ASUS LiveUpdate compromesso

Kaspersky ha scoperto uno dei maggiori incidenti di sicurezza occorsi ad un fornitore di software, persino superiore a quello capitato a CCleaner.

Il servizio LiveUpdate di ASUS, che consente ai loro acquirenti di aggiornare il software dei propri devices, è stato compromesso da sconosciuti – dalle notevolissime risorse e capacità tecniche – sfruttandolo per installare un trojan malevolo – chiamato shadow hammer – targetizzato per attivarsi su specifici devices ASUS.

Il fatto, di per se clamoroso, è ulteriormente aggravato dal fatto che la compromissione è stata scoperta, dopo vari mesi, da Kasperky invece che dalla stessa ASUS.

Consiglio a tutte le organizzazioni che posseggono dispositivi ASUS di farne controllare la sicurezza, in quanto si potrebbe configurare un classico data breach.

Mai come in questo caso si evincono due aspetti rilevanti:

  • sui devices “in produzione” o interessati al trattamento dei dati personali, utilizzare solo il software minimo necessario (e LiveUpdate, come molte altre utility, non lo è);
  • gli antivirus sono sempre meno efficaci a rispondere alle nuove tipologie di minacce cyber; occorre sviluppare nuovi software con A.I. che riescano ad intercettare comportamenti “ambigui” del software, anche se firmato con certificati autentici (come in questo caso).

Ritengo che ci saranno degli sviluppi clamorosi alla vicenda.

GDPR e sito web

L’entrata in vigore del nuovo Regolamento UE 679/2016 ha effetti anche su tutti i siti web; essi debbono essere aderenti ai principi dettati del GDPR, in particolare agli artt. 5, 6, 7, 8, 11, 12, 13, 15 e successivi, 24, 25, 32, 33, 34, salvo altro.

Occorre valutare la rispondenza, del sito web, non solo al Regolamento ma anche alle ulteriori normative inerenti, come per esempio il provvedimento del Garante 8 maggio 2014 – detto cookie law. 

Da ultimo, ma non per importanza, una verifica professionale degli aspetti inerenti la sicurezza informatica del sito web (come richiesto dall’art. 32 GDPR) che deve essere condotta da un soggetto terzo (e non certamente da chi il sito lo ha realizzato).

Effettuiamo, da tempo, valutazioni di compliance dei siti web a tutti gli aspetti inerenti la dataprotection (sia legale che informatico), tramite il nostro servizio professionale WebSite Assessment; esso potrà essere prodotto come dimostrazione di accountability del Titolare del Trattamento. Generalmente questa valutazione viene effettuata da remoto, senza necessità di avere accesso al sistema informatico, ad un costo accessibile a tutte le organizzazioni.

IPsent

IPsent (acronimo formato da IP + SENTINEL) è una appliance progettata e realizzata allo scopo di garantire la sicurezza delle reti IP locali e conseguentemente dei dispositivi ad esse collegati.

Si tratta di una delle primarie misure di sicurezza richieste all’art. 32 del nuovo Regolamento UE 679/2016.

In primo luogo, dispone di avanzate funzioni di reporting; ciò consente di visualizzare, graficamente ed in tempo reale, il traffico di rete, compreso i sistemi che stanno utilizzando banda.

Realizza inoltre visualizzazioni dettagliate, le quali consentono, agli amministratori di sistema, di avere visione sulle specifiche connessioni attuate, la tipologia ed il traffico intercorso.

Dispone di tutte le caratteristiche di un FireWall di ultima generazione, comprese le funzioni MultiWan, Traffic Shaper,  Content Filtering, Intrusion Detection ed Intrusion Prevention.

Le appliance sono realizzate con componenti opensource collaudati, utilizzando hardware adatto ad ottenere le prestazioni necessarie alla specifica infrastruttura di rete locale; sono disponibili soluzioni adatte a piccoli studi ed uffici sino ad arrivare a soluzioni ad alto traffico e/o sistemi High-Availability.

Tra le altre implementazioni, può essere configurato come log-server per adempiere agli obblighi derivanti dal provvedimento del Garante sugli IT-ADMIN.

IPsent può essere installato con nulle o minime modifiche alla infrastruttura LAN esistente.

I costi sono molto accessibili ed inferiori rispetto agli equivalenti dispositivi dei produttori più blasonati.

GDPR security assessment

Security Assessment, Vulnerability Assessment e Penetration Test, cosa sono?
Si tratta della stessa attività o di attività diverse?

Qeste tre definizioni, che spesso vengono confuso e/o scambiate, si riferiscono a tre attività diverse che afferiscono però ad una sola finalità: migliorare notevolmente la sicurezza dei sistemi informativi.

Per attività di Vulnerability Assessment (che qualcuno indica anche come Vulnerability Scan) si intendono quelle attività tecniche (molto specifiche), effettuate di norma con strumenti automatici, che evidenziano eventuali vulnerabilità presenti nei dispositivi informatici e/o nel software.

Le attività di Penetration Test sono le attività di soggetti dotati di particolari competenze che, “indossato il cappello dell’hacker”, operano per superare le misure di sicurezza e le difese messe in atto per proteggere i sistemi. Dato che di norma le attività di penetration test, per avere successo, sfruttano le vulnerabilità di strumenti, software, sistemi e loro configurazioni, tali attività vengono effettuate dopo aver eseguito il Vulnerability Assessment ed averne risolto le vulnerabilità emerse.

Per Security Assessment (o valutazione della sicurezza) intendiamo la somma di tutte le specifiche attività di valutazione della sicurezza; spesso dimentichiamo che la sicurezza di un sistema informativo è funzione anche della relativa sicurezza fisica degli ambiti nel quale esso si trova.

Il Regolamento Europeo ha aumentato esponenzialmente il livello di sicurezza necessario per tutte le tipologie di trattamenti, mettendo in capo al titolare del trattamento la definizione delle misure necessarie da adottare e l’obbligo di testarle, verificarle e valutarne regolarmente l’efficacia (art. 32 comma d GDPR).

Regolarmente, non una tantum, perchè un sistema sicuro oggi potrebbe non esserlo in futuro.