Chip clandestino, spionaggio planetario

Sembra originare dalla Cina il più incredibile caso di cyber-spionaggio della storia.

Secondo un articolo di  Bloomberg, qualcuno ha inserito un chip microscopico nelle motherboard di SuperMicro, una azienda americana che produce sistemi server High Tech.

Si ritiene che questi micro-chips, installati nelle mainboard durante la produzione in Cina, contengano del codice “backdoor” che comprometta il dispositivo, sovrapponendosi al sistema operativo.

Le indagini, condotte sin dal 2015 ed ancora in corso, sarebbero scaturite da una verifica di sicurezza su sistemi server di Amazon; non sono stati divulgati dettagli dalle Autorità.

I big del settore apparentemente coinvolti smentiscono categoricamente; nel frattempo i titoli delle aziende cinesi produttrici di componenti I.T. vanno a picco nelle borse mondiali.

Come sempre, quando si guarda prevalentemente ai costi, la sicurezza viene sempre in ultimo piano; occorre garantire la sicurezza della intera filiera produttiva dei prodotti I.T.

Forse SuperMicro (se supererà il ChipGate) tornerà a produrre in USA?

La sicurezza informatica riguarda tutti gli aspetti di un sistema; adesso l’opinione pubblica ha scoperto che anche l’hardware può essere compromesso in fabbrica.

Lo ripeto da tempo: tutte le componenti debbono essere oggetto di analisi di sicurezza; qualcuno sa esattamente cosa faccia il BIOS (adesso uefi, in pratica un sistema operativo a se stante) dei moderni PC?

350 mila PaceMakers vulnerabili

Da pochi giorni è stata resa pubblica la notizia di gravi vulnerabilità presenti nel firmware di alcune tipologie di “pacemakers” (le dizioni corrette sono ICDs e CRT-Ds).

Sono state scoperte oltre ottomila vulnerabilità conosciute , il che rende bene l’idea di come sia stata verificata la sicurezza del firmware di questi  dispositivi medicali.

Quando la insicurezza diventa lo standard, e la sopravvivenza delle persone viene messa a rischio, occorre fare uno stop per interrogarsi; come vogliamo procedere, in futuro?
Compriamo un portafortuna e speriamo che capiti sempre a qualcun altro?

Firewall

FireWall, il componente più determinante per la sicurezza I.T.C.

Il termine “firewall” in origine si riferiva a un muro destinato a confinare un incendio all’interno di un edificio; la definizione fu applicata, alla fine degli anni ’80 alla tecnologia di rete che consentiva di  “confinare” una rete locale collegata ad Internet, quando si evidenziarono problematiche afferenti alla sicurezza.

Un FireWall serve a regolare il traffico della rete locale proveniente da e diretto ad Internet; il suo scopo principale è quello di garantire sicurezza ai sistemi collocati dietro al suo perimetro.

Sulla base di regole impostate (policy o ACL) esso, agendo sui pacchetti IP, consente o nega la comunicazione tra le due parti che la richiedono (es. il client locale verso il server remoto); di norma vengono consentite solo le connessioni impostate dalle policy e negato tutto il resto (configurazione deny all).

Successivamente, con la diffusione di ulteriori tipologie di attacco, che veicolavano traffico illecito su connessioni consentite, furono sviluppati FireWall che valutano i pacchetti IP in transito e “capiscono” a quale protocollo o applicazione essi facciano capo; in tale modo è possibile bloccare (o consentire) un determinato tipo di traffico (es. il traffico generato dalle applicazioni p2p) indipendentemente dalle porte utilizzate e dalle regole statiche assentite.

I FireWalls di ultimissima generazione dispongono di ulteriori ed importantissime funzioni di sicurezza, quali Logging & Reporting, AntiMalware e IDS – Intrusion Detection System e/o IPS Intrusion Prevention System.

In ottica GDPR (art. 32 – sicurezza del trattamento) l’installazione e la gestione di un FireWall di terza generazione è assolutamente necessario; la sua installazione non esonera dalle altre misure di prevenzione e sicurezza, come talvolta erroneamente affermato.

Inoltre, per poter prevenire e notificare un eventuale Data Breach qualora eventualmente accada (art. 33 – notifica di una violazione di dati personali all’autorità di controllo) occorre che il FireWall disponga di funzioni IDS, meglio ancora se IPS (Prevention).

Da anni sviluppo e realizzo ApplianceIPsent – che consentono tutto quanto sopra a costi accessibili anche alle piccole realtà.

Ancora truffe informatiche

Ecco una altra notizia che conferma la necessità del nuovo GDPR (e l’applicazione delle misure di sicurezza).
Evidenzio una parte della notizia (tralasciando il linguaggio poco tecnico):

... a quanto sembra, le credenziali per entrare nel suo computer e poi nella sua posta elettronica, tra l'altro, non sono state "prese" attraverso un virus inviato via email, ma dopo essere riusciti ad "intrufolarsi" nella rete Wifi del suo negozio di autovetture ed aver inserito sul PC un trojan per manipolare il programma email e cambiare gli Iban ...

Trattasi di caso esemplare, riguardante un grave Data Breach, causato dalla mancanza dei corretti livelli di sicurezza (della rete wifi ma anche del PC compromesso).

Comunque, le banche debbono fare di più per garantire la sicurezza dei loro correntisti, e quindi dell’intero sistema bancario; talvolta occorrono solo volontà di fare e qualche risorsa.

Percezione della sicurezza informatica

Non esiste nulla di peggio che la devastante percezione della sicurezza, specialmente quando l’azienda è lontanissima da un livello accettabile (la sicurezza informatica assoluta non esiste, specialmente in questo periodo nel quale sono vulnerabili anche i processori).

La scorsa settimana ho udito con le mie orecchie un consulente affermare: “qualora si  installi un FireWall a protezione della LAN, non occorre aggiornare il software di sistema ne installare alcun antivirus sugli elaboratori”.

Si iniziano anche a vedere valutazioni di Risk Assessments, GAP analysis e D.P.I.A. (alcune prodotte ove non serviva) dalle quali si evince che chi le ha predisposte non ha le idee ben chiare su quali siano i rischi che incombono sui trattementi di dati personali (specialmente per gli assets digitali), ne ovviamente le adeguate contromisure da adottare.

GDPR e software house

Il nuovo codice Europeo sulla Protezione dei Dati Personali impatta in modo rilevante sulle organizzazioni che producono software (software house).

In primo luogo, perché dovranno garantire che il software da loro prodotto (o commercializzato) sia compliant ai dettami del GDPR.

I più rilevanti sono quelli derivanti dall’articolo 25 – Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita:

  1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.
  2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.
  3. Un meccanismo di certificazione approvato ai sensi dell’articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.

Quindi il nuovo approccio dettato dal GDPR è basato non più prevalentemente sulla persona ma sulla protezione del dato personale in sé.

Cosa significa Privacy by Design?
Il concetto indica che, in ogni sistema di trattamento, occorre prevenire (prima) invece che intervenire (poi); significa progettare un sistema (ambiente software, servizio SAAS, Cloud Platform, …) che metta alla base delle proprie funzioni la protezione dei dati.
La maggior parte degli incidenti di data security, nel GDPR definiti con il termine poco calzante di Data Breach, derivano da ambienti e sistemi software con bug o vulnerabilità, oppure mal progettati e/o mal configurati.

Cosa significa Privacy by Default?
Il concetto di Privacy by Default determina che per impostazione predefinita i sistemi di trattamento devono trattare i dati personali solo nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini. Occorre, quindi, progettare il sistema di trattamento di dati garantendo la non eccessività dei dati personali; nel definire il periodo strettamente necessario, occorre quindi anche considerare il nuovo diritto all’oblio.