Scegliere una buona password

Scegliere una buona password

Ottobre è il mese europeo dedicato alla sicurezza informatica (CyberSecMonth). Nell’ottica di sensibilizzare sul tema, prendiamoci qualche minuto per parlare di password.

La coppia di informazioni utente + password sono come le nostre chiavi di casa. Se non vogliamo che qualcuno le usi fingendosi noi, allora è meglio assicurarsi che non siano facilmente individuabili.

Solitamente sul nome utente non c’è molta scelta (quasi sempre è rappresentato dall’indirizzo email), ma sulla password abbiamo invece più libertà. Vediamo subito qualche suggerimento.

  1. Più lunga che puoi. Se hai 15 caratteri a disposizione usali tutti. Sono gratis.
  2. Lettere, numeri e simboli. Dove puoi, utilizza lettere maiuscole e minuscole, numeri e simboli (.,#@?!^[]{}_- ecc…)
  3. Niente dati personali. Il nome del tuo cane, la tua data di nascita, il compleanno della persona amata sono dati facilmente reperibili: non usarli. “Mario1978” o “95fuffi” sono pessime password.
  4. Non usare il mascheramento. Sostituire lettere con numeri o caratteri speciali non rende la tua password molto più sicura, perché i programmi di crack valutano sempre come prioritari questi casi. Ad esempio “M@r10I978” non è molto più sicura di “Mario1978”.

Detto questo, come posso inventarmi una buona password?
Una lunga sequenza di numeri e lettere casuali è una buona scelta. Ad esempio:

_}cj:'s;R=q%BtsgA2"#D?'zd}Cy@KGs7=Lts$':Jl/(=PYJDmssq]'&mxA_iGp8r%|]4`C(3

tuttavia sfido chiunque a ricordarsela. A meno che non usiate un Password Manager, ovvero un programma dove vengono salvate, in maniera cifrata e protetta, tutte le vostre credenziali.

Una scelta migliore, invece è quella di utilizzare intere frasi che abbiano senso solo per noi, ad esempio:

QuestaPasswordE'Bellissima:123TuttaPerMe_NonLaScorderò!

E’ lunga, ho usato lettere maiuscole, minuscole numeri e caratteri speciali e non ho abusato del mascheramento.

Concludiamo con due consigli che valgono sempre quando si parla di credenziali:

Sistemi diversi, password diverse. Non usate la stessa password per tutti i vostri siti o sistemi: se uno di questi è vulnerabile e viene violato (ad es. Linkedin, Yahoo, Libero Mail, ecc.) potete stare certi che quella password verrà tentata anche su altri sistemi.

Cambiate password. Ogni tanto è buona abitudine modificare la vecchia password con una nuova. Siate creativi.

#CybersecMonth #CyberAware

 

Contattaci

Chi ha bisogno di CyberSecurity?

Chi ha bisogno di CyberSecurity?

“Cosa me ne faccio della cybersecurity?”
Me lo sono sentito dire spesso, dai vari amministratori aziendali. La cybersecurity non è mai tra i capitoli d’investimento delle PMI.
Uno dei motivi è dato dalla percezione della cybersecurity (o Information Security, per i tecnici), che è più o meno questa: “qualche smanettone che fa cose estremamente informatiche per proteggermi da un attacco che a me non capiterà mai / che succede solo nei film” seguita solitamente da “e comunque io non ho nessun dato importante da proteggere”.

Se la tua azienda opera ancora totalmente in cartaceo e non hai neanche un’email, allora probabilmente hai ragione. Ma a questo punto mi chiedo cosa tu ci faccia davanti ad blog a leggere articoli online.

In caso contrario, vorrei portare alcuni esempi concreti per spiegare quando c’è bisogno di fare un’attività di cybersecurity nella propria azienda:

  • Nel tuo settore c’è una forte concorrenza ed hai dei competitor aggressivi;
  • I progetti che realizzi sono il vero valore aggiunto della tua azienda;
  • Hai parecchi collaboratori esterni, non dipendenti dell’azienda;
  • Lavori molto attraverso internet, ad esempio inviando email con ordini, fatture, progetti o parti di essi;
  • Lavori conto terzi, che ti affidando i loro progetti o parti di essi;
  • Hai una rete di vendita con agenti commerciali;
  • Tratti dati personali, amministrativi e fiscali dei tuoi clienti;
  • In azienda hai computer che hanno più di 3 anni;
  • Sei certificato D.Lgs. 231/01;
  • La tua azienda ha più di una sede;
  • Hai degli smartphone aziendali;
  • Nella tua azienda esistono figure come il CPO e/o un CSO;
  • Tratti dati sensibili / sanitari;
  • Hai avuto un caso di “dipendente infedele” che è andata a lavorare per la concorrenza (o ha aperto la sua azienda concorrente);

Se rientri in anche solo uno di questi casi, allora hai bisogno di fare il punto sull’Information Security aziendale.
Se ti stai chiedendo perché, i motivi sono diversi e saremo ben lieti di spiegarveli personalmente. Possiamo però riassumerli con questo adagio noto nel settore:

Secondo le regole di cybersecruity, esistono due tipi di aziende:
1. Quelle che sono state compromesse
2. Quelle che non sanno di esserlo state

Contattaci

Attacco a tre fasi

Attacco a tre fasi

Quando pensiamo ad un’attacco informatico si forma nella nostra mente l’immagine dell’hacker in felpa e cappuccio che col suo PC portatile e sofisticati programmi fa breccia nei nostri sistemi.

Quest’immagine tuttavia è ormai “vintage”. La maggior parte degli attacchi informatici è automatizzata su larga scala: chi colpisce sono software che scansionano le reti e sistemi a tappeto in cerca di vulnerabilità non ancora riparate su tutti i livelli (siti web, switch, router, firewall, server, smartphone, ecc.). Quando trovano la falla la sfruttano per impossessarsi del dispositivo.

Inoltre, gli attacchi un minimo sofisticati (ma sempre su larga scala), sfruttano l’inganno utilizzando tecniche di ingegneria sociale. E’ incredibile il numero elevato di persone che ancora abboccano alle email di phishing: oltre il 30% apre i messaggi ed il 13% apre l’allegato malevolo o il link dannoso (fonte Verizon Data Breach Investigations Report 2016). Sembrano percentuali piccole, ma parliamo di un bacino di oltre 150 milioni di email di phishing inviate al giorno.

Quest’anno si sta diffondendo con estrema regolarità la modalità d’attacco a tre fasi. Come funziona?

Fase 1 – Invio di un’email di phishing. La mail ha un’allegato o un link che porta l’utente a cliccare, passando alla…

Fase 2 – Download del malware sull’PC dell’utente. I software di questo tipo sfruttano spesso vulnerabilità non ancora rilevate. Una volta che il software è installato questo permette la..

Fase 3 – Furto di credenziali per attacchi successivi. L’obbiettivo sono le credenziali salvate nei browser, su file di testo non criptati, nelle email. A quel punto, con le credenziali reali, posso accedere ai sistemi dell’utente.

Può sembrare quasi banale come tipologia, ma la vulnerabilità più grossa non sta nel sistema antispam né nell’antivirus, ma nel fattore umano che permette il successo della fase 1 (permettendo l’installazione del software) e della fase 3 (gestione delle credenziali di accesso).

Questa tecnica ha tempi di esecuzione molto bassi e la possibilità di essere altamente specifica, ad esempio puntando ad una singola azienda od organizzazione, e questo la rende estremamente efficace.

Come difendersi

Saremo ripetitivi, ma la prima e principale fonte di difesa è la formazione personale. Riducendo la percentuale di errore nel fattore umano, possiamo gestire il rischio.
Non è necessario essere tecnici, è sufficiente avere gli elementi per riconoscere la truffa. Basta mezza giornata di formazione per avere le basi necessarie a ridurre il rischio.

 

Contattaci

TeamViewer e le solite password

TeamViewer e le solite password

Non usate la stessa password per tutti gli account!

Quante volte i vostri tecnici hanno ripetuto queste parole? Le obiezioni sono spesso le più comuni, e tra tutte spicca il classico “cosa potrà mai succedere?”.
Oggi ne vediamo un esempio.

Cos’è successo

Il 1 giugno 2016 TeamViewer, il noto servizio di desktop remoto, ha subito un’attacco DoS alla sua infrastruttura DNS. In poche parole, qualcuno si è messo in mezzo tra loro e i vostri PC ed ha tentato la connessione per prendere il controllo delle singole macchine.
Tuttavia per controllare i singoli computer è necessario utilizzare le credenziali dell’utente. I recenti attacchi a LinkedIn, MySpace e Tumblr hanno reso disponibili alla comunità oltre 700 milioni di account utente in meno di due mesi.
Questo ha permesso agli attaccanti di tentare gli accessi con quelle password o similare, e in buona parte ha funzionato: ecco il mouse prendere vita autonomamente ed accedere ad home banking e PayPal per svuotare i conti delle vittime, accedere alla webmail ed effettuare ordini tramite Amazon ed Ebay.
TeamViewer sostiene che il problema non è legato ad una vulnerabilità dei loro sistemi, e nonostante il problema con i server DNS sia stato risolto, gli attacchi stanno continuando al ritmo di centinaia al giorno.

Come proteggersi

Le prime cose da fare sono:

1. Cambiare la password di TeamViewer. Usatene una dedicata, diversa da tutte le altre, e molto diversa dalla precedente.
2. Attivare l’autenticazione in due passaggi. Qui il tutorial su come fare.
3. Abilitare una lista di dispositivi sicuri per l’accesso: qui per maggiori informazioni.
4. Limitare le connessioni TeamViewer al necessario. Qui i dettagli.

Considerazioni

L’anello debole della catena di questo attacco è molto simile ad altri: stessi account, stesse password. Senza quegli accessi, gli attaccanti non sarebbero riusciti nel loro intento.
Creare e gestire password diverse e sempre nuove richiede uno sforzo, ma esistono anche software che possono aiutarci in questa gestione: i password manager.

Un altro elemento di debolezza è la pigrizia.
Spesso salviamo sessioni, utenti e password nei nostri browser, e questo permette a chiunque acceda ai nostri computer di poter utilizzare molti servizi in tutto e per tutto come se fossimo noi, visto che siamo già autenticati online. Effettuare logout / login è vista come una perdita di tempo non necessaria, ma che può fare la differenza.

L’ultima considerazione è che “da un grande potere derivano grandi responsabilità”, come insegna il compianto Zio Ben. TeamViewer è uno strumento estremamente potente, perché permette il controllo pressoché totale della macchina. Pertanto, dovrebbe essere uno strumento configurato ed utilizzato con estrema consapevolezza.

 

Fonti e risorse:
Post di Nick Bradley – Compromised Before My Very Eyes: How I Almost Got Hacked
Twitter
Reddit
Attivissimo
Tom’s Hardware

Gli hacker puntano al tuo conto in banca

Gli hacker puntano al tuo conto in banca

Il titolo può sembrare riduttivo, ma uno degli obbiettivi principali degli attacchi informatici sono le frodi finanziarie.
Kaspersky Lab, in collaborazione con B2B international, ha analizzato gli attacchi di frode finanziaria ai piccoli consumatori rilevando in questa ricerca dei dati allarmanti. Vediamoli molto in sintesi:

– il campione analizzato è di più di 12.355 utenti di cui 400 italiani;

– del campione analizzato, il 48% dei consumatori è vittima di email ingannevoli, e l’11% ci rimette del denaro;

– la metà delle vittime colpite non recupera i suoi soldi;

– Gli importi rubati sono in media di 283 dollari, ma possono arrivare fino a 1.000 dollari.

La ricerca è internazionale, ma se volessimo avere un quadro più complessivo della situazione italiana, ci viene in aiuto il recente convegno  “Cybercrime e Data Security” svoltosi ieri 11 maggio a Milano e organizzato dall’American Chamber of commerce in Italy e da Affinion International.
In Italia il danno causato dai crimini informatici è stimato attorno ai 9 miliardi di euro all’anno. L’aumento delle frodi bancarie in Italia è salito del 150% rispetto al 2015.

Le cause

Chiediamoci ora perché questo succede. Partendo da una breve analisi dei comportamenti possiamo trovare che:

Vengono utilizzate Wi-Fi pubbliche dal 13% degli utenti per accedere ai propri account, e dall’8% per fare acquisti online oppure transazioni bancarie. Questo è un po’ come dire che lascio le chiavi di casa in un bar, o anche la mia carta di credito dove tutti possono vederla.

L’88% degli utenti salva sui propri dispositivi informazioni personali, il 48% utente e password dei propri account ed il 28% dati finanziari (accessi all’home banking, numeri di conto corrente, ecc.). Praticamente stiamo lasciando i documenti, la carta d’identità e la chiave della cassaforte in auto, in strada, sotto casa.

Potrei proseguire, ma questi due primi dati ci dicono chiaramente quanto questi comportamenti mettano a rischio i nostri soldi.
Come difendersi? Tre consigli che non richiedono software da installare.

Per prima cosa sappiate che le banche e le poste non vi chiederanno mai di confermare i vostri dati tramite e-mail: non cliccate nei pulsanti o nei link presenti in quelle e-mail. Se avete un dubbio, chiamate in banca.

Non effettuate operazioni finanziarie dai dispositivi mobili (smartphone e tablet) quando siete connessi a reti Wi-Fi diverse dalla vostra linea di casa: non sapete quanto possa essere sicura la connessione.

Infine, non effettuate acquisti online in shop che non conoscete direttamente. Se è la prima volta che acquistate in quel sito, guardate le recensioni interne e fate una breve ricerca online per vedere se quello shop è stato citato in qualche articolo o forum per truffa.

Queste attenzioni vi faranno perdere qualche minuto in più, ma proteggeranno i vostri risparmi.

Information Security: nuovi trends

Information Security: nuovi trends

Il 2016 sta vedendo il crescere di nuove minacce sempre più sfruttate dalla criminalità organizzata digitale. Scopriamo alcune delle più interessanti e valutiamo alcuni interventi di base per non farsi trovare impreparati.

Internet of Things

Il problema de “internet delle cose” è garantire che quel comodo dispositivo funzioni solo per noi che l’abbiamo acquistato. Macchine del caffè, frigoriferi, auto, dispositivi indossabili e medicali, televisioni sono tutti connessi ad internet, raccolgono dati su di noi e sulle nostre abitudini e pertanto sono obbiettivi molto succulenti per la criminalità.

Carte di Credito

I nuovi sistemi di pagamento, come le carte di credito EMV oppure i vari Google Wallet o Apple Pay, stanno riducendo sensibilmente i rischi di truffa nel punto vendita, tuttavia stanno spingendo i cyber criminali a rubare e clonare sempre di più grossi volumi di carte di credito da e-commerce e servizi online che li raccolgono.

Estorsione

L’estorsione digitale è un modo di utilizzare i dati come arma. Un esempio frequente è questo: cyber criminali si impossessano di dati sanitari delle vittime e poi costringerle a pagare pena la pubblica diffusione di quelle informazioni, in particolare per patologie sensibili (HIV) che possono causare gravi danni alla vita sociale delle vittime. Questi tipi di attacchi sono stati robotizzati per permettere un gran numero di estorsioni ma estremamente personalizzate.

Criminal-As-A-Service

Perché compiere un reato se qualcuno di più motivato può farlo al mio posto (prendendosi i rischi)? E’ più conveniente fornire sofisticati strumenti a baby cyber criminali piuttosto che esporsi in prima persona. Perciò è possibile affittare tanto strumenti quanto mercenari, per compiere furti di profili pubblici o far compiere intere operazioni criminali.

Cloud

Gli attacchi alle piattaforme cloud aziendali si sono fatti più insistenti, in particolare quelli di ingegneria sociale: l’obbiettivo primario dei cyber criminali è ottenere con l’inganno le credenziali di accesso reali dagli stessi utenti per operare in completa trasparenza.

Piccoli bersagli

La convinzione comune che solo le grandi aziende siano vittime di attacco è ampiamente smentita dai fatti. Colpire le piccole organizzazioni è più facile, e permette di ottenere informazioni altrettanto preziose, che, combinate tra loro, valgono più di una singola grande fonte.

 

Che fare?

Le attività possibili sono diverse, e vanno profondamente calate nella realtà aziendale. E’ fondamentale utilizzare un approccio olistico, ovvero che sia multidisciplinare, che analizzi il comportamento dei sistemi (persone e macchine) e che tenga conto del feedback che i sistemi complessi danno. Ne propongo tre che a mio avviso sono buoni punti di partenza:

  1. Adottare modelli di governance che prevedano un’analisi dei rischi informatici e soprattutto una gestione degli stessi, sia in ottica di continuità dei servizi che in ottica di gestione finanziaria del danno economico che il rischio informatico può causare.
  2. Gli attacchi sociali (ormai quasi la metà) non possono essere fermati da un dispositivo o da un software, per quanto evoluto. Serve formazione di base a tutto il personale aziendale.
  3. Progettare i processi produttivi fin dall’inizio con un’ottica alla sicurezza (security by design) e alla privacy (privacy by design). Presto questo tipo di approccio sarà legalizzato con l’adozione di misure dedicate sempre più stringenti (v. il GDPR).

Qualunque cosa si faccia, però, parte sempre dalla coscienza che i dati aziendali hanno un valore oggettivo e sono costantemente minacciati.
Prima si prenderà coscienza di questo, prima si riuscirà a tutelare il nostro business.

 

Quest’articolo e le sue riflessioni sono state ispirate da quest’articolo sul Corriere e quest’altro su CSO.