della sicurezza costituiti certamente da security audit interni, ma anche da audit di terza parte, indipendenti e svincolati dalle logiche aziendali, attività di pentest ed accertaemnti tecnici forensi a campione.
Sono tutte soluzioni che singolarmente portano un contributo significativo ma spesso contestualizzato ad una specifica necessità, se coordinati in un processo di monitoraggio e governo della sicurezza possono permettere di ridurre notevolmente il rischio e, a differenza di Anthem Inc, rilevare con tempestività un data breach. Personalmente penso che in contesti finanziari e industriali tali azioni di monitoraggio e sorveglianza dovrebbero essere pubblicate in forma sintetica per il grande pubblico: nessuno crede razzionalmente ad una comunicazione di tipo rassicurante “siamo bravi e facciamo del nostro meglio “ data dopo il data breach, discorso diverso sarebbe avere report trimestrali sull’attività di sorveglianza/audit della sicurezza dei sistemi IT. Anche in caso di data breach la storia dimostrerebbe l’attenzione dell’azienda al problema e i comunicati expost sarebbero certamente più credibili con danni reputazionali molti più bassi.

La suprema Corte ha stabilito che vivere nell’incubo che il telefono torni a squillare, nel timore che dall’altro lato della cornetta ci sia un maniaco, tanto da temere per la propria incolumità e arrivare persino a cambiare le proprie abitudini di vita, fa scattare la condanna penale per il persecutore.

Così si è espressa la suprema corte con la  sentenza n. 9962  del 9 marzo 2015.

Nel caso di specie, la condanna è derivata dal comportamento ossessivo di un uomo che era arrivato a far squillare a vuoto, più volte nel giorno e nella notte, il cellulare della vittima. Decisivi, in questo caso, i tabulati telefonici, acquisiti tempestivamente,  con cui è possibile rintracciare il maniaco della cornetta.

I tabulati, con gli squilli non risposti sono disponibili però solo per gli inquirenti e per un periodi di 30 gg oltre i quali le telco cancellano le telefonate senza rispsota. Esistono anche altri mezzi  utilizzabili tramite il web, per recuperare il numero di telefono di chi fa chiamate anonime :Whooming un App per iOs, e Android

 

(c) 2015 Copyright Studio Informatica Forense Fiorenzi Alessandro. Tutti i diritti riservati | P.IVA 06170660481 | Templates- (c)Joomla templates by a4joomla