Sicurezza Informatica e gli Hacker

Attacchi informatici facili da realizzare ….. anche quando si va in vacanza. Non rilassiamoci troppo.

 

Emilio Locatelli     

Gruppo Progetto Innovazione
Vorrei fare qualche considerazione sull’andamento degli attacchi informatici da parte di hacker negli ultimi anni: se ci focalizziamo dallo scorso anno fino ai giorni nostri con il famoso Wannacry possiamo rilevare che indubbiamente il 2016 è stato un anno d’oro, anzi una vera miniera d’oro, per gli hacker mondiali; qualche esempio esemplificativo.
  • Nel febbraio 2016, una banda di criminali informatici si è impossessata di oltre 81 milioni di dollari dalla banca centrale del Bangladesh ma senza un banale errore operativo ne avrebbe potuto incamerare molti di più; stime conservative indicano più del doppio.
  • Nell’agosto del 2016 un’agenzia del governo degli Stati Uniti che si occupa di sicurezza interna, la National security agency (Nsa), ha scoperto l’uovo di Colombo; una serie di strumenti di spionaggio utilizzati dalla stessa, erano già noti a molti sia in America sia all’estero grazie a un gruppo di hacker chiamati Shadow brokers.
  • Un malware chiamato “Mirai” è stato usato ad ottobre per attaccare i server della Dyn, azienda che gestisce infrastrutture informatiche impedendo a molti utenti di accedere a twitter o Reddit.
  • Infine, cosa nota a tutti, lo scorso autunno, l’intrusione nei server di posta elettronica del comitato elettorale del Partito democratico statunitense con polemiche e potenziali ripercussioni sulle stesse elezioni. 
 Questi sono solo pochi esempi di drammatici casi che hanno bersagliato il 2016 e fanno capire quanto   il fenomeno degli attacchi informatici sia sempre forte e devastante per due semplici ragioni:
  1. sono relativamente facili e semplici da realizzare;
  2. i software, in generale, hanno più falle e non vengono aggiornati
Recentemente un articolo su The Economist, fornisce spunti di riflessione sull’evoluzione degli attacchi informatici, considerando anche il ben noto caso Wannacry. Oggi, secondo tale articolo, la parte più corposa delle intrusioni da hacker è costituita da 2 fattispecie: atti vandalici e atti criminali. 
Le intrusioni sono sempre più facilitate da realizzare anche perché su forum particolari sia leciti sia illegali si offrono per pochi dollari ad esempio i dati rubati dalle carte di credito, distribuiti poi su larga scala. Ma non solo questo poiché ora si vendono anche exploit, (errori di codice che permettono di mettere in crisi interi sistemi) ma soprattutto i famigerati ramsonware, (programmi che bloccano il computer) e richiedono un riscatto a tempo tramite Bitcoin per farlo funzionare di nuovo.

L’ultimo e più famoso caso di ramsonware è chiaramente  Wannacry, che ha coinvolto diverse tipologie di utenti non solo come PC ma soprattutto di intere reti di sistemi mettendo in ginocchio centinaia e centinaia di malcapitati. La colpa della diffusione di “Wannacry” è come sempre materia di dibattiti sui social, media, giornali, senza trovare una risposta; ciò che invece appare chiaro che dobbiamo avere sempre in mente due semplici regole: la continua formazione dei dipendenti/utenti, ma soprattutto la prevenzione.
Sembrerà strano, ma ancora oggi nel 2017 il maggior veicolo di propagazione di un Wannacry” è un semplice “click” su un allegato o su un link; dobbiamo imparare a tenere a freno la curiosità ed evitare di abboccare alle esche del phishing, È chiaro ormai a tutti che la sicurezza al 100% delle reti aziendali o dei singoli PC non esiste, ma dobbiamo ridurre i vari fronti di attacco cercando di chiudere le strade di accesso non strettamente necessarie.

Le cose semplici sono sempre storicamente le più efficaci, ma spesso ce ne dimentichiamo. A tal proposito permettetemi di portare alla vostra attenzione una piccola “chicca” non molto conosciuta; due mesi prima del polverone mediatico generato da Wannacry fu rilasciata da Microsoft una patch che, se installata tempestivamente, avrebbe risolto il problema alla radice. Spesso siamo frenati dall’implementare patch perché “devo fare delle modifiche e mi costa” specialmente su vecchi sistemi di produzione: ma poi quale è il prezzo da pagare in Bitcoin per poter far ripartire la produzione 

Oggi per un attacco informatico su larga scala, il mercato degli strumenti è estremamente sofisticato a tal punto che non è necessario saper scrivere codici o programmare; per esempio Le botnet (reti di computer infette create da software dannosi come Mirai) in grado di bloccare i siti inondando di richieste i loro server fino a quando non viene pagato un riscatto, si possono addirittura affittare a una tariffa oraria; non è noto ad oggi il costo degli attacchi informatici, ma tutti indicano che il fenomeno è in crescita esponenziale. 

Quindi vista l’impossibilità di prevenire e di bloccare tutti gli attacchi, è sorto il convincimento da molte grosse aziende di ricorrere ad un vecchio rimedio: l’assicurazione; naturalmente il costo delle polizze aumenterà e conseguentemente le aziende pretenderanno sempre più dai software di protezione. Con l’incremento degli indennizzi, le Assicurazioni chiederanno ai loro clienti che il software sia sempre più efficace ed aggiornato e che il personale venga costantemente addestrato ed aggiornato.
Per ridurre i costi dei premi avremo forse una maggior sicurezza …….. 

Poi arrivano le ferie e l’utente si rilassa ... 

Quando la sicurezza va in vacanza …

L’estate per tutti è sinonimo di vacanze e spesso facciamo buoni propositi di non usare smartphone e vari social; normalmente durante le ferie si abbassano gli schermi, l’attenzione scema e siamo sempre più esposti ai rischi; Infatti i dati di una recente ricerca MSI International condotta nella primavera del 2017 su un campione di 9.500 persone tra i 18 e i 55 anni residenti America, Australia e alcuni Paesi EU ci danno un interessante scenario. Scopo primario dell’indagine dal titolo Digital Detox: Unwind, Relax and Unplug (Disintossicazione digitale: rilassarsi, distendersi e ‘staccare’ durante le vacanze estive) era quello di fotografare i  comportamenti e gli atteggiamenti dei consumatori/utenti  nel periodo di riposo. Lo studio evidenzia un dato abbastanza ricorrente negli anni e cioè come le abitudini digitali del periodo estivo, più rilassato, mettono a rischio i dati personali. Se da un lato il periodo estivo potrebbe rappresentare un ottimo momento per disintossicarsi dall’overdose digitale, alla fine oltre la metà del campione ha risposto di rimanere comunque connesso alla Rete per almeno un’ora al giorno, tutti i giorni, per controllare la posta, gli SMS e alimentare i social network. Senza contare poi come il 54% degli intervistati non resista nemmeno un giorno senza utilizzare il proprio dispositivo se si tratta di inviare messaggi di testo e il 57% non ci provi nemmeno e vada in vacanza con l’intento di rimanere connesso. Chi invece ci prova e ci riesce (43%) poi riporta un’esperienza molto più piacevole (circa 81%); da apprezzare e meditare!!!!

Un intervistato su tre non riesce a trascorrere una sola giornata senza controllare l’email di lavoro o personale, uno su quattro addirittura controlla tutto come se fosse in ufficio, e quasi quattro intervistati su sei pubblicano regolarmente sui social. Il dato più interessante riguarda i device.

Si parte con ottimi propositi, tanto che il 72% lascia a casa il proprio laptop, ma siamo molto più stupiti per il fatto che ben il 27% sarebbe disposto a lasciare il proprio smartphone. Una percentuale davvero incredibile, o forse ciò possa riguardare solo lo smartphone del lavoro?

L’attività digitale sarà sempre più percepita non come un momento fine a se stesso, ma come parte integrante di tanti altri comportamenti quotidiani e come tale irrinunciabile e indistinta. Fino a quel momento, già presente per le giovani generazioni, chi non lascia la propria attività digitale farà bene a tenere gli occhi molto aperti. I cybercriminali non dormono e sanno molto bene come violare la privacy, e quando poi si preferisce la comodità (una connessione WiFi aperta a tutti) alla prudenza o alla spesa del traffico LTE a causa di una eccessiva autostima spesso poi ci si espone a rischi notevoli

Ad esempio il 58% degli intervistati è convinto di saper verificare se il proprio WiFi sia sicuro, e solo uno su due però controlla la connessione. Siamo in presenza di grossi rischi considerato che un terzo degli intervistati si affida ai WiFi pubblici appena li trova.

Qualche consiglio per la sicurezza in vacanza

Non sono nuovi, ma come dicevano i Latini repetita iuvant; dalla ricerca emerge:
  1. bisogna essere sicuri di connettersi a reti protette; nel caso non si possa fare meglio ripiegare sulla rete 4G se disponibile; 
  2. è bene tenere i dispositivi sempre aggiornati: il primo e il più semplice passo per essere sicuri;
  3. l’adozione di un software di protezione su tutti i dispositivi; spesso la protezione per smartphone e tablet è già compresa nella sottoscrizione per il pc (verificare prima di partire);
  4. se si perde lo smartphone, infine, utilizzare i servizi già previsti per la sua localizzazione, così almeno da poter cancellare i nostri dati personali in caso di furto o smarrimento. 
Ritrovare il dispositivo invece è sempre più una chimera, perché chi ruba uno smartphone spesso sa benissimo cosa fare. 
Nonostante tutto con un po' di attenzione alla sicurezza non ci rovineremo le tanto agognate vacanze.

Notizie della settimana

Archivio storico dei numeri di DIRIGENTI INDUSTRIA in pdf da scaricare, a partire da Gennaio 2013.

I più visti

Contratto Dirigenti Industria 2018

Il Contratto Nazionale di Lavoro dei dirigenti industria costituisce l’impegno fra le rappresentanze dei dirigenti e quelle datoriali sulla regolamentazione e gestione del rapporto di lavoro. Un documento Confindustria-Federmanager di 63 pagine riassunto di seguito per evidenziare gli aspetti essenziali, facilitare la consultazione e valutare aree di miglioramento da proporre alla Commissione Sindacale.
01 ottobre 2018

Contratti a confronto

Proseguendo nell’esercizio iniziato con il confronto tra il CCNL Nazionale Dirigenti Industria ed il contratto Fiat, proponiamo ora il confronto del testo di riferimento con il CCNL Nazionale Dirigenti Commercio.
01 gennaio 2017

Quota 100 per i manager

L’anno appena iniziato ha portato significative novità in tema di pensioni rispetto alla normativa in vigore alla fine del 2018. Alcune (la maggior parte a dire il vero) sono contenute nel decreto Legge che il Governo ha approvato il 17 gennaio sul reddito di cittadinanza e sulla cosiddetta “Quota 100”, altre. Invece, sono disciplinate dalla Legge di Bilancio per il 2019.
01 febbraio 2019

FASI Siamo Noi

Il Fondo, da sempre ispirato ai principi di mutualità e solidarietà intergenerazionale, modificherà le norme di iscrizione premiando la fedeltà degli iscritti e ricompensando il loro senso di appartenenza. Ultima chiamata: i dirigenti che ad oggi non risultano iscritti, pur avendone i requisiti, possono inoltrare l’iscrizione entro il 31.03.2019, acquisendo in questo modo il diritto al mantenimento dell’iscrizione una volta in pensione.
01 febbraio 2019

Novità FASI

Tutti insieme siamo chiamati a partecipare alla sostenibilità del Fondo Assistenza Sanitaria Integrativa assicurando l'equilibrio fra i contributi e i costi crescenti delle prestazioni sanitarie.
01 febbraio 2019

Contratto Dirigenti in scadenza nel 2018

Il contratto Confindustria-Federmanager in vigore dal 1° gennaio 2015 scadrà il 31 dicembre 2018. I lettori che hanno ricevuto e attivato l'accesso agli articoli riservati agli associati possono scaricare di seguito il contratto in vigore per aprire un consapevole confronto per il rinnovo del contratto.

A cura della redazione Dirigenti Industria 
01 novembre 2017