cyber security

  • Altro giro altra corsa sull'ottovolante della cyber insicurezza, per la serie continuiamo a rincorrere i problemi e non ad affrontarli strutturalmente vediamo quanti danni farà l'ennesimo ramsoware stile wannacry....
  • coffeecapp
    Coffee cApp, un'App............

    ...insecurity by default & by design

     

     

     

    Prendere il caffè con una App è chiaramente molto comodo: non hai bisogno di spiccioli, non hai il problema di perdere la chiavetta e se finisce il credito ricarichi rapidamente magari con Paypall Nell'usare una di queste App, Coffe cApp, salta subito agli occhi che, come qualche anno fa, bisogna registrarsi e non è possibile utilizzare la propria utenza Google o Facebook.
    Usare le api di autenticazione di Google, Facebook etc... può non piacere ad alcuni programmatori e agli integralisti della privacy ma certamente ci aspettiamo che queste API siano abbastanza sicure.
    Implementare un procedimento di registrazione non è complesso ma si rischia di scivolare su delle bucce di banana. Proprio riguardo a quest'App abbiamo trovato un articolo molto interessante.
    https://medium.com/@fs0c131y/nothing-is-safe-in-a-hacker-conference-not-even-the-coffee-machine-8501bf14f41a. Dall'articolo risulta chiaramente che username e password passano in chiaro, no hash di nessun tipo, che è possibile fare brute force e gussing sul PIN, insomma quanto di peggio si possa immaginare dal punto di vista della sicurezza. L'autore non lo ha scritto ma personalmente sono convinto che sia abbastanza agevole dire alla macchinetta del caffè che mi merito un caffè grautito....occhio la stessa App viene usata anche per i distributori di merendine, certamente più costose del caffè:-)

    il rischio non è solo per l'esercente che potrebbe vedere vuoti i distributori senza incassare un euro, e già questo sarebbe grave, ma c'è un rischio alto anche per l'utenza di questi distributori automatici, senza adeguati meccanismi di protezione e salvaguardia delle credenziali ignoti potrebbero consumare caffè e bibite a nostre spese... e questo per la reputation di quest'azienda sarebbe ben peggiore del primo rischio.

    A oltre un anno dall'entrata in vigore del GDPR siamo all'assurdo di dover constatare l'applicazione del principio Insecurity By Default & by Design, c'è ancora molta strada da fare, nel 2019 non si può vedere passare le password in chiaro, mancano le basi e la sensibilità ai temi della sicurezza dei dati.

    Bheè viene da domandarsi se è stato fatto almento effettuato un test di sicurezza, un vulnerability assessment o un penetratin test, prima di mettere in produzione una tale infrastruttura

     

    in ogni caso se state per portare in produzione un'App o un altra soluzione tecnogica consultatici per una verifica di sicurezza: verifica codice sicuro, web application test, IP Penetration test

     

  • Acquisizione Forense Pagina web

    Copia autentica pagina web

    I nostri servizi di Copia/Acquisizione forense di pagine web, profili social e account cloud permettono di eseguire la copia autentica della pagina web quella che tecnicamente prende il nome di copia/acquisizione forense dei contenuti presenti su un sito, un sociao, in genere su un sito Internet. 

    Si ricorre alla copia autentica di una pagina web o di un intero sito quando ricorrono le condizioni di diffamazione, uso illecito di loghi e marchi, clonazione di portali web o di piattaforme software, pratiche commerciali scorrette, dipendente infedele

    Le pagine web presenti in Internet possono essere alterate in tutto o in parte o  essere rimosse con estrema rapidità e facilità. Si pensi ai post sulle bacheche dei social network come Facebook, un post può essere cambiato, rimosso o nascosto  in qualsiasi momento mediante uno smartphone. 

    La stampa della pagina web o il suo semplice salvataggio non ha valore probatorio,  come chiarito dalla Cassazione, Sezione lavoro con la sentenza n. 2912 del 18 febbraio 2004, recita che 

    "La copia di una pagina web su supporto cartaceo ha valore probatorio solo se raccolta con le dovute garanzie. Per la rispondenza all'originale e la riferibilità a un momento ben individuato - Le informazioni tratte da una rete telematica sono per loro natura volatili e suscettibili di continua trasformazione. Va escluso che costituisca documento utile ai fini probatori una copia di pagina web su supporto cartaceo che non risulti essere stata raccolta con garanzia di rispondenza all'originale e di riferibilità a un ben individuato momento (Cassazione Sezione Lavoro n. 2912 del 18 febbraio 2004, Pres. Mattone, Rel. Spanò)"

    La copia forense di pagine web e siti adotta metodologie forensi di garanzia e tutela dell'originalità delle fonti e dei contenuti alla data di acquisizione, metodologia che fornisce quindi  valore probatorio, ai contenuti web così acquisiti. 

    La copia o acquisizione forense di una prova presente in Internet è sempre più spesso fondamentale nella risoluzione di un contenzioso in quanto cristallizza con metodi forensi il contenuto dell'informazione permettendo, ove si renda necessario di  chiarire il quadro indiziario.

    contattci      preventivio
  • Consulenza e servizi cyber security

    Il dott. Alessandro Fiorenzi si occupa attivamente di sicurezza informatica dalla fine degli anni 90.

    Lo studio ha maturato una significativa esperienza nella gestione delle problematiche di tipo cyber security sia in abito bancario che industriale, attraverso competenze di livello enterprise per la gestione e mitigazione dei rischi IT

    La nostra consulenza è rivolta principalmente ai seguenti ambiti della cyber security

    • Security Management
    • Risk Management
    • Incident Handling & Response
    • Security Monitoring
    • Log Management & SIEM
    • Vulnerability Assessment & Penetration Test
    • Business Continuity & Disaster Recovery
    • IT Compliance (ISO27001, PCI-DSS, Sarban Oxley etc..)

    Spesso è consigliare approcciare la tematica della Cyber Security con un intervento di due diligence che permetta di acquisire una istantanea dello stato della sicurezza di dati  e sistemi, al fine di definire un target e poter avviare le procedure di remediation

    contattci      preventivio
  • Consulenza e progettazione soluzioni di Forensics Readiness

    Forensics Readiness si applica a un contesto aziendale e significa avere un appropriato livello preparazione a poter preservare, raccogliere, proteggere e analizzare le digital evidence così che queste evidenze possono essere effettivamente usate: in qualunque contesto legale, nelle investigazioni digitali in provvedimenti disciplinari, in un contenzioso giuslavoristico in tribunale o in giudizio.

    Un'indagine di tipo Digital Forensics è comunemente avviata come una risposta, ex post, a un grave incidente di sicurezza informatica; si tratta di una scelta che complessità alte.
    Ci sono molti casi in cui un'Azienda potrebbe risultare più competitiva organizzando ex-ante i propri strumenti, processi e procedure anche in funzione di della gestione di un incidente informatico e della raccolta e conservazione delle prove digitali,

    Forensics Readiness è quindi la capacità di un'Azienda o Ente di massimizzare il suo potenziale di utilizzare prove digitali riducendo al minimo i costi di un'indagine.

    Forensics Readiness è un servizio con cui insieme a voi decidiamo il livello di "readiness" che vuole raggiungere, progettiamo e implementiamo le soluzione tecnologiche necessarie e scriviamo insieme a voi le policy di Forensics Readiness

    Alcuni punti che una Policy di Forensics Rediness dovrebbe considerare:
     
    - Raccogliere prove ammissibili legalmente e senza interferire con i processi di business
    - Raccogliere le prove scegliendo i target più potenziali e le controversie che potrebbero avere un forte impatto organizzativo e reputazionale
    - Consentire un'indagine dai costi proporzionati all'incidente
    - Ridurre al minimo l'interruzione del business per fini investigativi
    - Garantire che le prove possano essere accettate senza riserve in qualsiasi azione legale, al fine di garantire la prosecuzione di tutte le altre attività di business

     Un approccio forensics readiness permette di raccogliere costantemente con metodlogia forense le fonti di prova, in caso di danneggiamento, data brech, il consulente informatico forense può intervenire tempestivamente anche da remoto e collezionare tutti i dati necessari all'analisi forense e alla stesura di una perizia informatica forense che verrà usata per denuncia contro aggressori, per la notifica al Garante - GDPR, o per la notifica all'assicurazione se si è fatta la polizia rischio cyber.

     

     

    contattci      preventivio
  • La tecnologia ci sta coccolando e chiaramente questo ci piace e così ci riempiamo di dispositivi che in una qualche maniere pensiamo ci possano essere utili, possano assecondare e migliorare la quotidianità e la qualità della vita, e anche renderci più alla moda, più trendy più fighi.

    Così, a casa, a lavoro, in macchina, per la strada, ci circondiamo di "apparecchi" tutti o quasi plug & play, di ogni genere a partire da smart watch, smart tv, frigo intelligenti, sistemi di video sorveglianza connessi e contrattabili dall'App del telefono, fino ad arrivare a sistemi di allarme collegati ad Internet, o impianti di climatizzazione che possiamo gestire da remoto. chi l'avrebbe detto solo 5 anni fa che saremmo arrivati a questi punti... ed è solo l'inizio.
    Stiamo creando un mondo fighissimo che dovrebbe, almeno nelle intenzioni, migliorare la qualità dalla vita di ognuno, qualcuno addirittura sta già pensando al robot domestico, non il puli-pavimenti che conosciamo oggi, ma un vero robot, che quando non ci sei in casa o mentre dormi, spazza, lava, pulisce i vetri, e ti prepara il pranzo, cena, colazione... . Naturalmente sarà connesso e coordinerà tutti i dispositivi demotici del suo padrone per migliorargli la vita... ma a che costo? oggi ci stiamo circondando di tutti questi dispositivi fidandoci ciecamente del fatto che non potranno nuocerci mai...., del resto come potrebbe nuocerci il frigo? o l'impianti di climatizzazione? o l'apertura elettrica della serratura del portone di casa o delle imposte?
    o la smart tv?... "loro" possono diventare gli occhi, gli orecchi, le braccia di chiunque sia motivato a impossessarsi di casa nostra. Attraverso questi innocui gioielli di tecnologia avventori motivati possono vedere, ascoltare, intervenire nella nostra vita controllare quello che facciamo, decidere dove dobbiamo stare cosa possiamo fare. qualcuno sicuramente pensa che stia esagerando... bhè allora guardatevi questo video....


    Questo video della F-Secure, più di molti altri che ho visto, fa prendere coscienza dei rischi; certo c'è della fiction nel modo di esporre la questione e nella gestione dei tempi, è chiaro non potrebbe essere diverso; ma i rischi sono reali, concreti già oggi. Se avete qualche dubbio pensate all'ultimo leak di wikileaks su CIA e Smartphone e Samrt tv. Quel leak è la dimostrazione di come già qualche anno fa fosse possibile ascoltare, vedere cosa accadeva oltre il telefono, oltre la smart tv.

    Approcciamo la tecnologica con un assoluto senso di fiducia, i social ne sono la prima grande dimostrazione, ormai la gente ci mette tutto senza alcun limite di pudore. Invece dovremmo essere più attenti ad un uso consapevole dei nuovi strumenti che la tecnologia ci mette a disposizione.
    Il fatto che siano facili da usare e che spesso siano anche oggetti di design, non significa che siano altrettanto sicuri. In un futuro molto prossimo dovremo iniziare a pensare alle nostre case, alle nostre automobili, ai nostri dispositivi connessi ad Internet come ad aree da protegge con Firewall e IPS, come se fossero un'azienda. A meno che non vogliamo lasciare che qualcuno si faccia i fatti nostri e poi, un giorno come minimo ci ricatti o ci imprigioni nella nostra smart car o nella smart-home.

    E' necessario promuovere un IoT consapevole sia lato utente che produttore, dovrà nascere un nuovo modo di pensare all'Internet di casa, con dispositivi di protezione della rete, con servizi di monitoraggio e protezione remota della nostra privacy, che proteggeranno la nostra rete casa da attacchi e accessi non autorizzati, perché la smart tv non deve essere raggiungibile e controllabile da Internet, è lei che va in Internet a prelevare i contenuti, le imposte dovranno essere pilotate dall'App solo dopo che si è autenticata sulla nostra vpn casalinga, la serratura del portone principale: non deve essere raggiungibile controllabile da Internet.

    Essere critici non vuol dire aver paura del futuro, vuol dire volere un futuro consapevole.

  • Studio Fiorenzi è CTU e Perito per l'Autorità Giudiziaria, e il partner e CTP di Aziende, Agenzie Investigative e Studi Legali per Perizie e Indagini Informatiche Forensi, Cyber Security e Compliance Aziendale. Aiutiamo i nostri clienti a proteggere e tutelare il loro Futuro con soluzioni di cyber security, perizie informatiche forensi civili, penali e stragiudiziale, gestione degli incidenti informatici e data breach, e attraverso l'adeguamento tecnico e organizzativo alla compliance.  Il vostro futuro, la vostra serenità è il nostro presente.

Questo sito utilizza i cookie per offrire una migliore esperienza di navigazione. Cliccando OK puoi continuare la navigazione e questo messaggio non ti verrà più mostrato. Se invece vuoi disabilitare i cookie puoi farlo dal tuo browser. Per maggiori informazioni puoi accedere alla nostra cookie policy.