Android sotto attacco ormai è il bersaglio principale

Gli acquisti di telefonino con il installato il sistema android vede un trend di crescita robusto e consolidato, si sono superati i 100 milioni di ordini di acquisto ed in america sembra che tale piattaforma abbia ormai raggiunto da sola la metà del mercato negli Stati Uniti.

Con questi dati, ma già senza di loro era evidente, il mercato della sicurezza si sta velocemente spostando sullo sviluppo di sicurezza per questa piattaforma. 

La sicurezza su questi apparecchi potrebbe proteggere in alcuni casi molto bene, ma qui ci scontriamo con la mentalità tutta italiana che non vede negli smartphone un computer. Grazie a questa carenza intellettuale gli hacker entrano nei nostri telefonini prelevando mail dati personali riferiti a numeri di telefono codici di sicurezza e quant'altro.

E pensare che anche open source ci sono ottimi antivirus che si potrebbero installare a protezione dell'apparecchio.

Oltre ai dati che si potrebbero perdere in riferimento ad un attacco, oggi esistono attacchi malware che tendono a prelevare soldi dai vostri piani tariffari. Queste truffe sono molto semplici e prevedono l'installazione di app fasulle che inviano messaggi a servizi SMS a tariffa maggiorata e dei quali nessuno si accorge fino a quando non arriva il "salato conto". Le app instalalte che hanno sviluppato questo virus sono molteplici e fra loro, vi sono versioni contraffatte di Angry Birds Space, Instagram, e prodotti antivirus fasulli per Android.

Un consiglio su tutti non installate mai le app se non conoscete la sorgente dalla quale scaricate, soprattutto se vi viene richiesto di scaricare Skipe.

I dati e le loro anomalie nascoste

La motivazione per questo articolo nasce dalla crescente problematica di gestione sulle anomalie dei dati, che fino ad oggi venivano gestite ed imputate a livello software, ma non sono mai state gestite come elementi critici alla sicurezza dello stesso e ad i suoi legami con le procedure aziendali.

La semplice lettura della definizione di 0-DAY presa da wikipedia, specifica il perché di questa teoria.

Wikipedia.it definisce 0-DAY nel seguente modo:

“Lo 0-day è un tipo di attacco informatico che inizia nel "giorno zero", cioè nel momento in cui è scoperta una falla di sicurezza in un sistema. Questo tipo di attacco può mietere molte vittime, proprio perché è lanciato quando ancora non è stata distribuita alcuna patch e quindi i sistemi non sono ancora protetti.

Molti 0-day sono scoperti da cracker, e non vengono rivelati pubblicamente; perciò il cracker può facilmente "bucare" il sistema, perché nessuno oltre a lui è a conoscenza del bug. Ci sono cracker indipendenti o riuniti in organizzazioni più o meno piccole (blog privati, mailing list...) che si scambiano informazioni e 0-day; questi gruppi sono molto pericolosi.

Gli 0-day sono tra i peggiori pericoli del web, in quanto sono noti solo a una ristretta cerchia di cracker, e possono causare moltissimi danni prima di essere scoperti”.

Negli ultimi vent’anni si è assistito da un lato ad una massiccia diffusione delle reti informatiche, dall’altro ad una crescita vertiginosa delle utenze di tali reti:

La rete ha quindi inevitabilmente generato una nuova tipologia di “crimini informatici”; nella maggior parte dei casi si tratta di tentativi, da parte di malintenzionati, di accesso non autorizzato a sistemi informatici, magari contenenti dati sensibili.

L’accesso criminoso da parte di un qualcuno ad un sistema può essere fonte di danni di qualsiasi tipo, non ci dilungheremo oltre su tale tematica perché l’approccio che seguiamo non mira a conoscere la pericolosità di tali atti ma a prevenirli gestendoli in totale sicurezza.

Per meglio esplicitare la filosofia di tale studio di seguito viene riportato un assunto letterario prima e come lo si vuole gestire nel futuro.

Ad oggi:

“l’anomaly detection attraverso l’intrusion detection, si occupa di sviluppare metodi tramite i quali un sistema possa rilevare la presenza di utenze non autorizzate al suo interno e notificare la sopraggiunta situazione di pericolo ad un amministratore, prima che il corretto funzionamento dello stesso sia del tutto compromesso”

Nel futuro:

“l’anomaly detection, si occuperà di sviluppare metodi tramite i quali un sistema può rilevare, in tempo utile la presenza di utenze autorizzate e non al suo interno notificando la sopraggiunta situazione di pericolo ad un amministratore, prima che il corretto funzionamento dello stesso sia del tutto compromesso”

Ad oggi la sicurezza informatica, soprattutto se rivolta alla verifica e gestione dei software che gestiscono le basi dati e comunque l’operatività diretta degli utenti, non richiede più solo abilità tecniche ma anche ed in particolar modo approcci e metodi efficaci e innovativi, soprattutto per quanto riguarda anomaly detection e correlazione di allarmi.

L’anomaly detection, nel suo termine filosofico, è l’unica tecnica di Intrusion Detection (ID) in grado di rilevare uno 0-day attack (come precedentemente individuati); gli IDS classici (di tipo misuse) non sono più sufficienti, essendo in grado di rilevare attacchi soltanto se conosciuti, va da se che essendo conosciuti vengono intercettati in un momento successivo all’eventuale danno apportato e quindi come nel vecchio proverbio è come “chiudere la stalla quando i buoi sono scappati”.

Secondo un rapporto pubblicato all’inzio di novembre 2006 da SANS Institute, le vulnerabilità 0-day sono sempre più sfruttate. Per definizione, un exploit di tipo 0-day ha sempre successo: è utilizzato per sferrare un attacco prima che la vulnerabilità sfruttata venga scoperta e corretta. Solo nel 2006, Microsoft ed Apple contano oltre 20 vulnerabilità 0-day riportate.

Anche a fronte di quanto appena citato e alla luce delle nuove necessità della ricerca nel campo, della correlazione di allarmi, sarebbe opportuno sviluppare un lavoro di metodo e di pratica che sia in grado di valutare l’efficacia e l’applicabilità degli approcci finora noti anche all’anomaly detection.

Si deve sempre tener presente che nell’informatica non esiste sicurezza nell’accezione totale del termine, infatti ad oggi tutti i software presenti sul mercato affrontano la problematica al più subito dopo che il sistema è stato bucato quanto meno nella sua regola di integrità.

Sono ormai molti anni che si studiano metodologie e tecniche per riuscire a gestire in maniera proattiva i comportamenti inattesi di sistemi informatici, complessi o meno.

Le applicazioni ad oggi sul mercato sono rivolte verso i “sistemi critici”, quei sistemi in cui un errore durante il funzionamento potrebbe portare a conseguenze gravi, in alcuni casi da un punto di vista economico.

Sono stati definiti una serie di parametri (nelle varie aziende attente a tale problematica si parla di policy della sicurezza), per poter misurare “quanto bene” funzioni un determinato sistema, ma nessuno di questi riesce a prevenire le criticità.

Nella letteratura corrente l’insieme delle policy di sicurezza sono identificate nella dependability.

Le tecniche per la correlazione di allarmi devono essere approfondite: sembrano infatti essere l’unico approccio valido per lo sviluppo di IDS ibridi, in cui i contro delle tecniche classiche vengono compensati dai pro degli algoritmi di anomaly detection, e viceversa.

Come già precedentemente detto, i moderni sistemi informatici sono molto sofisticati e complessi; altrettanto complesso è l’ambiente distribuito in cui questi sistemi sono immersi su scala, oggi, globale.

Questa situazione è caratterizzata da un rischio particolarmente elevato per le istituzioni il cui business è basato sull’erogazione di servizi internet.

Oggi il problema ha raggiunto proporzioni tali da non riguardare più solo i sistemi informatizzati ma la totalità degli “ingranaggi aziendali” in cui il concetto di computer security è solo un aspetto che purtroppo non copre tutte le possibilità di attacco ma soprattutto non riesce a gestire la possibilità di errore umano che nella stragrande maggioranza dei casi si tramuta per i sistemi da errore umano a attacco inconscio.

Volendo esprimere il concetto di sicurezza in maniera un pò più articolata, potremmo dire che si tratta di una branca dell’informatica che si occupa della salvaguardia dei sistemi di calcolo da potenziali rischi e violazioni dei dati, studiando proprietà, che devono valere al fine di poter parlare di sistemi sicuri, e meccanismi, atti a minimizzare le minacce che potrebbero invalidare tali proprietà.

Dalla definizione che ne viene data emerge chiaramente come dependability e security siano non solo concetti fra loro estremamente legati, ma anche che il secondo sia in qualche modo assimilabile al primo: è sufficiente suddividere i guasti in accidental faults e malicious faults

In questo modo, fare error detection assume un significato più generale, senza la necessità di considerare se il guasto che ha generato l’errore sia, ad esempio, di tipo hardware, software o peggio ancora il risultato finale di un attacco andato a buon fine.

Il software in esecuzione potrebbe contenere un errore di programmazione e quindi eseguire alcuni dei suoi compiti in modo erroneo, oppure un componente hardware potrebbe rompersi e non comportarsi più secondo le sue specifiche; in ogni caso il risultato potrebbe essere un comportamento inatteso o, peggio ancora, il fallimento dell’intero sistema.

Il massimo comune denominatore che raggruppa gli studi fatti in questi anni è la messa a punto di sistemi, così detti, fault-tolerant, ossia sistemi in grado di continuare a lavorare in maniera corretta anche in caso di guasti, oppure, qualora i guasti fossero troppo gravi, capaci di interrompere del tutto il proprio servizio, in attesa di una riparazione, lasciando però il sistema in uno stato safe.

Quanto appena detto vale per la gestione dei rischi su guasti di tipo hardware, ma lo stesso enunciato non ha validità se il guasto da intercettare è di tipo software.

Un esempio sarà maggiormente esplicativo: Si pensi ad una banca nella quale l’utente abilitato alla correzione degli estratti conti non si rende conto di aver aggiornato inavvertitamente un dato di un cliente o che addirittura abbia lasciato il pc aperto all’uso di estranei.

Queste due azioni nei giorni a seguire e comunque quando verranno rilevate saranno gestite alla stregua di un crimine informatico senza che nessuno possa accorgersi che l’anomalia sul dato è stata generata erroneamente e senza malizia alcuna.

Tale errore genera una anomalia del dato che prima di essere intercettata genera danni al sistema che aumentano con l’aumentare dei giorni in cui tale anomalia resta oscura alla banca.



Questo passaggio è fondamentale per l’approccio che si vuole dare a questo studio, perché è fondamentale comprendere che si vuole approcciare alla sicurezza del dato nella sua interezza e non solo attraverso le policy conosciute.

Do not Track

Ormai i gestori del marketing non sanno più cosa tentare per scavalcare i vincoli sulla Privacy.

La notizia, che la BBC ha già messo in evidenza anche se per altri motivi, cita Neelie Kroes nella sua veste di commissario europeo all'Agenda Digitale, che finalmente ha affermato che” la standardizzazione dei sistemi di protezione on-line va troppo a rilento” anzi ancora non decolla aggiungeremo noi.

Tutto nasce dallo stato fermo di avanzamento dello standard “Do Not Track” che secondo il commissario deve essere robusto e forte abbastanza per fare la differenza quando entra in gioco la protezione della privacy delle persone”.

Ma che cosa è il Do not Track.

Molto semplicemente stiamo parlando di uno standard proposto nel 2009 per chiedere alle applicazioni web l’interruzione della raccolta delle informazioni circa l’utente che sta navigando sul sito. Ad oggi vista la mancanza d “obbligatorietà” a cessare la raccolta dei dati, lo standard è molto semplice accettando tre possibili valori:

1 nel caso in cui l'utente non vuole che vengano raccolte le informazioni che lascia durante la navigazione,

0 nel caso in cui l'utente permette di essere tracciato nelle informazioni

Nessun valore o non inviato nel caso in cui l'utente non ha espresso una preferenza.

ma soprattutto udite udite ad oggi i valore di default è 1, questo standard è stato affidato al consorzio W3C ma i progressi non si vedono ne tantomeno si sentono.

Ed Infatti il commissario europeo ha dichiarato “non sta procedendo secondo I piani”, ma soprattutto si è fatta sentire per far capire a tutti che proposta di esentare il marketing da controlli è pura follia.

Noi diciamo soltanto una cosa ma se dal DnT eliminiamo il marketing cosa lo creiamo a fare questo standard.

Parliamoci chiaro il vero problema della privacy, soprattutto nel mondo web, al di la del furto d’identità e delle sue frodi connesse, è proprio l’utilizzo che il marketing fa degli usi e costumi degli internauti quando ne viene in possesso.

Per onesta di informazione va detto che i browser hanno recepito tali indicazioni e tutti si sono adeguati inserendo il DnT nella propria tecnologia, eccezion fatta per google , ma qui si apre una voragine che prima o poi affronteremo.

E per questo che ci fa piacere che Neelie Kroes si faccia sentire nelle sedi opportune, accusando i membri dell’industria digitale di annacquare gli standard disegnati per proteggere la privacy dei consumatori online.

In proposito il commissario ha dichiarato “Il processo di standardizzazione non va abbastanza veloce. Sono molto preoccupata, il processo di standardizzazione dovrebbe essere basato sul concetto di consenso informato, dando alle persone il controllo sulle informazioni di loro proprietà. E ovviamente lo standard deve dare alla gente il diritto di scegliere di non essere controllata online”

“La Commissione è stata cristallina su questo punto nella lettera inviata al W3C – al momento dell’installazione o del primo utilizzo, gli utenti devono essere informati sull’importanza della loro scelta in tema di Dnt”, ha aggiunto.

Insomma a far infuriare il commissario Neelie Kroes è stata Direct Marketing Association (Dma), che ha formalizzato al consorzio W3c di aggiungere il marketing nella lista delle attività da esentare dallo standard, che come detto prima renderebbe inutile in molti sensi tale standard.

Gran parte del processo di monitoraggio degli internauti avviene tramite i cookie. Una norma entrata in vigore a livello Ue il 26 maggio scorso prevede che i siti internet spieghino agli internauti cosa sono i cookie e come vengono utilizzati. Gli internauti devono dare il consenso prima di usarli. In proposito Joomla ha sviluppato un plug-in ad Hoc, ma come joomla anche altri si sono e si stanno muovendo.

I concetto di responsabilità amministrativa.

Esiste da tempo ma ancora pochi ne hanno compreso la portata, stiamo parlando del Il decreto legislativo 231/01 che ha introdotto il concetto di responsabilità amministrativa delle imprese per reati commessi da amministratori, manager o dipendenti, collegando ad esse rilevanti sanzioni pecuniarie o interdittive.

I destinatari di tale Decreto sono gli enti dotati e non di personalità giuridica quali, ad esempio, Spa, Srl, Sapa, Snc, Sas, associazioni, cooperative, fondazioni, enti economici sia privati che pubblici e più in generale tutte le imprese organizzate in forma societaria. 

Sono invece esclusi da tale norme le imprese individuali.

La responsabilità della società viene esclusa se quest’ultima dimostra che sono stati adottati e di conseguenza sono stati attuati, prima della commissione di reati, modelli di organizzazione, gestione e controllo ("Modelli") idonei a prevenire i reati stessi. 

Il decreto prevede l'attribuzione di alcuni tipi di reati alle persone fisiche che hanno commesso l'illecito, ma anche e soprattutto alle persone giuridiche quali ad esempio le società per cui lavorano.

I reati previsti sono quelli verso le Pubbliche Amministrazioni come la truffa, la corruzione, l’indebita percezione di erogazioni pubbliche, la concussione ecc. oltre alla maggior parte dei reati societari. 

Le sanzioni che si possono comminare si distinguono in: 

· sanzioni pecuniarie – viene sempre applicata in caso di condanna; 

· sanzioni interdittive;

· confisca - viene sempre applicata in caso di condanna; 

· pubblicazione della sentenza.

Vediamo nello specifico due articoli che ci permettono di verificare la portata della norma.

Nello specifico 

“Art. 5. Responsabilità dell'ente

1. L'ente è responsabile per i reati commessi nel suo interesse o a suo vantaggio:

a) da persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell'ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale nonchè da persone che esercitano, anche di fatto, la gestione e il controllo dello stesso;

b) da persone sottoposte alla direzione o alla vigilanza di uno dei soggetti di cui alla lettera a).

2. L'ente non risponde se le persone indicate nel comma 1 hanno agito nell'interesse esclusivo proprio o di terzi.”

“Art. 24-bis. Delitti informatici e trattamento illecito di dati

1. In relazione alla commissione dei delitti di cui agli articoli 615-ter, 617-quater, 617-quinquies, 635-bis, 635-ter, 635-quater e 635-quinquies del codice penale, si applica all'ente la sanzione pecuniaria da cento a cinquecento quote.

2. In relazione alla commissione dei delitti di cui agli articoli 615-quater e 615-quinquies del codice penale, si applica all'ente la sanzione pecuniaria sino a trecento quote.

3. In relazione alla commissione dei delitti di cui agli articoli 491-bis e 640-quinquies del codice penale, salvo quanto previsto dall'articolo 24 del presente decreto per i casi di frode informatica in danno dello Stato o di altro ente pubblico, si applica all'ente la sanzione pecuniaria sino a quattrocento quote.

4. Nei casi di condanna per uno dei delitti indicati nel comma 1 si applicano le sanzioni interdittive previste dall'articolo 9, comma 2, lettere a), b) ed e). Nei casi di condanna per uno dei delitti indicati nel comma 2 si applicano le sanzioni interdittive previste dall'articolo 9, comma 2, lettere b) ed e). Nei casi di condanna per uno dei delitti indicati nel comma 3 si applicano le sanzioni interdittive previste dall'articolo 9, comma 2, lettere c), d) ed e).”

Rapporto Privacy 2012

Leggiamo la relazione 2012 del Garante Privacy sulla protezione dei dati, la trasparenza e le principali tecnologie della comunicazione.

Partiamo da un dato sintetico ma che dimostra, come ripetiamo ormai da troppo tempo, che la nostra privacy vale un bel po di soldini.

Per il 2012 le sanzioni amministrative emesse e riscosse dal Garante per la protezione dei dati personali ammontano a poco meno di 4 milioni di euro, importo derivante dal massiccio aumento del numero delle violazioni contestate che passano dalle 358 del 2011 alle 578 del 2012.

Ed in proposito colpisce il fatto che un numero rilevante del totale è da imputare come causa alla conservazione eccessiva dei dati.

Come già detto in alcuni post precedenti molto lavoro che poi si trasforma in molte e salate sanzioni lo genera da solo il colosso Google.

In questo lavoro di tutela siamo sicuramente al fianco del presidente Antonello Soro che non vuole permettere che i dati personali degli utenti siano automaticamente proprietà di chi li raccoglie.

La relazione va letta integralmente per capirne la portata ma vi vogliamo segnalare un paio di punti per far capire che la Privacy non è solo un termine ma a volte, e molto più spesso di quanto si pensa, ci abbraccia nel quotidiano. Naturalmente i punti segnalati sono riportati per determinare il contesto e non perchè siamo d'accordo o meno con quanto scritto. 

Comunque per quanto detto citiamo ad es:

"In materia di giustizia e ordine pubblico alcune deliberazioni collegiali si segnalano per il loro rilievo generale.

Su richiesta del Ministero della giustizia, il Garante ha espresso parere favorevole sullo schema di decreto dirigenziale riguardante la consultazione diretta, per via telematica, del Sistema informativo del Casellario (SiC) da parte delle amministrazioni pubbliche, dei gestori di pubblici servizi e dell’autorità giudiziaria (ai sensi dell’art. 39 d.P.R. 14 novembre 2002, n. 313, t.u. delle disposizioni in materia di Casellario giudiziario).

Il testo esaminato è volto, in particolare, ad assicurare un accesso selettivo ai soli dati giudiziari indispensabili per lo svolgimento degli accertamenti di competenza, tramite l’introduzione dell’apposito “certificato selettivo”, per evitare che al soggetto richiedente siano rese disponibili, temporaneamente, anche eventuali iscrizioni di provvedimenti giudiziari non strettamente correlati agli accertamenti in corso (provv. 11 ottobre 2012 [doc. web n. 2091248]). "

oppure 

"1.2. attività fiscale e tributaria 

L’Autorità ha altresì adottato alcuni pareri relativi ad atti dell’amministrazione finanziaria volti al contrasto dell’evasione fiscale, caratterizzati da un complesso intreccio tra profili amministrativi e tecnici.

In particolare il Garante si è espresso sullo schema di provvedimento del Direttore dell’Agenzia delle entrate riguardante le modalità con le quali le banche dovranno comunicare all’Agenzia le informazioni relative ai conti correnti bancari (saldo iniziale e finale, importi totali degli accrediti e degli addebiti delle numerose tipologie di operazioni effettuate) (parere 17 aprile 2012 [doc. web n. 1886775]).

Tali dati dovranno poi essere ordinati su scala nazionale, a mezzo di procedure centralizzate, per la formazione di specifiche liste dei contribuenti a maggior rischio di evasione, secondo i criteri successivamente individuati dall’Agenzia. 

Il Garante ha anzitutto evidenziato che la normativa pone rilevanti problemi, sia con riferimento all’eccezionale concentrazione presso l’Anagrafe tributaria di un’enorme quantità di informazioni personali, sia in relazione alle finalità di classificazione degli interessati, cui la raccolta di tali informazioni risulta preordinata. Ha al riguardo ribadito quanto rappresentato in sede di audizione presso la Commissione parlamentare di vigilanza sull’Anagrafe tributaria, sottolineando che non è in discussione l’esigenza di disporre delle informazioni necessarie per contrastare l’evasione fiscale, bensì l’integrale duplicazione presso

l’Anagrafe stessa di una moltitudine di dati, che genera un incremento esponenziale dei rischi. Ha pertanto prescritto, per la trasmissione e la conservazione dei dati, misure di sicurezza di natura organizzativa e tecnica particolarmente rigorose."