Blog

Wannacry non è un attacco normale, ha colpito 156000 computer e se ne parla come ne avesse colpiti 2 Milioni, ci sono tante botnet da 2 Milioni di pc di cui nessuno parla di cui non ci si preoccupa... Per Wannacry hanno usato un exploit pubblicato da ShadowBrokers il 14 aprile, un mese fa. Un exploit che non doveva funzionare se qualcuno si fosse preoccupato di gestire il patching dei sistemi, sopratutto dopo l'uscita dei tools di ShadowBrokes...


Il venerdì sera del 12 Maggio ti arrivata Wannacry, in italiano "voglio piangere" un nome, un programma. Nel giro di poche ore mette KO, Telefonica, Renault, FedEx e gli ospedali britannici... oltre a tante altre realtà in tutto il mondo
Vi sembra normale che colossi come Telefonica e Renault siano vulnerabili a questi attacchi? Non dovrebbero avere un team dedicato a gestire la sicurezza IT con tempestività?  l'interrogativo più interessante arriva ora. Wannacry è stato disattivato, cioè è stato premuto il pulsante rosso di Emergenza.. da quando in qua chi scrive codice malware mette a disposizione un pulsante di emergenza???? Da quando in qua i ramsoware si bloccano con il pulsante di emergenza?

A meno che non si trattasse di una prova fatta per misurare i tempi di diffusione, la capillarità, o i tempi di risposta. Da bloccare ad un certo punto.... perché di pazzi il mondo è pieno ma di pazzi che mettono il pulsante di arresto sulle bombe...non ne ho mai visti, ci sono sempre voluti gli artificeri per disinnescarle.

Per me tutta la questione ha più il sapore di un sottile gioco strategico, della serie vediamo quanti sistemi riesco a compromettere in x ore, o vediamo quanto tempo impiegate a trovare il pulsante di emergenza..
Dietro tutto questo c'è sicuramente una mente diabolica che ha un piano molto più ampio di wannacry, che ha usato la disattenzione, l'incompetenza e il semplice menefreghismo di chi è alla guida di aziende IT e non si preoccupa realmente di trasformare la sicurezza in quotidianità

E ora cosa ci dobbiamo attendere se ciò che abbiamo visto è stata solo una esercitazione... non ho idea, forse altre esercitazioni stile wannacry prima di un grande attacco globale per il quale non sarà sufficiente staccare i computer da Internet ma dovremo spengerli... Dobbiamo prendere coscienza del fatto che abbiamo costruito, all'insegna del motto "soldi subito", un mondo IT estremamente fragile: l'IoT è fragilissimo e potrebbe diventare un grande boomerang, inoltre ci sono migliaia di exploit 0 day sicuramente più pericolosi di quello usato da wannacry che potrebber colpire da domani..

Vediamo quindi, se la "lesson learned" serve a qualcosa, se incominciamo rapidamente a porre maggiore attenzione ai rischi sicurezza, a mettere persone skillate a gestire la sicurezza e l'IT, ma sopratutto se smettiamo tutte le volte di ragionare come spesso mi capita di sentire
"non è capitato fino ad ora... perchè dovrebbe succedere ora.." se non impariamo da wannacry... avremo tanti episodi di wannacry 2,3,4... come per le più famose serie... ma con impatto sul mondo reale: finanza e posti di lavoro

 

La Corte di cassazione con la sentenza n. 10836/2017 ha confermato il licenziamento per giusta causa del dipendente dell'Inps che svolge in favore di una società un'attività di consulenza incompatibile con il suo ruolo e "usando il fax aziendale per scopi estranei a quelli dell'ente".

Il valore di questa sentenza è nell'interpretazione estensiva all'utilizzo di tutti gli strumenti aziendali, come del resto la sentenza lascia comprendere, l'utilizzo di strumenti aziendali, che si tratti di fax, mail, stampanti, o computer al per scopi estranei a quelli dell'ente o dell'azienda è motivo licenziamento per giusta causa. Il fatto che si utilizzino risorse aziendali per scopi non legati all'attività aziendale arreca un danno economico e un ingiusto profitto ad altri.

Quando questo concetto lo applichiamo al contesto delle risorse informatiche che l'azienda mette a disposizione delle sue maestranze, assume una connotazione importante, sopratutto in un paese come il nostro,  in cui il cellulare aziendale piuttosto che il notebook,  sono percepiti e vissuti più come benefit invece che come strumenti di lavoro forniti per svolgere mansioni specifiche; in questo senso la sentenza di cassazione va ca confermare l'orientamento già presente nel Jobs Act. Certamente per poter individuare tali tipi di abuso è necessario un piano di audit IT che da un lato rispetti le libertà personali di dipendenti e collaboratori, ma che allo stesso tempo permetta di tutelare l'azienda contro usi impropri e abusi delle risorse aziendali.

Piano e attività di Audit che in ambito information technology, data la volatilità e fragilità delle prove informatiche, è doveroso siano condotte secondo i  principi della digital forensics per poter disporre di elementi oggettivi, scientifici e  opponibili a terzi.

 

La tecnologia ci sta coccolando e chiaramente questo ci piace e così ci riempiamo di dispositivi che in una qualche maniere pensiamo ci possano essere utili, possano assecondare e migliorare la quotidianità e la qualità della vita, e anche renderci più alla moda, più trendy più fighi.

Così, a casa, a lavoro, in macchina, per la strada, ci circondiamo di "apparecchi" tutti o quasi plug & play, di ogni genere a partire da smart watch, smart tv, frigo intelligenti, sistemi di video sorveglianza connessi e contrattabili dall'App del telefono, fino ad arrivare a sistemi di allarme collegati ad Internet,  o impianti di climatizzazione che possiamo gestire da remoto. chi l'avrebbe detto solo 5 anni fa che saremmo arrivati a questi punti... ed è solo l'inizio.
Stiamo creando un mondo fighissimo che dovrebbe, almeno nelle intenzioni, migliorare la qualità dalla vita di ognuno, qualcuno addirittura sta già pensando al robot domestico, non il puli-pavimenti che conosciamo oggi, ma un vero robot, che quando non ci sei in casa o mentre dormi,  spazza, lava, pulisce i vetri, e ti prepara il pranzo,  cena, colazione... . Naturalmente sarà connesso e coordinerà tutti i dispositivi demotici del suo padrone per migliorargli la vita... ma a che costo? oggi ci stiamo circondando di tutti questi dispositivi fidandoci ciecamente del fatto che non potranno nuocerci mai...., del resto come potrebbe nuocerci il frigo? o l'impianti di climatizzazione? o l'apertura elettrica della serratura del portone di casa o delle imposte?
o la smart tv? ... "loro" possono diventare gli occhi, gli orecchi, le braccia di chiunque sia motivato a impossessarsi di casa nostra. Attraverso questi innocui gioielli di tecnologia avventori motivati possono vedere, ascoltare, intervenire nella nostra vita controllare quello che facciamo, decidere dove dobbiamo stare cosa possiamo fare. qualcuno sicuramente pensa che stia esagerando... bhè allora guardatevi questo video....


Questo video della F-Secure, più di molti altri che ho visto, fa prendere coscienza dei rischi; certo c'è della fiction nel modo di esporre la questione e nella gestione dei tempi, è chiaro non potrebbe essere diverso; ma i rischi sono reali, concreti già oggi. Se avete qualche dubbio pensate all'ultimo leak di wikileaks su CIA e Smartphone e  Samrt tv.  Quel leak  è la dimostrazione di come già qualche anno fa fosse possibile ascoltare, vedere cosa accadeva oltre il telefono, oltre la smart tv.

Approcciamo la tecnologica con un assoluto senso di fiducia, i social ne sono la prima grande dimostrazione, ormai la gente ci mette tutto senza alcun limite di pudore. Invece dovremmo essere più attenti ad un uso consapevole dei nuovi strumenti che la tecnologia ci mette a disposizione. 
Il fatto che siano facili da usare e che spesso siano anche oggetti di design, non significa che siano altrettanto sicuri. In un futuro molto prossimo dovremo iniziare a pensare alle nostre case, alle nostre automobili, ai nostri dispositivi connessi ad Internet come  ad aree da protegge con Firewall e IPS, come se fossero un'azienda. A meno che non vogliamo lasciare che qualcuno si faccia i fatti nostri e poi, un giorno come minimo ci ricatti o ci imprigioni nella nostra smart car o nella smart-home.

E' necessario promuovere un IoT consapevole sia lato utente che produttore, dovrà nascere un nuovo modo di pensare all'Internet di casa, con dispositivi di protezione della rete, con servizi di monitoraggio e protezione remota della nostra privacy, che proteggeranno la nostra rete casa da attacchi e accessi non autorizzati,  perché la smart tv non deve essere raggiungibile e controllabile da Internet, è lei che va in Internet a prelevare i contenuti, le imposte dovranno essere pilotate dall'App solo dopo che si è autenticata sulla nostra vpn casalinga, la serratura del portone principale: non deve essere raggiungibile controllabile da Internet.

Essere critici non vuol dire aver paura del futuro, vuol dire volere un futuro consapevole.

Joomla templates by a4joomla