La cultura è tutta importante. Quella in ambito di sicurezza informatica, oggi, lo è moltissimo. Vediamo perché

350%. Questa è la percentuale di crescita annuale dei malware, secondo il Cybercrime report 2016. Questo, in numeri, significa che circa ogni 40 secondi una azienda è vittima dei virus informatici.

Sempre più spesso questi sono ransomware, una particolare categoria di malware che cryptando le informazioni dei sistemi informatici li blocca, per poi chiedere ai malcapitati un riscatto per rientrarne in possesso. Ma questo era all’inizio, ora, con l’avvento del GDPR e delle importanti sanzioni che ne seguono, le nuove versioni di ransonware innalzano il livello d’allarme nelle aziende in quanto la richiesta di riscatto non è più solo finalizzata a riottenere i propri dati cryptati quanto a non diffondere nel dark web le informazioni cryptate e sottratte dai sistemi. Ecco che molte aziende non preparate hanno ceduto ai ricatti versando ingenti somme agli hacker.

Esserne colpiti, in assenza di adeguate misure preventive, può essere un grande colpo all’operatività ed all’immagine aziendale, il ripristino dei dati e dei sistemi può essere lungo e laborioso, quando possibile.

Quindi, se da un lato l’industria 4.0 e la digitalizzazione dei processi industriali hanno contribuito al miglioramento e allo snellimento dei processi gestionali, dall’altro si sono moltiplicate le possibilità di subire attacchi informatici.

I Chief Security Officier devono quindi prestare sempre più attenzione alle infrastrutture e alle reti aziendali, tuttavia non sono solo loro a dover essere accorti.

L’80% di questi virus arriva per posta e, spesso, bypassando i sistemi di sicurezza come firewall e antivirus, giungono direttamente alle caselle mail degli impiegati che aprono gli allegati tranquillamente, fuorviati da semplici trucchi di ingegneria sociale, come la richiesta di apertura di fatture o fotografie.

In un contesto di questo tipo diviene quindi fondamentale supervisionare integralmente i Sistemi di Controllo. Tra le varie minacce, esterne e interne, che mettono a rischio i processi aziendali ci sono ad esempio:

• Virus 

• Minacce software

• Errori del personale aziendale (un elemento troppo spesso sottovalutato)

• Deterioramento dell’ambiente di sicurezza esterno

Un sistema informatico avanzato e completo delle ultime novità in campo di sicurezza informatica quindi, diventa del tutto inutile se il personale non è adeguatamente formato a riconoscere le minacce e a guardare ciò che si presenta nel sistema informativo con occhio critico.

Un altro fattore importante e spesso sottovalutato dalle PMI è l’analisi dei rischi, che van effettuata non una volta l’anno, ma almeno con cadenza mensile se non settimanale. In definitiva è buona prassi avere un personale, soprattutto quello amministrativo, ben preparato e attento oltre a prevedere un budget dedicato alla sicurezza informatica ed in particolare alla formazione ed all’aggiornamento. 

Se hai dubbi sulla tua infrastruttura o vuoi consigli sulla cyber security, contattaci, il nostro personale è a disposizione per indirizzare PMI ed Enti Pubblici verso la compliance dei sistemi informatici al GDPR, con un particolare orientamento formativo verso le good practice.

La sicurezza fa un altro passo in avanti: la Wi-Fi Alliance, ha annunciato il rilascio ufficiale della WPA3

Wi-Fi Alliance® ha introdotto pochi giorni fa Wi-Fi CERTIFIED WPA3™, la nuova generazione di sicurezza Wi-Fi, che offre nuove funzionalità per potenziare le protezioni Wi-Fi nelle reti personali e aziendali.

La nuova protezione, arrivata dopo un decennio di WPA2, aggiunge nuove funzionalità, volte a semplificare la sicurezza Wi-Fi, abilitare un sistema di autenticazione più robusto e fornire una forza crittografica maggiore per far fronte al mercato crescente dei dati sensibili.

Partiamo dal principio: cos’è il WPA.

Il WPA (Wi-Fi Protected Access) è un protocollo di sicurezza e programmi di certificazione di sicurezza, sviluppati dalla Wi-Fi Alliance, un'organizzazione nata nel 1999 e formata da alcune industrie leader nel settore con lo scopo di guidare l'adozione di un unico standard per la banda larga senza fili nel mondo, col fine di proteggere le reti di computer wireless.

Nel 2004, il WPA è stato sostituito con il WPA2 che include il supporto obbligatorio per CCMP, una modalità di crittografia basata su AES, che rende le reti più sicure. Ad oggi la certificazione WPA2 è obbligatoria per tutti i nuovi dispositivi a marchio Wi-Fi.

Con l’annuncio della release ufficiale di WPA3, la Wi-Fi Alliance apre la strada verso una sicurezza più completa, grazie soprattutto a una serie di accorgimenti che mettono una pezza alle vulnerabilità più evidenti del vecchio standard.

La sicurezza WPA3 continua a supportare il mercato attraverso due distinte modalità operative: WPA3-Personal e WPA3-Enterprise. Tutte le reti WPA3 utilizzano i più recenti metodi di sicurezza, non consentono protocolli legacy obsoleti e richiedono l'uso di Protected Management Frames (PMF) per mantenere la resilienza delle reti mission critical. Le funzionalità chiave di WPA3 includono:

- WPA3-Personal: più resiliente rispetto alla versione 2, l’autenticazione è basata su password anche quando gli utenti scelgono password che non rispettano i consigli sulla complessità. WPA3 sfrutta l'autenticazione simultanea di Equals (SAE), un protocollo di sicurezza delle chiavi tra i dispositivi, per fornire protezioni più forti per gli utenti contro tentativi di indovinare la password da parte di terzi.

- WPA3-Enterprise: offre l'equivalente della forza crittografica a 192 bit, fornendo ulteriori protezioni per le reti che trasmettono dati sensibili, come il governo o la finanza, introducendo una serie di algoritmi e procedure di autenticazione che superano i limiti del vecchio IEEE 802.1X.

Viene inoltre confermata l’introduzione di Wi-Fi easy Connect, una tecnologia che migliora il dialogo con dispositivi IOT (Internet Of Things), privi di display.Anche il problema legato all’attacco KRAK dovrebbe finalmente essere risolto grazie ai nuovi standard di protezione.

Compie 25 anni il .pdf, il formato che ha rivoluzionato il mondo dei documenti, lanciato da Adobe Systems il 15 giugno 1993.

Il Portable Document Format, più conosciuto con l’acronimo PDF, compie 25 anni. Il formato è stato lanciato da Adobe System il 15 giugno del 1993 e aveva il fine di permettere agli utenti di presentare e scambiarsi dei documenti in modo affidabile, senza che il contenuto potesse essere modificato, indipendentemente dal sistema operativo usato.

Il primo software per leggere i documenti costava ben 50 dollari, mentre il costo di quello per creare questi file era di 695 dollari. Per le aziende aumentava ulteriormente, arrivando a 2.495 dollari.Questo sembra quasi incredibile se pensiamo al fatto che oggi, venticinque anni dopo, con Adobe Reader DV, possiamo leggere tranquillamente questo formato, senza contare che possiamo crearlo con molti altri software, compreso Microsoft Word.

La specifica per renderlo pubblico arrivata dieci anni fa, nel 2008, quando il Pdf ha ottenuto la certificazione come standard internazionale, restando comunque un formato proprietario.

A 25 anni dalla nascita, il pdf va ancora fortissimo: Adobe ha chiuso il secondo trimestre dell’anno con ricavi che girano intorno ai 2,20 miliardi di dollari, risultati che vanno oltre ogni attesa.

Il formato .IQY è un formato di file decisamente inusuale e poco conosciuto: ecco perché alcuni hacker hanno deciso di utilizzarlo per diffondere dei trojan via mail, riuscendo ad aggirare anche gli antivirus più evoluti.

Questa volta la novità non è nella minaccia in sé, quanto nel modo in cui viene inviata. È infatti in atto una nuova diffusione dei classici virus trojan ma, questa volta, arrivano con allegati in formato .IQY.

Cos’è il formato .iQY

Si tratta di un Excel Web Query, un file contenente poche righe di testo, normalmente usato per importare informazioni esterne all'interno di una pagina Excel. In questo modo si ha la possibilità di aggiornare, ad esempio, dei report di Excel automaticamente dal database originale. In sintesi: agiscono come dei downloader.

Questo formato (che difficilmente si trova allegato a un messaggio di posta elettronica) non viene scansionato a dovere da molti antivirus ed ecco perché è risultato essere particolarmente vincente nella diffusione di questo trojan, chiamato FlawedAmmyy, che, se installato sulla macchina del malcapitato, permetterebbe all’hacker di prendere il controllo remoto del computer contagiato.

Lo stratagemma è sempre lo stesso: arriva una mail con il classico oggetto “Fattura non pagata” così che chi la riceve sia incuriosito e apra l’allegato. Quando si fa doppio click sul file Excel annesso al messaggio, appare un pop-up che mostra il seguente avviso di sicurezza:  

Il messaggio dovrebbe mettere il ricevente in allarme ma, nonostante ciò, risulta che spesso questo tipo di avvisi vengano completamente ignorati e, per accelerare l’apertura del file, si tenda a cliccare distrattamente su “Enable” (Permetti), dando così avvio al processo di installazione del virus sulla macchina.

Il gruppo di pirati informatici responsabili di questa diffusione pare sia lo stesso che gestisce il botnet (cioè reti di computer infetti da malware, controllati in modalità remota) Necrus.

Raccomandiamo quindi di fare molta attenzione ogni qualvolta si riceva una mail con allegati sospetti: controllare sempre l’estensione del file e, nel caso vengano proposti messaggi come quello sopra, consigliamo di contattare subito il tecnico di riferimento.

L'11 aprile 2018 si terrà il convegno "Privacy: il nuovo Regolamento Europeo n. 2016/679 GDPR (General Data Protection Regulation)" dell'Ordine dei Dottori Commercialisti e degli Esperti Contabili di Padova, con il coordinamento scientifico della COMMISSIONE DI STUDIO Antiriciclaggio e Privacy dell'ODCEC di Padova e dell'UGDCEC DI PADOVA.

Come Tecsis siamo attivi ormai da tempo nei servizi di sicurezza informatici per la compliance al GDPR e per questo supportiamo ufficialmente questa formazione.

Qui è possibile scaricare il programma ufficiale del corso.

Dove potrebbe portarci lo scandalo “Cambridge Analytica”, che ha colpito Facebook per l’uso spregiudicato dei dati degli utenti, partendo dalle restrizioni del GDPR?

“Abbiamo la responsabilità di proteggere i vostri dati, e se non ci riusciamo, non meritiamo di servirvi. Ho lavorato per capire esattamente cos’è successo e come fare in modo che non succeda di nuovo. Ma abbiamo anche commesso degli errori, c’è altro da fare e dobbiamo farlo”. Così Mark Zuckerberg ha commentato lo scandalo “Cambridge Analytica” che il mese scorso ha colpito Facebook. 

Per chi si fosse perso la vicenda del caso Cambridge Analytica lo trova qui spiegata bene, per gli altri facciamo un piccolo riassunto per capire a che punto siamo.

Cambridge Analytica è una società molto vicina alla destra statunitense, fondata nel 2013 da Robert Mercer, un miliardario conservatore e legata a Steve Bannon (consigliere di Trump durante la sua campagna elettorale). Questa società si occupa di raccogliere dati e creare, grazie a un preciso algoritmo, una profilazione “psicometrica” degli utenti, sviluppando un sistema di “microtargeting comportamentale” di ogni persona, così da indirizzare loro una pubblicità altamente personalizzata.

Da dove arrivano questi dati raccolti? 

Ecco che entra in gioco Facebook. Facendo un piccolo passo indietro arriviamo al 2014, anno in cui Aleksandr Kogan sviluppò un’app, creando uno di quei test (che tutti abbiamo fatto) che profilavano la nostra personalità riconducendo ciascuno ad un “identità tipo” o, più banalmente, ad un personaggio dei Simpson. Per utilizzare quest’applicazione era necessario accedere tramite Facebook. In questo modo l’app riusciva a ricevere un’ingente quantità di dati, rispetto al semplice username e password poiché, oltre a condividere tutte le informazioni che riguardano l’utente iscritto, Facebook permetteva anche di accedere ai dati degli amici dell’utente. Circa 270 mila persone fecero il test ma, secondo il Guardian e il New York Times, i dati raccolti furono quelli di circa 50 milioni di utenti, proprio grazie alla funzionalità che permetteva di raccogliere anche i dati degli amici degli utenti che si registravano.

Tutto questo però, come dicevamo, era all’epoca perfettamente legale e consentito da Facebook.

Il problema è nato nel momento in cui Aleksandr Kogan ha condiviso (o venduto) tutte queste informazioni con Cambridge Analytica, violando i termini d’uso di Facebook. A detta dei legali di Cambridge Analytica, quando la società si autodenunciò a Facebook, dichiarando di essere in possesso di dati ottenuti illegalmente, FB non prese idonee misure, sospendendo ad esempio gli account. Almeno non fino al 16 marzo di quest’anno, ben due anni dopo i fatti.

Cosa ne è stato fatto di questi dati?

Questo il tasto più dolente della storia: pare che tutte queste informazioni siano state utilizzate per pilotare, attraverso pubblicità mirate, bot e fake news, le elezioni politiche USA del 2016 (che portarono alla vittoria di Donald Trump). Nell’estate del 2016, il comitato di Trump affidò infatti proprio a Cambridge Analytica la gestione della raccolta dati per la campagna elettorale.

Stando a un’inchiesta del Guardian, pare che Cambridge Analytica abbia avuto un ruolo analogo anche nel referendum del 2017 sulla Brexit.

Quali sono le colpe di Facebook.

Anche se apparentemente FB non ha agito in mala fede, c’è stata una deliberata negligenza nel gestire i flussi di dati trattati tramite il suo social network. Sembra proprio che sia mancata quella responsabilizzazione, o accountability, introdotta dal GDPR. 

Facebook infatti non ha una reale responsabilità editoriale, che ricade tutta su chi pubblica e questo, unito al modo in cui vengono utilizzati gli algoritmi per far circolare le notizie, potrebbe portare a un’informazione molto pilotata che non lascia traccia di eventuali finanziamenti delle singole notizie.

Tra i dati personali trattati da Facebook sono ricompresi poi anche i dati sensibili (art. 9 GDPR), ossia dati idonei a rivelare informazioni sull’appartenenza etnica, la razza, l’orientamento sessuale, la religione e l’orientamento politico. Questi dati per altro non è necessario siano dichiarati dall’utente ma possono essere “carpiti” dal social, attraverso un’analisi dei comportamenti digitali degli utenti. Informazioni molto dettagliate possono infatti trasformare una semplice profilazione in microtargetizzazione, cioè in una definizione molto specifica del soggetto che permette di inviargli pubblicità mirate, non solo in base ai suoi comportamenti ma anche alla sua persona. 

Questo procedimento non ha un mero scopo pubblicitario ma è volto anche a perfezionare l’algoritmo del social per generare un newsfeed personalizzato per ogni utente che, combinato con tecniche di UX design ereditate dal mondo delle scommesse, può generare una sorta di dipendenza verso la piattaforma, volto ovviamente ad aumentarne il profitto.Il consenso dell’utente per ottenere determinati dati però non può essere richiesto in cambio della possibilità di utilizzare un servizio: questo vuol dire che se concedo a un’applicazione le mie informazioni per utilizzarla, queste informazioni potranno essere usate solo ed esclusivamente per i fini di quella specifica applicazione. 

Siamo al punto, oggi, in cui oltre il 66% della spesa pubblicitaria online viene realizzata proprio grazie alla profilazione dei consumatori, rimane quindi da chiedersi: dopo il 25 maggio gli utenti saranno davvero più consapevoli nel fornire i loro dati? E le aziende li aiuteranno in questo processo per far sì che i cosiddetti Big data si trasformino in SMART data?