fbpx

Blog

cyberspionaggioDall'episodio Eyepyramid sento sempre più spesso un gran parlare a favore di ENAV; per molti è divenuto il modello da seguire e imitare per la gestione della cybersecurity. Personalmente sono un po' perplesso da queste prese di posizione, non fosse altro per il fatto che se le misure di sicurezza fossero state adeguate, per ciò che ENAV rappresenta, ovvero una infrastruttura critica, quel file che portava con se Eyepyramid, non sarebbe mai dovuto arrivare al client del funzionario dell' ENAV, doveva essere bloccato o perlomeno messo in quarantena.
Si dice si trattasse di un vecchio modello di virus riadattato dai fratelli Occhionero, soltanto l'attenzione e la professionalità del funzionario ha fatto si che il trojan non si attivasse in maniera silente, ed è grazie allo stesso funzionario che si sono avviate le giuste indagini sul malware, indagini informatiche che hanno poi portato alla scoperta poi dei due fratelli. Ma siamo seri, in quante aziende se arriva una mail sospetta o un allegato sospetto lo si affida per un'indagine ad un'azienda esterna? tutti giorni ad ognuno di noi ne arrivano a decine, e i sysadmin ne vedono a centinaia; nel migliore dei casi l'utente lo cancella e il sysadmin idem... al più fa il conto di quanti ne sono stati bloccati, .. a meno che un sistema esperto lo segnali come potenzialmente dannoso... ma anche in questo caso difficilmente viene esaminato in profondità

In ogni caso questa vota, quello che normalmente è l'anello debole della catena è risultato l'anello forte. Non ne sono certo, ma ho ragione di ritenere che se ENAV avesse avuto una soluzione di sicurezza sul sistema di posta adeguata al suo ruolo, ovvero non basata solo su parttern virus, ma basato su analisi in sandbox o di tipo machine learning, molto probabilmente quel virus sarebbe stato bloccato prima.
Quindi Onore al responsabile della sicurezza, ha fatto quello che la tecnologia non ha saputo fare, ma certamente prima di invocare il "security by design" e il modello ENAV come capisaldi della cybersecurity di domani, pensiamoci bene. Sopratutto quando il security by design significa adottare strumenti "sicuri" ma con logiche di funzionamento talmente vecchie da risultare ben poco efficaci se non addirittura inutili, ma che forniscono al management un falso senso di sicurezza. Ma teniamo presente che, anche se nel caso ENAV un uomo ha fatto la differenza, ciò non significa che tutti gli altri avrebbero saputo fare lo stesso; quindi il mantra per la cyber security deve essere :Tecnologia+Sensibilizzazione+consapevolezza

Cert Nazionale data breachSe parliamo di CERT oggi in Italia abbiamo l'imbarazzo della scelta quando solo fino a qualche anno fa eravamo la cenerentola d'europa. Per molti il termine CERT era uno dei tanti presenti su Wikipedia, un'entità astratta, eravamo in pochi a parlare di CERT con cognizione di causa, personalmente me ne interessai la prima volta nel 2004 andando ad incontrare il responsabile del CERT del GARR a Firenze. Era una struttura giovane, fatta di poche persone capaci e volenterose, all'epoca era l'unico CERT che ero riuscito a scovare in Italia. Oggi invece assistiamo, dopo la svolta cibernetica di ufo robot Monti, ad un proliferare di CERT che stupisce. Infatti oggi abbiamo:
1 - CERT nazionale (www.certnazionale.it)
2 - CERT della Difesa (http://www.difesa.it/SMD_/Staff/Reparti/II/CERT/Pagine/default.aspx)
3 - CERT PA (http://www.agid.gov.it/agenda-digitale/infrastrutture-architetture/cert-pa)
4 - CERT delle Poste (https://www.picert.it/),
e ultimo nato, qualche settimana fa, in casa ABI CERTFin,  il CERT del mondo Finance.

Veramente oggi potremmo fare invidia al resto del mondo per la popolosità dei nostri CERT. C''è da chiedersi se ha un senso avere così tante strutture che fanno lo stesso lavoro senza alcun coordinamento. Temo che siamo nel solito modello "Italiano" in cui creiamo enti e strutture per impiegare persone e creare strutture di potere, non certo per concentrare gli sforzi, ridurre i costi e  creare servizi innovativi e valore. Questo paese e il suo sistema produttivo preferiscono, nonostante la crisi,  disperdere capitali, energie e know how con risultati che,  per tempestività e merito sono francamente discutibili.Ma del resto questo è anche il paese dei tanti campanili, figuriamoci se il mondo finance vuole affidarsi, e quindi far conoscere le proprie rogne al CERT nazionale, idem per poste e per la PA. Ognuno vuole tenere ben nascosti problemi che ha in casa.... ma tanto li conosciamo tutti, almeno gli addetti ai lavori.

IO ho una idea diversa di CERT, la vedo come come una delle Infrastrutture CRITICHE, alla stregua della fornitura di acqua e gas, di linee telefoniche, etc.. e come tale deve essere un unico servizio per tutto il sistema paese, gestito dallo stato,  con efficienza competenza e tempestività, un centro di eccellenza, e perché no, anche di profitto, fornendo servizi sia alla PA, al mondo Finanziario  il mondo Industriale, nonché tutte le realtà produttive di una certa dimensione e peso nell'economia del paese; perché è chiaro e palese che nessuna realtà di un certo calibro può fare a meno di una struttura del genere, che ha una visione ampia e completa delle problematiche in corso. Pensate ad un attacco che prende di mira il mondo Finanziario: attacchi a nastro nei confronti delle banche e di Poste, perché comunque rappresentano una realtà finanziaria significativa;  oggi CERT FIN e CERT Poste ognuno per conto proprio cercherebbero di analizzare e fronteggiare un attacco del genere, senza scambiarsi informazioni su vettori e modalità di attacco che potrebbero essere di aiuto nell'azione di contenimento. 

Avere un unico CERT nazionale vorrebbe dire avere una visione completa degli attacchi ricevuti dal paese, dei settori a cui sono indirizzati, delle modalità e dei vettori utilizzati, una visione completa che in condizioni di emergenza fa la differenza. Dopodiché ogni realtà gestisca l'emergenza con il proprio SOC o con Incident Response Team interno o esterno o  la forensics unit, ma la condivisione e il coordinamento con un unico CERT Nazionale potrebbe veramente fare la differenza per il nostro sistema finanziario e industriale. 

YaluJBLuca Todesco, l'Italiano che ha sivluppato l'unico Jailbreak per IOS 10  ha fornito agli utenti iOS con un regalo di Natale pubblicando e rendendo pubblico il  jailbreak da lui sviluppato. Il suo nome è Yalu Jailbreak ed è una rarità dal momento che Luca Tedesco raramente ha condiviso exploit jailbreak preferendo tenerli per il proprio uso personale.

La guida al Jailbreak in questi due link:

http://yalujailbreak.com/

http://www.ios9cydia.com/yalu-jailbreak.html

http://www.cypple.com/luca-todesco-yalu-jailbreak.html

Studio Fiorenzi P.IVA 06170660481 - Perizie Informatiche Forensi e Consulenze Tecniche a valore Legale e Giudiziario in Tribunale