Rete di sicurezza

PREMESSA
BARBARA CARFAGNA
INTRODUZIONE
PER L’ITALIA UN PROGETTO FORTE DI CYBERSECURITY
ALESSANDRO PANSA
I DATI: IL NUOVO ORO DA METTERE AL SICURO
di Roberto Baldoni e Luca Montanari
RICONOSCERE UN ATTACCO
di Marco Iavernaro
VERSO UN MONDO SENZA PASSWORD
di Stefano Pepe
NON APRITE QUELLA PORTA
di Elena Vidotto
L’ UOMO CHE SUSSURRA ALLE MACCHINE: L’ANALISTA DEI DATI
NELL’IMPRESA
di Marco Ramilli
15 BEST PRACTICE DA ADOTTARE SUBITO
di Stefano Mele
COSTRUIAMO IN SICUREZZA L’INDUSTRIA 4.0
di Andrea Rigoni
COSA DICE LA LEGGE: DALLO STATO ALL’INFOSFERA
di Stefano Mele

LE MATRIOSKE. DALL’ AZIENDA, ALLA CITTA’, ALLO STATO
di Michele Colajanni
DIRETTIVA NIS: IL CYBER SCIOGLIE I CONFINI NAZIONALI
di Michele Pierri
DALLA CYBERSECURITY ALLA CYBERWAR
di Mariarosaria Taddeo
TRA PUBBLICO E PRIVATO: STATI UNITI E REGNO UNITO
di Stefano Mele
IL MODELLO ISRAELIANO
di Michele Pierri
MISSION IMPOSSIBLE? LA SFIDA DELL’ITALIA SUL DIGITALE
di Marco Mayer

Per l’Italia un progetto forte di cybersecurity
Il contesto di una sfida
Il mondo cyber sta cambiando tutti gli altri mondi. La rivoluzione digitale che stiamo vivendo,
in ogni campo della nostra vita personale e professionale, come ogni cambiamento storico,
porta con sé opportunità e minacce. Minacce per lo status quo e per i cittadini e le imprese, ed
opportunità di sviluppo per fasce sempre più numerose di popolazione. Tra le opportunità di
questo percorso possiamo enumerare, a titolo di esempio, l’elevato livello di interoperabilità
e flessibilità circa l’uso dei dispositivi elettronici, che stanno divenendo sempre più multi-
funzione. Ciò consente agli utenti di trarre vantaggio da opportunità prima di allora
inimmaginabili, che permettono loro di: essere costantemente informati e di avere accesso ai
propri dati sempre e ovunque; essere in più posti contemporaneamente (la cd. ubiquità
digitale); muovere oggetti o agire da remoto, e così via.
Per quanto concerne i punti di debolezza, l’incremento di dispositivi connessi a internet – tra
cui l’internet delle cose (Internet of Things – IoT) ma anche sistemi di Supervisory Control and
Data Acquisition (SCADA) – ha comportato un rilevante ampliamento della superficie
d’attacco, incrementando le possibilità di escalation. Ciò si traduce, per le infrastrutture
critiche, in un più elevato grado di interdipendenza tra le stesse, seguito da un “effetto
domino” in caso di attacco cyber o system failure. In questo senso la cyber
security apparirebbe non diversa dalle altre rivoluzioni tecnologiche che abbiamo conosciuto
nel recente passato.
A ben vedere, invece, una grande differenza c’è: in questa rivoluzione tecnologica, la sicurezza
è una pre-condizione perché le opportunità si possano dispiegare pienamente. Già adesso
stiamo entrando nel mondo dell’internet of things – IoT e dell’Industry 4.0 dove le macchine
colloquiano tra di loro in un unico ambiente tecnologico. Qui non sono consentite mezze
misure: se la sicurezza c’è, vi è sviluppo ed innovazione; se la sicurezza non c’è, non si entra
nel nuovo mondo. Questo vale sia a livello di sistema industriale sia per l’intera economia
nazionale: solo se saremo capaci di creare un ambiente nazionale sicuro, parteciperemo con
la nostra economia allo sviluppo della rivoluzione digitale che abbiamo davanti.
Noi tutti – attori pubblici, imprenditori, responsabili politici, ricercatori – non sempre siamo
pienamente consapevoli di questo vincolo. Nel dicembre 2014, Nomisma ha pubblicato gli
esiti di uno studio, commissionato dal DIS, volto a valutare il livello di percezione della
minaccia cibernetica nelle piccole e medie imprese, che costituiscono il 99,9% della totalità
delle aziende del Paese, al fine di accrescerne la sicurezza informatica. Benché tale ricerca sia
stata pubblicata ormai quasi un paio di anni fa, i relativi risultati possono essere purtroppo
ritenuti ancora oggi validi. I dati più rilevanti mostrano infatti che:
 la minaccia principale è costituita da malware volti non solo all’interruzione del
funzionamento di sistemi informatici, ma anche alla sottrazione di know how relativo a
progetti industriali ed a strategie manageriali;
 da un lato l’impatto economico è stato stimato come piuttosto contenuto (nell’ordine
di circa 50.000 euro come danno massimo), ma dall’altro la maggior parte delle
imprese ha ammesso la difficoltà nel valutare tale dato;

 il top management ha mostrato una certa sensibilità verso la tematica della cyber
security, benché sia risultato restio all’elaborazione di documenti di valutazione della
minaccia cibernetica e all’adozione di strategie di prevenzione;
 infine, anche se la maggior parte delle aziende intervistate ha dichiarato di aver
adottato misure di prevenzione, gli investimenti nella sicurezza informatica sono
risultati moderati, ammontando solamente all’1% del volume delle vendite.
In sintesi, c’è consapevolezza ma si fatica a costruire la reazione.
Nel frattempo, però, la minaccia si evolve con estrema velocità: la crescente mole di dati –
raccolti in maniera massiva e riferiti a qualità personali, abitudini e stili di vita, preferenze di
consumo – diviene un serio onere per l’impiego da parte di chi li detiene, ed allo stesso tempo
rappresenta un obiettivo ambito ed altamente remunerativo per chi vuole impossessarsene
illecitamente.
Quante infrastrutture critiche strategiche sono oggi controllate da sistemi di controllo
automatici, completamente interconnessi ed operanti sul web? E quanti sistemi critici
viaggiano allo stesso modo, ad esempio nel mondo della sanità? Il cyber si mostra, peraltro,
sempre più uno strumento duttile e penetrante, tale da poter essere utilizzato anche in
operazioni di influenza articolate.
A quest’accelerazione esponenziale della minaccia si aggiunge ora anche il rischio
terroristico. E qui assistiamo ad un’ulteriore evoluzione del contesto: l’impatto della minaccia
– non solo terroristica - si esprime non più solo in un danno materiale (per lo Stato, per le
aziende, per i cittadini), ma emerge già dall’uso dello strumento cyber. Basti pensare al re-
engineering che i gruppi terroristici fanno dei maggiori social networks e/o delle applicazioni
di messaggistica per operare il proselitismo, il reclutamento, l’addestramento, il
coordinamento operativo, etc.
Anche in termini di effetti comunicativi, la capacità di incidere sul mondo reale grazie alla
comunicazione digitale è un aspetto che deve essere sempre tenuto in considerazione quando
si parla di sicurezza cyber. Si consideri il crescente gap tra sicurezza reale e quella percepita:
come ben sappiamo, l’obiettivo della sofisticata opera di comunicazione di Daesh tende
proprio ad ampliare a dismisura questo cuneo, che si insinua tra la cittadinanza ed i propri
governanti. Il mondo virtuale può divenire un punto di riferimento anche culturale per coloro
che si sentono rifiutati dal tessuto umano in cui vivono ovvero siano portatori di una cultura
divergente rispetto a quella prevalente.
E' evidente che occorre acquisire piena consapevolezza degli interessi che entrano in gioco
quando ci confrontiamo con la minaccia cyber: l’integrità fisica dei nostri cittadini, l’integrità
economica collettiva e delle nostre imprese, le funzioni fondamentali dello Stato, i diritti dei
singoli, lo stesso diritto alla libertà.
Questi sono gli elementi che vanno considerati, quando si valuta quali difese approntare per
la realizzazione di un sistema valido di cyber security. Rispetto a questi valori ed a questi
interessi occorre ponderare la modifica delle regole, l’eventuale parziale compressione delle
libertà e/o dei diritti dei cittadini. In un delicato equilibrio, che peraltro va modificandosi
continuamente proprio con l’evolvere della tecnologia e della minaccia.

Per la ricerca di questo giusto equilibrio è necessario che tutti – pubblica amministrazione,
aziende, ricerca – concorrano alla definizione di un sistema nazionale di cyber
security coerente con il profilo della minaccia, che tenga conto delle aspettative e degli
impegni che il nostro Paese ha preso nei consessi internazionali cui partecipa (Alleanza
Atlantica, Unione Europea) e con il sostegno bilaterale dei propri partners più importanti.
Cosa è stato fatto
È in tale contesto che il DIS ha promosso e continua a promuovere iniziative mirate al
consolidamento della partnership pubblico-privato – PPP, che si rifanno ad un modello
multi-stakeholder. In tal senso la collaborazione con “Leonardo” appare particolarmente
significativa. Leonardo, infatti, è uno degli operatori privati di rilevanza strategica che hanno
firmato una convenzione con il DIS per la condivisione di informazioni relative agli
incidenti cyber e che attivamente supporta le diverse iniziative del Dipartimento.
A partire dal 2013, il DIS ha consolidato un formato di condivisione informativa con i gestori
di infrastrutture critiche ed altri operatori strategici: tali soggetti, se da un lato notificano al
Dipartimento volontariamente gli attacchi ed altre anomalie registrate sulle proprie reti e
sistemi, dall’altro, sono destinatari da parte del DIS di analisi e valutazioni della
minaccia cyber, così da assicurare loro un adeguato livello di sicurezza informatica.
Occorre ricordare anche l’importante ruolo del CNAIPIC: costituito in seno al Servizio di
Polizia Postale e delle Comunicazioni, ha il compito di garantire la prevenzione ed il contrasto
degli attacchi informatici alle strutture di livello strategico per il Paese, la sicurezza e la
regolarità dei servizi di telecomunicazione, il contrasto della pedopornografia online, il
contrasto degli illeciti perpetrati per via informatica concernenti i mezzi di pagamento e il
diritto d’autore. Per la difesa delle infrastrutture critiche, il Centro ha stipulato numerose
convenzioni con enti pubblici e privati.
Nel novembre 2015 è stato inoltre istituito il Polo Tecnologico di Comparto, quale
centro di eccellenza in materia di cyber security. La missione del Polo consiste
nell’implementare le capacità nazionali di cyber intelligence e nel convogliare la ricerca
accademica e privata affinché i relativi esiti soddisfino le esigenze della comunità
intelligence nazionale, consentendo una migliore e più approfondita conoscenza delle
minacce cyber attuali e future, oltre ad un miglioramento dello stato dell’arte tecnologico.
L'Intelligence ha inoltre giocato un ruolo di primario rilievo nell’elaborazione della
Strategia Nazionale di Sicurezza Cibernetica ed il DIS è costantemente impegnato nel
coinvolgere attivamente nell’esercizio i principali stakeholder, sia pubblici che privati.
Siamo infatti consapevoli che se sapremo assicurare un elevato livello di sicurezza
informatica ai nostri “campioni nazionali”, saremo anche in grado di garantire una
maggiore competitività al nostro Paese sullo scacchiere internazionale, attraendo così
investimenti dall’estero.
A questo riguardo, stiamo attualmente aggiornando il “Piano Nazionale per la
protezione cibernetica e la sicurezza informatica”, allineando lo stesso sia alla
Direttiva UE sulla Network and Information Security (NIS), adottata il 6 luglio di
quest’anno dal Parlamento Europeo, sia alle nuove sfide poste dall’innovazione digitale.
Il Comparto Intelligence ha ispirato e sostenuto la creazione del Laboratorio
Nazionale CINI, per il coordinamento nazionale della ricerca nella cyber security. Si è

così potuto offrire alla ricerca italiana, universitaria e non, un punto di coordinamento e
connessione con la PA e con le infrastrutture critiche nazionali, mettendo d’altro canto a
disposizione il complesso dell’offerta e delle eccellenze che la ricerca nazionale esprime in
questo campo. Il Laboratorio ha quindi naturalmente costituito una controparte qualificata
per avviare la cooperazione internazionale di ricerca, che ha prodotto lo scorso anno il
“Framework nazionale per la Cyber security”, elaborato secondo
gli standards internazionali più avanzati.
La “way ahead”
Se oggi la nostra attenzione e preoccupazione è principalmente focalizzata sul furto di dati
personali e finanziari, inclusi i dati biometrici, così come di informazioni rilevanti sotto il
profilo commerciale e strategico, dobbiamo tuttavia considerare anche l’impatto fisico
derivante dalla manipolazione di software.
Abbiamo già al riguardo degli esempi concreti, come il recente test di hacking condotto da alcuni
ricercatori su modelli di automobile Tesla, che hanno mostrato vulnerabilità che, se sfruttate,
avrebbero consentito ad un potenziale attaccante di prendere il controllo, tra l’altro, dei freni del
veicolo. Questo test mostra, in modo concreto, come un attacco cyber possa causare danni sul
piano fisico, anche in termini di feriti e, nel caso peggiore, di vittime.
Ciò dimostra l’importanza dei cd. “programmi di bug bounty” come quello, ad esempio,
denominato “Hack the Pentagon”, iniziativa promossa quest’anno dal Dipartimento della
Difesa USA, volto a testare la sicurezza dei propri siti web con esclusione, tuttavia, dei sistemi
informatici critici.
L’innovazione digitale richiede alle comunità intelligence, a livello mondiale, uno sforzo
d’immaginazione senza precedenti, mentre entriamo in un futuro permeato di tecnologia. In
questo nuovo mondo l’intelligence dovrà essere in grado di comprendere, prima ancora degli
attori ostili, come – da un punto di vista squisitamente tecnico – una nuova tecnologia possa
essere sfruttata per finalità che possono mettere a rischio la sicurezza nazionale.
Europol, nel suo rapporto IOCTA sugli otto trend del cyber crime nel 2016, li ha classificati in:
 crime-as-a-service: il crimine diventa una commodity che si compra al “supermercato”
(nero) criminale;
 i ransomware, la nuove edizione dell’estorsione;
 l’uso criminale dei dati nelle forme di truffe od estorsioni più sofisticate;
 le frodi nei pagamenti, che stanno velocemente sostituendo le “cartiere”;
 la pedopornografia online e gli abusi;
 l’abuso di darknet per attività illecite;
 il social engineering, ora rivolto anche ai vertici aziendali per frodi articolate;
 l’uso distorto delle valute virtuali, divenute lo strumento di pagamento degli illeciti.
Per tutti questi fenomeni, i trend sono in netto aumento.
Il Paese ha bisogno di un progetto nazionale di cyber security, che – in una nuova e più
incisiva accezione di Sicurezza Nazionale – possa confrontarsi con le nuove minacce. Ad
esempio, l’affidabilità e la sicurezza di componenti hardware e software che supportano

infrastrutture critiche nazionali ed altri attori strategicamente rilevanti, possono essere
conseguite solo attraverso la “messa in sicurezza” di tutti i soggetti della “catena del valore”,
inclusi i produttori di componenti hardware, gli sviluppatori di software ed i fornitori di
servizi IT.
Una delle priorità della nuova edizione del Piano Nazionale potrebbe essere l’implementazione di
un laboratorio governativo dove testare i sistemi informatici prima del loro impiego nell’ambito di
infrastrutture critiche, sia governative che private. Tale obiettivo non può essere conseguito senza
un approccio multi-stakeholder basato sulla cooperazione con il settore privato. Tale iniziativa,
insieme alle analisi strategiche e tattiche realizzate dal Comparto, consentirà il perseguimento di
una strategia di prevenzione onnicomprensiva.
Per affrontare la minaccia, appare cruciale, da un lato, acquisire e tenere aggiornata una vasta
capacità di raccolta, analisi e conservazione dei dati, ormai in quantità immense (i c.d. big data), al
fine di individuare e disarticolare in anticipo la minaccia e, dall’altro, poter contare su nuove
sensibilità dei provider nel sostenere gli attori pubblici nel loro sforzo di garantire la sicurezza.
L’approccio, pertanto, non può che vedere la sintesi tra l’interesse nazionale e quello privato, tra
sfera collettiva e sfera privata.
Il Progetto Nazionale di Cybersecurity potrà utilmente beneficiare della dotazione messa a
disposizione dalla legge di stabilità per il 2016. Perché il progetto determini, come risulta
ormai essenziale, un effettivo cambio di passo per la capacità di reazione del nostro Paese
sarà altrettanto indispensabile che la costruzione dello stesso avvenga con il contributo delle
varie componenti (pubbliche, private e della ricerca) che costituiscono la struttura portante
del tessuto cyber nazionale. E tutti gli attori chiamati a dare il loro contributo dovranno
intervenire con spirito indipendente, con posizioni coerenti, con una visione naturalmente
rivolta al futuro, tale da porre la sicurezza nazionale al di sopra degli interessi settoriali.
Alessandro Pansa
Direttore generale DIS

I dati: il nuovo oro da mettere al sicuro
La cybersecurity è la serratura della porta di casa. E in questo momento in molte
aziende la porta è aperta.
L'ecosistema di imprese italiano è unico nel suo genere.
C’è un numero esiguo di grandi imprese, grandi pubbliche amministrazioni e grandi operatori
di servizi essenziali che costituiscono meno dell’1% delle imprese. Sono le piccole-medie
imprese a generare circa il 70% del prodotto interno lordo, creando di fatto una galassia
imprenditoriale.
Sono di tre tipi: le micro-imprese (quasi tutte le imprese italiane, circa il 95%), di solito a
gestione familiare, con pochissimi dipendenti (una decina). Il secondo tipo, da dieci fino a
40/50 dipendenti (circa il 5%). Il terzo, lo 0,5% sono tra 50 e 250 dipendenti. Realtà molto
piccole, soprattutto se confrontate con le grandi multinazionali; ma spesso non tanto piccole
da gestire, dal momento che iniziano a presentare molte delle criticità tipiche delle grandi,
soprattutto se parliamo del dominio informatico. Ma non hanno all'interno le capacità per
gestire tali criticità.
Una di queste criticità, relativamente nuova, è la cyber security o sicurezza informatica.
Un termine che sale sempre più nelle cronache nazionali e internazionali ma di cui pochissimi
conoscono il reale significato; i piccoli imprenditori non sempre hanno tempo per informarsi
essendo giustamente focalizzati sul proprio business.
La gestione di questo nuovo rischio, il cyber risk, richiede risorse, e molte. Possiamo definirla
un'arte perché ci sono innumerevoli casi, anche recenti, di attacchi gravi condotti ad aziende
enormi e fortissime dal punto di vista della prevenzione; certificazioni; uffici preposti alla
sicurezza; responsabili della sicurezza e così via (l’attacco a Yahoo di qualche giorno fa sia
l'esempio principe). Ma è anche una scienza: se da una parte è vero che i vari sistemi e
software di sicurezza servono; è anche vero che non bastano.
Ci vogliono processi di gestione, programmi di formazione, cultura della sicurezza,
consapevolezza (awareness, termine di moda): siamo in un mondo che non è progettato
tenendo presente la sicurezza, ma che piuttosto è abituato a tappare i buchi una volta che
iniziano a fare acqua. Purtroppo la sicurezza ha un costo certo, a fronte di un rischio sì
potenziale ma che se colpisce può spazzare via una piccola media impresa, in tempi
paragonabili a quelli dei terremoti che tanto flagellano la nostra penisola.
È proprio questa mancanza di consapevolezza che porta, soprattutto gli amministratori di
PMI, i proprietari, a dire la frase principe di tutti i mali dal punto di vista digitale: "ma io non
ho nulla da proteggere, cosa mi ruberebbero?", la risposta è semplice, i dati.
Spesso non è facile descrivere il valore economico dei dati: una cosa così intangibile non è
facile da quantificare; eppure ci sono state acquisizioni di imprese recenti che hanno spostato
cifre da capogiro (pensiamo a Facebook che compra Instagram, 1 miliardo di dollari, compra
anche WhatsApp, 19 miliardi di dollari) con lo scopo principale di possedere i loro dati; più
importanti delle loro tecnologie e brevetti. Pare che l’attacco subito da Yahoo abbia avuto
proprio lo scopo di sottrarre dati per rendere il costo della società, attualmente in vendita,
più accessibile.

Le PMI hanno dati da proteggere, come tutti noi cittadini, anche se a volte non lo sanno. Sono
estremamente vulnerabili agli attacchi (perché non si proteggono), e hanno bisogno di
svegliarsi. La minaccia cyber è oggi, e sarà sempre peggio domani.
Il Framework Nazionale per la Cyber Security (www.cybersecurityframework.it), pubblicato
dalla Sapienza e scritto da importanti figure dell'impresa, dell'Accademia (con il laboratorio
nazionale per la cyber security), del governo e della pubblica amministrazione italiana si è
concentrato proprio sulle PMI.
Per una PMI i rischi sono molteplici: cyber attacchi possono sottrarre proprietà intellettuale
(magari una PMI è specializzata, sa fare solo una cosa bene, e il segreto industriale può essere
sottratto. È già successo, e succede ogni giorno), preventivi – così da mostrare il fianco a
concorrenti agguerriti – ma anche elenco dei clienti, dati personali (incorrendo in questo caso
in processi penali a causa del codice della privacy), buste paga, business plan, elenco dei
fornitori, dati di cassa, dati bancari e l'elenco non finisce qui.
E’ tutto sui PC, smartphone e tablet, e mantenerli “disconnessi” non basta.
Attenzione, non è solo un competitor che potrebbe avere interesse a prendere di mira una
PMI e l'effetto di un attacco non è solo economico, ma anche reputazionale, morale.
Bisogna agire; il tempo del pensiero è scaduto.
Mettere in sicurezza i propri sistemi e formare il personale costa. Le PMI sorreggono l’intera
economia itaiana; vanno aiutate e supportate ad affrontare il rischio. C’è bisogno di un
sistema di incentivi fiscali per agevolare questo processo e il governo lo sa. Purtroppo però
questo processo, ancora agli albori, è lungo, lunghissimo se confrontato con la velocità con cui
la minaccia cyber evolve. Di conseguenza, è estremamente importante prendere precauzioni,
investire in sicurezza, studiare, prima che sia troppo tardi.
Roberto Baldoni, Luca Montanari
CIS-Sapienza
baldoni@dis.uniroma1.it
montanari@dis.uniroma1.it

Riconoscere un attacco
L’80% delle aziende italiane è sotto attacco ma non lo sa. Consigli pratici. Come
costruire una password sicura
Nell’attuale civiltà digitale il rischio di un attacco informatico è aumentato vertiginosamente
in un tempo relativamente breve.
Basti pensare che, nonostante un aumento degli investimenti sul settore della sicurezza
informatica dell’8% nell’arco dell’ultimo anno, si è registrato un incremento del 30% degli
attacchi.
È sbagliato pensare che i cybercriminali puntino solamente ad eseguire attacchi in grande
stile. Si può notare infatti come, a fianco di bersagli quali istituti governativi e bancari, siano
sempre più oggetto di attacchi informatici anche PMI e liberi professionisti come medici o
commercialisti. La filosofia della sicurezza dunque deve essere rivista tenendo conto che
nessuno può più considerarsi al sicuro se non prende le corrette precauzioni e non adotta un
atteggiamento proattivo nei confronti della sicurezza informatica.
Anche il modello di cybercriminale moderno si è evoluto. Sempre più spesso si sente parlare
ad esempio di cyber-hacktivisti: questi ultimi non perseguono come fine ultimo il guadagno
economico, ma eseguono le loro azioni in risposta a ideali politici o religiosi e puntano
dunque ad azioni che sono principalmente dimostrative (seppur anch’esse sono sovente
causa di danni economici non indifferenti) e sono volte ad ottenere visibilità a livello di mezzi
di stampa e di comunicazione. L’obiettivo invece di chi esegue un attacco per fini economici
non è direzionato verso grandi aziende o istituti governativi, ma proprio verso la piccola e
media imprese e verso i liberi professionisti. Questo avviene principalmente per due motivi.
Il primo è legato alla rilevanza che viene data alla sicurezza all’interno dell’azienda. Sia per
motivi interni che per motivi di aderenza alla legislazione nazionale, la maggior parte delle
grandi aziende è dotata di dispositivi di sicurezza e di monitoraggio che rendono più
complicato portare a buon fine un attacco informatico. È evidente invece che in
un’infrastruttura in cui i dispositivi di sicurezza non sono monitorati in modo continuativo, o
in casi estremi sono addirittura assenti, risulta più semplice ed efficace portare a termine
un’azione di intrusione e di furto di dati.
Il secondo motivo riguarda la presenza di soluzioni di disaster recovery e di backup.
L’assenza di tali soluzioni è il terreno più fertile per gli attacchi di tipo ransomware che si
stanno diffondendo a macchia d’olio negli ultimi mesi. Questa tipologia di attacchi non
richiede un livello di preparazione tecnica molto approfondito e si sta evolvendo e raffinando
sempre più. Il metodo di diffusione più comune è quello dell’email, che viene camuffata ad
arte per assomigliare ad esempio ad una fattura o ad un ordine di un potenziale cliente. Il fine
dell’attaccante è quello di indurre l’utente ad eseguire il download dell’allegato presente sulla
mail ricevuta, in modo tale da poter eseguire l’installazione del virus sulla macchina target.
Una volta installato, il ransomware esegue una cifratura di quanti più file riesce a infettare,
includendo non solo la macchina locale su cui è stato scaricato, ma anche le eventuali cartelle
condivise. Per ottenere la chiave di decifrazione la vittima deve pagare un riscatto,
solitamente sotto forma di Bitcoin, la moneta digitale utilizzata sempre più dai cybercriminali

per le transazioni di questo genere, in quanto difficilmente rintracciabili. L’unico metodo per
proteggersi da questi attacchi è avere a disposizione una soluzione di disaster recovery o di
backup aggiornate. In poco tempo può essere eseguito il ripristino dei file danneggiati e la
minaccia può essere scongiurata. Se tuttavia queste soluzioni non sono a disposizione, l’unico
modo per recuperare i propri dati (o i dati personali dei propri clienti) è quello di pagare il
riscatto: è dunque evidente che un attaccante che vuole avere un’alta percentuale di successo
punterà la sua attenzione verso chi difficilmente adotta soluzioni di questo tipo e non può
permettersi di perdere dati (basti pensare alle cartelle cliniche di un medico o ai dati di
commercialisti ed avvocati).
La prevenzione di un attacco informatico parte dunque dalla consapevolezza che possiamo
esserne vittima in qualsiasi momento. La domanda che dobbiamo porci non dev’essere più
“Posso essere vittima di un attacco?”, ma “Quando sarò vittima di un attacco informatico?”.
Da questo scaturisce tutto ciò che riguarda il processo di valutazione del rischio e delle
vulnerabilità a cui è esposto il sistema informatico di un’azienda. Spesso l’attenzione è rivolta
più alla sicurezza fisica che a quella informatica, mentre si dovrebbe tener conto che
nell’attuale era digitale il livello di transazioni, comunicazioni, visite ed altre attività (anche
criminali!) si sta spostando sempre più verso l’astratto mondo di Internet.
Facendo un paragone potremmo dire che, come nessuno uscirebbe di casa lasciando la porta
d’ingresso aperta, così nessuno dovrebbe lasciare la propria infrastruttura informatica senza
alcun strumento di protezione, sia esso un semplice firewall o uno strumento più avanzato. E,
similmente, come può risultare utile installare un antifurto o una soluzione di
videosorveglianza, allo stesso modo deve essere presa in considerazione una possibile
attività di controllo e monitoraggio H24 dell’infrastruttura che raccoglie i dati digitali
dell’azienda.
La parte tecnologica e di processi non è tuttavia l’unica da prendere in considerazione
quando si tratta di sicurezza. Come in tutte le cose che ci riguardano, a svolgere un ruolo
fondamentale infatti è la parte umana. Risulta dunque di particolare importanza impartire
una corretta formazione al personale che si avvale dell’utilizzo di dispositivi informatici.
Nonostante adozione all’interno di un’azienda di strumenti tecnologici e processi per la
riduzione del rischio, è l’utente l’attore che può determinare la buona riuscita di un attacco, a
seconda che abbia sviluppato o meno la capacità di riconoscere e distinguere una mail
malevola.
Bisogna tuttavia sottolineare che le attività di prevenzione non forniscono garanzia di
immunità da un attacco informatico: nonostante tutte le precauzioni adottate, rimangono
comunque margini per un attaccante particolarmente abile o motivato di riuscire a superare
le misure di sicurezza messe in piedi.
Entra in gioco dunque la capacità di riconoscere un attacco e di essere in grado di dare
un’adeguata risposta all’attacco in corso. Non è facile infatti rilevare la presenza di un’attività
malevola in corso se non si è dotati di strumenti adeguati. Mentre un attacco di tipo
ransomware è facilmente individuabile e riconoscibile, altre tipologie di attacco possono
risultare meno evidenti e dunque di difficile rilevazione. Basti pensare che il tempo medio di
rilevazione di un attacco informatico varia dai 98 ai 197 giorni e che un attacco viene
riconosciuto correttamente solamente nel 25% dei casi.

Questi dati evidenziano come la fase di riconoscimento possa risultare difficile, soprattutto
quando si tratti di APT (Advance Persistent Threat), tipologia di minaccia sempre più
utilizzata. Questo genere di attacco evidenzia anche una seconda caratteristica dei
cybercriminali moderni: la pazienza. Mentre un tempo si cercava di ottenere “tutto e subito”
oggi l’attaccante sa attendere il momento adatto per sferrare l’attacco ed è proprio questo
aspetto a caratterizzare i malware APT. Vengono infatti inseriti nel sistema sfruttando
vulnerabilità note e restano poi dormienti, fino a quando l’attaccante non ottenga
informazioni sufficienti per portare a termine la sua attività. È proprio questa la caratteristica
che li rende così difficilmente rilevabili: non eseguendo attività alcuna, o eseguendo
comunque azioni che gli antivirus non riconoscono come malevole, questi malware riescono
a rimanere nascosti permettendo all’attaccante di prenderne il controllo ogni qual volta lo
desideri, sfruttando questo punto d’ingresso per eseguire altre attività sul target designato.
È chiaro dunque che i metodi di riconoscimento di queste tipologie di infezioni devono essere
per forza di cose molto avanzati, in quanto molto spesso la signature analysis fornita dagli
antivirus (ovvero l’analisi della firma del file per verificarne la presenza all’interno di un
database di virus noti) non è efficace. Questo perché il malware viene confezionato ad hoc per
il target in questione, ed è quindi sempre diverso da un’installazione all’altra. Per la
rilevazione di questi attacchi è dunque necessaria un’analisi del traffico che eseguito dalle
postazioni per evidenziare contatti con l’attaccante. Per controllare il malware l’attaccante
infatti deve forzatamente eseguire delle connessioni verso la macchina che lo ospita. Tramite
appositi strumenti di monitoraggio, queste attività anomale possono essere isolate e
segnalate al team tecnico, che può dunque procedere ad un’analisi approfondita della
macchina in questione al fine della rilevazione del malware.
La prevenzione e la rilevazione successiva di attacchi informatici eseguiti verso
un’infrastruttura risultano dunque essere elementi fondamentali per poter affrontare in
modo adeguato i pericoli derivanti dal cybercrime.
Partendo dalla considerazione che le tipologie di attacco sono molteplici e in continua
evoluzione, è evidente che individuare una strategia unica o delle best practice generali in
grado di indirizzare correttamente le attività risulta essere particolarmente complicato, oltre
che rischioso: l’eterogeneità della situazione esterna fa sì che tali regole generaliste possano
risultare di scarsa applicabilità ed efficacia nei confronti di un attacco mirato e ben
strutturato.
Si possono tuttavia individuare delle “buone pratiche” di sicurezza che, relazionate alle
diverse tipologie di attacchi più frequenti, aiutano a ridurre il rischio (che non potrà
comunque mai essere eliminato) di cadere vittime di un cyber attacco.
Attacchi più comuni nel corso del 2016
 Phishing e spear phishing: questa tipologia di attacchi viene solitamente da
un’attività di social engineering, volta a sfruttare abitudini, comportamenti e
vulnerabilità del target. Mentre l’attività di phishing avviene solitamente tramite
“campagne” di mail più semplici da riconoscere ed individuare (a causa anche di errori
di ortografia o traduzioni imprecise), le attività di spear phishing sono altamente
targettizate e ritagliate ad hoc sulla vittima dell’attacco. In questo caso l’attività di
pianificazione e tempismo svolge un ruolo fondamentale e permette all’attaccante di

camuffarsi al meglio, fingendo di essere un cliente piuttosto che un fornitore, e
inducendo l’utente che riceve la mail a eseguire azioni malevole senza rendersene
conto. In generale alcune buone pratiche da seguire per ridurre il rischio di attacchi di
phishing sono le seguenti:
1. All’apertura di una mail che non si riconosce o non si attende, evitare di
cliccare sul contenuto.
Di per sé, il testo di un’email non è mai pericoloso. Il vero pericolo si nasconde
dietro collegamenti e allegati. Questi ultimi sono responsabili della maggior
parte delle infezioni nella posta. Prima di compiere qualsiasi azione è
importante controllane l’aspetto generale.
2. Valutare il mittente, controllando l’intestazione e la parte successiva alla
@: dovrebbe corrispondere al sito web del mittente. Se non è così
probabilmente non viene dall’azienda in questione. Il campo del mittente
tuttavia può essere agevolmente camuffato (email spoofing).
3. Diffidare dalle email che mettono fretta: sembrano arrivare dalla propria
banca, azienda o social network. Comunemente il messaggio è allarmistico e
del genere: "verifica il tuo account" oppure "rispondi entro 48 ore".
4. Porre attenzione alla forma dell’email: deve essere scritta correttamente,
senza errori grammaticali, e deve contenere immagini in buona definizione.
5. Prestare attenzione ai link: basta passare con la freccia del mouse sul link
senza cliccare per controllare che il link sia originale e che corrisponda al sito
web ufficiale. In generale è bene diffidare delle mail che contengono nel corpo
solo una riga con un link.
6. Controllare l’attendibilità del sito a cui l’email rimanda: in caso di dubbi,
si può verificarne la sicurezza su siti come www.virustotal.com per scoprire se
il link su cui si sta per cliccare è pericoloso o meno.
7. Attenzione agli allegati: di solito gli antivirus, i browser più sicuri e le
applicazioni di posta elettronica eseguono i controlli necessari, ma alcuni
contenuti malevoli non vengono rilevati. Può risultare utile osservare
l'estensione dell’allegato per verificare che non sia doppia (ad esempio
.pdf.exe).
 Attacchi brute force: consistono nel tentativo da parte di un hacker di indovinare,
tramite un processo di trial and error, la password o il pin di un dispositivo. Questi
tentativi vengono solitamente eseguiti da software che si appoggiano su database di
password comuni. Anche in questo caso è possibile però essere vittima di attacchi
mirati: molti di questi software infatti eseguono tentativi non solo su password note,
ma anche su possibili combinazioni di lettere e numeri basate su degli input forniti
dall’attaccante. Conoscendo elementi come nome, cognome, data e luogo di nascita o

altre informazioni sulla persona di cui vuole scoprire la password, può utilizzarle
come base di partenza per il tool automatico, che genera diverse possibili
combinazioni. Il successo di questi attacchi si basa sulla capacità di calcolo della
macchina che esegue l’attività (semplificando: quante password al secondo può
generare) e sulla robustezza delle password dell’utente. Buone pratiche per ridurre il
rischio di subire un attacco di questo tipo sono le seguenti:
1. Usare password che non contengano informazioni personali
2. Limitare i tentativi di login falliti
3. Utilizzare password “forti”
4. Non scrivere le password su carta, ma utilizzare gli appositi tool di salvataggio
delle password cifrati
5. Non utilizzare la stessa password per servizi diversi
Può sembrare strano, ma le password più comuni nel 2016 sono ancora “123456”,
“password” o “qwerty”…
 Attacchi di Denial of Service (DoS): un attacco di tipo Denial of Service coinvolge
solitamente una o più macchine attaccanti (attacco DoS distribuito). Il cyber
attaccante prende il controllo di alcune macchine, chiamate zombie, le quali eseguono
un elevato numero di richieste verso la macchina target, rendendola indisponibile ed
andando quindi a rendere impossibile la fruizione dei servizi erogati. Può accadere
che la stessa macchina sia coinvolta in entrambe le fasi dell’attacco, ovvero diventi uno
zombie e sia la destinazione finale del DoS. Sono varie le metodologie utilizzate per
prendere il controllo delle macchine: può trattarsi dello sfruttamento di vulnerabilità
note, oppure dell’installazione di un malware tramite un link o una mail malevoli. Il
riconoscimento di un attacco DoS e la sua prevenzione richiedono strumenti di
monitoraggio del traffico di rete specifici, in grado di individuare anomalie sul traffico
in entrata o in uscita dalla rete aziendale, in modo tale da stroncare sul nascere
possibili tentativi di attacco.
 Attacchi man in the middle: consistono nell’intercettazione da parte dell’attaccante
della comunicazione legittima in corso tra due attori. Tramite diverse tecniche, che si
differenziano attraverso la tipologia di connessione in corso, l’attaccante osserva lo
scambio di informazioni tra le due parti, e al momento più opportuno si sostituisce a
una delle due per ottenere quanto desidera.
Un classico esempio di questa tipologia di attacco, che sta mietendo sempre più
vittime anche in Italia, viene denominato man in the mail: a seguito della violazione
dell’account di posta di uno dei due attori coinvolti, l’attaccante è in grado di assistere
alle conversazioni email. In questo modo egli può carpire quante più informazioni
sulle persone coinvolte e al momento opportuno sostituirsi ad una di esse in maniera
esemplare. Questo avviene solitamente poco prima di una transazione di denaro: il
cyber attaccante si sostituisce dunque all’effettivo destinatario del pagamento e
richiede che il bonifico venga eseguito su un IBAN apposito, diverso dal solito o da
quello precedentemente comunicato. Evidentemente l’ignaro pagante non può sapere

che tale comunicazione sta arrivando da una persona diversa da quella reale, tanto più
perché l’attaccante cerca in tutti i modi di dissuadere dal contatto telefonico,
adducendo scuse come riunioni, viaggi o altre problematiche. La maggior parte delle
volte dunque il pagamento viene eseguito e il cyber attaccante si dilegua prima di
poter essere individuato.
L’unico modo per evitare il verificarsi di tali truffe è chiedere una conferma certa da
parte del ricevente e in caso di dubbi stoppare l’attività di bonifico.
 Minacce dall’interno: va tenuto nella dovuta considerazione il fatto che l’attenzione
agli attacchi informatici deve necessariamente essere rivolta non solo verso l’esterno,
ma anche verso l’interno dell’azienda. Un dipendente particolarmente motivato
potrebbe creare un danno molto maggiore rispetto a quello di un cyber attaccante,
vista la sua conoscenza dell’infrastruttura e degli asset aziendali. Per comprendere
pienamente questo, può essere utile soffermarsi su un caso realmente accaduto,
relativo ad un’azienda con sedi produttive e commerciali in diversi paesi del mondo,
operante con successo in una specifica nicchia di mercato. Notando una consistente
flessione delle vendite in temi brevi e la contemporanea ascesa nel mercato di un
nuovo concorrente, la Direzione cominciò a interrogarsi sui possibili motivi. L’esito di
un’indagine interna portò ad individuare alcuni comportamenti non appropriati di un
responsabile commerciale, che venne allontanato dall’Azienda. Poiché i prodotti offerti
dal nuovo competitor presentavano caratteristiche molto somiglianti a quelle dei
propri, l’Azienda decise di approfondire ulteriormente le indagini per individuare altri
possibili coinvolgimenti. Venne così eseguita, nel rispetto dei vincoli imposti dalla
normativa sulla privacy, l’analisi forense su pc e smartphone aziendali concessi in uso
al responsabile commerciale allontanato. Dall’analisi dei dati, cancellati dall’utente ma
recuperati mediante particolari tecniche forensi, emerse che l’utente in questione
agiva per conto dell’azienda concorrente, disponendo addirittura di un indirizzo di
posta ufficiale. Dall’analisi dello scambio di email emersero collegamenti tra il
responsabile allontanato e altri tre responsabili tecnici dell’Azienda, a loro volta
quindi allontanati. In accordo con la direzione, si avviò l’analisi forense di tutti i
dispositivi informatici aziendali (pc desktop, pc portatili, tablet, smartphone) dati in
utilizzo alle persone allontanate, al fine di meglio circostanziare il livello del loro
coinvolgimento.
L’esito delle analisi fu decisivo e sorprendente allo stesso tempo. L’analisi infatti non
fornì solo ulteriori e pesantissimi dettagli sul coinvolgimento degli utenti individuati,
ma delineò uno scenario di “azienda nell’azienda”, nel quale il responsabile
commerciale inizialmente allontanato e i 3 responsabili tecnici successivamente
individuati svolgevano un ruolo centrale di coordinamento. L’analisi mise altresì in
luce il coinvolgimento di ulteriori figure aziendali presenti in un’importante sede
estera e l’appoggio di alcuni fornitori compiacenti.
In funzione di queste evidenze, l’azione di analisi fu estesa con le medesime modalità a
tutte le sedi estere interessate, permettendo di arrivare a determinare il complesso
reticolo di persone coinvolte e le relative responsabilità.
Su indicazione di esperti informatici, l’azienda cominciò a muoversi su più fronti,
partendo immediatamente dalla revisione del regolamento sull’utilizzo dei beni
informatici aziendali, che risultava in certi punti carente e dava quindi spazio a utilizzi

non conformi. L'azienda avviò inoltre diversi progetti organizzativi e tecnologici per il
miglioramento delle procedure di controllo degli accessi ai dati riservati, che prima
della vicenda non erano stato oggetto di sufficiente attenzione, ponendo a serio rischio
l’azienda stessa.
Un’adeguata prevenzione degli attacchi risulta dunque di fondamentale importanza in
qualsiasi infrastruttura, sia essa un’istituto bancario o una piccola impresa, al fine di
garantire a sé stessi e ai propri clienti la capacità di mantenere l’integrità, la confidenzialità e
la disponibilità di dati sensibili e personali e di informazioni strategiche.
Marco Iavernaro
SOC team leader gruppo Yarix
marco.iavernaro@yarix.com

Verso un mondo senza password
E’ sempre più difficile memorizzare password sicure. I sistemi diventano complessi ma
il cervello umano è sempre lo stesso. Ecco le soluzioni del futuro
L’utilizzo delle password ha radici militari e finanziarie: dagli accampamenti militari di epoca
romana ai banchieri fiorentini, il loro utilizzo era molto simile a quello odierno, ovvero
verificare l’identità di una persona.
Oggi, nonostante si siano aggiunte complesse sovrastrutture digitali, il principio è medesimo:
l’amministratore di un computer o il titolare di un conto bancario vengono riconosciuti
attraverso una password, la quale sblocca automaticamente i servizi correlati.
Le password sono sempre state uno strumento controverso, in quanto la loro segretezza è
allo stesso tempo punto di forza e debolezza. Idealmente dovrebbe essere non intuibile, facile
da ricordare anche se non si usa per molto tempo, adatta al contesto in cui la si utilizza.
Una password troppo semplice può facilmente diventare preda di persone non autorizzate,
mentre una troppo complessa può essere difficile da ricordare o digitare, generando perdite
di tempo e produttività.
Se cinquant’anni fa questo problema era di spie, crittografi e gradi più elevati dell’esercito,
oggi chiunque deve ricordarsi svariate password, necessarie per avere il controllo di ciò che
digitalmente gli appartiene. Se escludiamo il denaro contante nelle tasche e qualche mazzo di
chiavi, nel mondo attuale è pressoché tutto.
Questo espone ciascuno a tre problemi principali:
 Il valore che le password devono proteggere è in crescita
 Il numero di password da ricordare è in crescita
 La capacità dei computer di scoprire una password è in crescita esponenziale
Sul primo punto le password custodiscono sia le risorse finanziarie, per esempio servizi di
home banking e bancomat, sia ricordi e aspetti della vita privata che tramite servizi cloud
sono diventati accessibili ovunque (ma anche da chiunque ne conosca la password).
Password che custodiscono risorse a tutti i livelli, dall’utente meno esperto che salva le foto
dei propri gattini all’amministratore di sistemi energetici e difensivi critici per interi Paesi.
Il secondo punto riguarda la frammentazione delle identità e dei servizi ad esse correlati.
Social network, caselle di posta elettronica, siti e-commerce, community e app richiedono
l’inserimento della propria email e la definizione di una password, la quale in moltissimi casi
è scelta dall’utente tra un gruppo ristretto di alternative, al limite variata con “permutazioni”
di lettere o numeri. Nel lungo periodo, avallando la tesi di oltre 200 account pro capite1, è
impensabile che gli utenti non facciano uso della stessa password su più sistemi, o le
annotino su supporti più o meno sicuri per poi recuperarle al momento opportuno. Sebbene
la tecnologia offra già soluzioni efficaci (casseforti di password sullo smartphone o sistemi di
“single sign on” tramite Facebook o Google) il rischio è la concentrazione in un punto singolo:
in America viene pragmaticamente chiamato “single honeypot” ovvero il singolo vaso di
1 Guillaume Desnoës, “How will we manage 200 passwords in 2020?,” ITProPortal, September 13, 2015,
www.itproportal.com/2015/09/13/how-will-we-manage-200-passwords-in-2020/

miele che tanto più diventa grande, tanto più è appetibile dai malintenzionati.
Pertanto da un lato si concentrano i punti dove le password vengono custodite, dall’altro vi è
un’altissima probabilità che la stessa parola chiave venga poi utilizzata su sistemi più
importanti e meglio protetti, dalla banca alle applicazioni aziendali.
Linkedin è stato solo l’ultimo di una serie molto lunga2.
Il terzo punto è ancor più inevitabile: la legge di Moore nel 1965 stabiliva che il numero di
transistor integrabili all’interno di un chip potesse raddoppiare ogni dodici mesi. Oggi il ritmo
è leggermente calato (siamo a 18 mesi) ma la diffusione di smartphone e internet a banda
larga ha portato ovunque, e in modo non controllabile, questa potenza di calcolo.
Uno studio di dieci anni fa (nel 20063) stima che una password di 8 caratteri potesse essere
individuata in circa 77 giorni compiendo un attacco di tipo brute force, ovvero combinando
tutti i caratteri digitabili da una comune tastiera. Per questo motivo oggi si richiedono
maiuscole, minuscole, caratteri speciali e numeri.
Ma non è sufficiente: il nostro cervello si è dovuto evolvere per sopravvivere alla savana
come primati evoluti, non per evitare che computer sempre più sofisticati fossero in grado di
indovinare cosa stesse pensando. Infatti secondo lo stesso studio molto difficilmente
riusciamo a ricordare password più lunghe di 9 caratteri, con eccezioni che si fermano a
parole di 5 caratteri.
Il risultato tende al catastrofico: il nostro cervello non può più ricordare password
abbastanza sicure, queste servono in numero sempre maggiore e devono proteggere
informazioni sempre più preziose.
In soccorso arrivano tecnologie di vario genere, le quali concatenate alla password
permettono di avere uno “strato” aggiuntivo di autenticazione, garantendo innanzitutto meno
notti insonni ai responsabili di sicurezza delle aziende più esposte ad attacchi informatici.
Il metodo più comune, la “one time password”, consiste in un pin temporaneo spedito via SMS
o mostrato sul display di strani portachiavi che le banche (o grandi multinazionali) ci fanno
usare per fare bonifici o avere accesso alla rete intranet aziendale.
Seguono sistemi di biometria, spesso abbinati a smart card, i quali utilizzano l’impronta
digitale per riconoscere l’utente e garantire l’accesso. In questo caso il DNA e il possesso di
una tessera neutralizzano il furto della sola password, costringendo l’autore di un possibile
attacco ad ottenere la prossimità del bersaglio.
A questo complesso intreccio di processi vengono sovrapposte piattaforme di behavioral
authentication, ovvero metodi che analizzano il contesto e il comportamento dell’utente
prima di garantire l’accesso. Utilizzare un computer nuovo, connettersi da un Paese per la
prima volta, sbagliare un po’ troppe volte la password e immettere un codice OTP errato sono
tutti segnali che i sistemi attuali interpretano come probabile aggressione, bloccando
temporaneamente l’accesso.
In ogni caso il viaggio si è compiuto solo a metà: ricordarsi le password è diventato sempre
più difficile, come è sempre più difficile fornire fattori di autenticazione aggiuntivi (impronta
digitale, pin temporaneo) i quali tendono a moltiplicarsi insieme alle piattaforme a cui
dobbiamo avere accesso. La biometria, applicata a dispositivi personali e indossabili,
potrebbe in parte risolvere questo problema sempre più grande, sebbene l’assenza di
2 http://money.cnn.com/2016/05/19/technology/linkedin-hack/
3 Hossein Bidgolli, editor, Handbook of Information Security (Hoboken, NJ: John Wiley & Sons, 2006), p. 433

segretezza apre scenari ancor più inquietanti: chi colleziona e custodisce i dati biometrici per
attestarne la validità e sbloccare l’accesso? E chi difende questi sistemi da attacchi informatici
volti a rubarli o manometterli?
La risposta è nella decentralizzazione delle infrastrutture di identificazione, ma questa è tutta
un’altra storia.
Stefano Pepe
Founder & CEO presso UniqId Inc
pepe@uniquid.co

Non aprite quella porta
La dissimulazione disonesta: l’ingegneria sociale
Non importa di quali tecnologie di sicurezza sia dotata la tua azienda, l’investimento in
soluzioni all’avanguardia potrebbe essere inficiato dal comportamento di un solo utente,
manipolato con un attacco di ingegneria sociale.
Il social engineering costituisce una minaccia temibile per le reti più protette. È l'attacco più
potente, perché non esiste alcuna tecnologia che permetta di prevenirlo o di difendersi. Per
esserne immuni è necessario essere addestrati.
In cosa consiste la minaccia più difficile da cui proteggersi? L’ingegneria sociale è in generale
l’arte di indurre le persone a compiere determinate azioni dissimulando il reale obiettivo
dell’attacco. L’ingegnere sociale è abile a mascherare la propria identità, fingendosi un'altra
persona: in tal modo, attraverso la conversazione o altre interazioni, riesce a ricavare
informazioni che altrimenti non otterrebbe.
In ambito security il social engineering viene utilizzato come metodo di intrusione e spesso
l’attività di social engineering è strettamente collegata a quella di phishing. L’evoluzione del
cybercrime negli ultimi anni evidenzia la tendenza all’utilizzo congiunto di tecniche avanzate
di malware e social engineering per lanciare attacchi sempre più sofisticati e difficili da
prevedere o rilevare, tali da provocare danni ingenti e a volte irreparabili ai sistemi di
sicurezza aziendali, con conseguenti perdite economiche, perdita di dati sensibili e
informazioni strategiche, danno alla reputazione.
Tra le principali cause di vulnerabilità delle aziende, in cima alla classifica si posizionano i
comportamenti inconsapevoli e la distrazione delle persone. Si stima che ben due terzi degli
attacchi non vengano neppure rilevati, tanto sono diventati abili i criminali informatici nello
sfruttare le lacune nella sicurezza per eludere i controlli e nascondere le attività dannose.
Sempre più spesso i malware sono presenti nel computer della vittima in modo silente e,
senza essere rilevati dagli antivirus, trafugano informazioni strategiche, sabotando e
danneggiando i sistemi.
Per capire meglio l’attacco di ingegneria sociale è necessario soffermarsi brevemente sul suo
fondamento. L’ingegneria sociale utilizza infatti strategie psicologiche che permettono di
bypassare i processi razionali dell’individuo, facendo leva su alcuni tratti caratteristici del
comportamento umano. Tale metodologia, certamente non nuova e alla base oggi anche delle
più efficaci strategie di marketing, è stata oggetto di studi approfonditi a partire dagli anni
ottanta. Semplificando, le tendenze di base del comportamento umano sfruttate
dall’ingegnere sociale sono:
 altruismo: l’uomo è naturalmente portato ad aiutare un proprio simile in modo
disinteressato se prova empatia nei suoi confronti e se l’aiuto che gli dà non ha per lui
costi troppo elevati
 authority: le affermazioni fatte da persone autorevoli sono maggiormente
persuasorie
 coerenza: mantenere una immagine coerente ha una funzione tranquillizzante nei

confronti di chi ci osserva perché non costringe ad una nuova valutazione
 liking: le persone più attraenti sono spesso le più persuasive
 reciprocità: quando viene offerto qualcosa che non si è richiesto, si è spinti a
ricambiare in qualche modo il favore che ci è stato fatto
 scarsità: un’opportunità poco disponibile è senz’altro più appetibile rispetto ad
un’altra per la quale non sussistono limitazioni
 validazione sociale: se un pensiero, un comportamento o un modo di essere è
condiviso da un buon numero di persone, verrà facilmente percepito come una buona
alternativa da seguire
Se passiamo ora a considerare l’ingegneria sociale applicata alle intrusioni in un sistema
informatico, possiamo comprendere meglio i principali canali di attacco.
Si possono distinguere due grandi categorie: attacchi basati sulla sola interazione fra esseri
umani e attacchi che sfruttano un computer come mezzo.
Fra gli attacchi della prima categoria rientrano strategie come l’impersonare qualcuno per
trarre vantaggio dal ruolo simulato: lo spacciarsi ad esempio per una persona importante è
utile al fine di intimorire l’interlocutore facendogli abbassare le difese; oppure fingersi del
supporto tecnico può servire a carpire informazioni riservate o accedere fisicamente al
computer vittima. Altre tecniche da non sottovalutare, anche se a prima vista più banali, sono
lo shoulder surfing (ossia sbirciare inosservati password o altre informazioni, posizionandosi
solitamente alle spalle della vittima ignara) oppure il dumpster diving, ossia il recupero di
materiale dall’immondizia.
Nella seconda categoria rientrano invece tutti gli attacchi software based come phishing e
spear phishing, baiting (pensiamo ad esempio all’abbandono ad arte di chiavette USB o cd in
modo da stimolare la curiosità della vittima) e lo scam (o truffa online).
Il phishing è un tipo di attacco con cui i criminali informatici inviano messaggi email a
migliaia di potenziali vittime in tutto il mondo con l’obiettivo di perpetrare una frode.
Normalmente questi messaggi sembrano provenire da una fonte di cui si ha fiducia, come ad
esempio la banca. Le email possono contenere un link che conduce ad un sito progettato per
infettare il computer dell’utente oppure un allegato infetto che, una volta aperto, tenterà di
prendere il controllo del computer. Più persone sono destinatarie dell’email, più alto sarà il
numero delle vittime.
Nello spear phishing il concetto è il medesimo: l’attaccante invia un’email alla sua vittima
fingendosi un’organizzazione o una persona di cui la vittima ha fiducia. A differenza del
phishing tradizionale, i messaggi di spear phishing sono estremamente mirati: destinatari ne
sono, anziché migliaia di vittime potenziali, un gruppo ristretto, precedentemente oggetto di
analisi fondate su ricerche. In questo modo la possibilità che i destinatari cadano vittime della
truffa aumenta enormemente.
Come si viene infettati? Vi sono alcune situazioni tipicamente sfruttate dal social engineer.
Possono a prima vista sembrare attacchi di poco conto, ma il danno che può derivarne a volte
è ingente. Pensiamo al furto di credenziali o al download di codici maligni, che può portare
anche al controllo della macchina dell’utente.
I criminali sfruttano il web per creare siti trappola contenenti malware, a cui le vittime

vengono indirizzate attraverso post diffusi ad arte sui canali social o link inviati con email.
Vediamo quali sono le situazioni sfruttate:
 Notizie a grande diffusione: siano esse legate al lancio di un prodotto o servizio
molto atteso, oppure ad un incidente o una catastrofe naturale, qualsiasi evento che
genera clamore è un perfetto punto di partenza per creare una trappola.
 Celebrità e personaggi famosi: notizie, vere o false che esse siano, riguardanti
persone importanti e forgiate ad arte con l’uso del sensazionalismo, magari
promettendo la visione di un video o di foto esclusive, riescono a mietere un numero
elevatissimo di vittime.
 Truffe legate all’utilizzo dei social network: gli utenti vengono spesso spinti a
scaricare estensioni dannose per il browser con la falsa e allettante promessa di una
nuova funzionalità.
 False notifiche attraverso email: il più delle volte fanno leva sull’urgenza e il timore
delle conseguenze per indurre l’utente a reagire velocemente. Utilizzano contenuti
allarmanti per indurre a visualizzare un allegato infetto, inserire credenziali in una
pagina fasulla, oppure ancora effettuare un pagamento online. A volte si tratta
dell’invito ad installare un aggiornamento (come non ricordare i finti aggiornamenti di
Flash Player?) o falsi avvisi di infezioni per indurre ad installare un presunto antivirus.
Chi sono gli intrusori? Nella maggioranza dei casi si tratta di organizzazioni criminali che
mirano al profitto. In altri casi però le motivazioni possono essere diverse e riguardare la
sottrazione di dati utili, il conseguimento di un vantaggio competitivo, il desiderio di
vendetta. Accanto dunque alla criminalità organizzata, ci sono altri attori come hacker
solitari, con competenze e motivazioni di vario tipo, gruppi terroristici, hacktivisti, ma anche
organizzazioni commerciali (alcuni settori ad esempio prevedono incentivi economici a
fronte dell’acquisizione di dati personali) e insider. Questi ultimi spesso non hanno grandi
competenze tecniche, ma il loro accesso alle reti rappresenta un’opportunità allettante.
Come viene condotto un attacco di social engineering?
L’attività, se diretta su un target circoscritto, risulta strutturata in più fasi, che possono essere
così riassunte:
 Fase preliminare: in questa fase, definita footprinting, il social engineer si occupa
della raccolta delle informazioni sulla vittima necessarie per condurre l’attacco, quali
ad esempio indirizzi email, recapiti telefonici, numeri di fax, ecc. Questa fase è
complessa e può richiedere parecchio tempo, utilizzando molteplici fonti come ad
esempio informazioni reperite da siti web aziendali, profili di social networking,
documenti pubblici.
 Fase intermedia: in questa fase, non sempre presente nell’attività di social
engineering, l’ingegnere si occupa di verificare che le informazioni in suo possesso
siano attendibili. Dopo aver preparato una sorta di canovaccio con le informazioni
raccolte nella fase precedente e con le risposte ad eventuali quesiti che potrebbero
essere posti, per effettuare tali verifiche l’engineer cerca di entrare in contatto diretto
con la vittima o persone vicine. Lo strumento più utilizzato è senza dubbio la
telefonata, che viene effettuata utilizzando uno stile vocale adeguato e studiato ad hoc.
Al fine di raggiungere l’obiettivo, cercherà di entrare in sintonia con la vittima e
dimostrare una certa sicurezza nel caso in cui gli vengano poste delle domande.
 Fase finale: tale fase coincide con l’attacco vero e proprio, in cui si contatta la vittima

per reperire le informazioni desiderate (un classico esempio è rappresentato dalla
richiesta di username e password di autenticazione) con le scuse più disparate
(controlli sulla macchina o sulla casella di posta elettronica, assistenza remota, ecc.).
L’attacco viene condotto con tono accomodante e convincente, al fine di spingere
l’interlocutore a fornire le informazioni richieste. Se la vittima cade nella trappola, il
social engineer avrà raggiunto il suo obiettivo, ossia una breccia nel sistema
informatico della vittima, da cui potrà iniziare una fase di sperimentazione allo scopo
di violare il sistema stesso.
Risulta dunque di facile comprensione come il dipendente che si fidi ciecamente sia un anello
debole nella catena della sicurezza, con conseguente esposizione dell'azienda ad un rischio,
poiché con il suo comportamento può fornire agli hacker maggiori punti di ingresso.
La difesa più efficace contro il social engineering è la formazione e sensibilizzazione del
dipendente, che deve conoscere e saper applicare le politiche di sicurezza aziendali, essere
informato sui rischi legati al cybercrime e consapevole di come gli altri possano influenzare il
suo comportamento in senso negativo. È chiaro che la formazione deve comunque essere
supportata dall’utilizzo di strumenti software e hardware atti a prevenire gli attacchi di social
engineering. Risulta inoltre evidente che all’interno di una organizzazione la sicurezza
informatica deve coinvolgere tutti i reparti aziendali, oltre che i processi.
Bisogna considerare dunque che la sicurezza non è un prodotto ma un processo aziendale che
necessita di essere continuamente affinato e verificato per essere efficiente ed efficace.
Soltanto individuando i punti di possibile attacco di un sistema o di una infrastruttura ICT è
possibile porvi rimedio neutralizzando le minacce e le criticità.
In quest’ottica, per i team di sicurezza che sono preposti alla difesa e devono migliorare
costantemente l’approccio alla protezione delle loro aziende, può risultare utile pianificare
attività di social engineering da condurre sui dipendenti, con l’ausilio di società che offrono
questa tipologia di servizi. Due sono principalmente le motivazioni alla base delle richieste di
attività di social engineering con finalità di test: la volontà di verificare le reazioni del
personale qualora venga sottoposto ad attacchi esterni e la volontà di valutare il grado di
assorbimento da parte del personale dei contenuti dei corsi di formazione erogati, per
verificare l’effettiva comprensione e la capacità di darne attuazione. I test vengono preceduti
da una pianificazione dettagliata, sulla base delle informazioni iniziali fornite dal
committente e l’individuazione di specifici target. Gli scenari di test sono studiati su misura
per le policy e i processi specifici di ciascuna azienda o organizzazione.
Elena Vidotto
Marketing Manager Gruppo Yarix
elena.vidotto@yarix.com

L’uomo che sussurra alle macchine: l'analista dei dati nell'impresa
“Un giorno le macchine riusciranno a risolvere tutti i problemi, ma mai nessuna di esse
potrà porne uno”
Albert Einstein.
L'evoluzione delle minacce informatiche
Ogni giorno è possibile osservare un incremento inesorabile della complessità delle minacce
informatiche (Cyber Threats) ed il rispettivo aumento di efficacia. Tale complessità, che
sempre più’ spesso riesce a sfidare complessi sistemi di threat detection come per esempio
(ma non limitato a): AntiVirus Comportamentali, SandBox ed Exploiting Detectors, nasconde
un cambiamento epocale: la nascita delle Cyber Attacker Organizations.
Una delle principali informazioni da raccogliere al fine di creare un buon metodo di difesa
informatico (Cyber Defence) è comprendere chi sia il probabile attaccante. I processi, le
procedure e gli artefatti da utilizzare nel caso in cui gli attaccanti principali siano “Exploit
Kids” oppure attaccanti “opportunistici” sono assai differenti rispetto a quelli necessari per
contrastare attaccanti professionisti e/o organizzazioni strutturate.
La presenza di “Cyber Attack Organizations”, spesso finanziate da enti governativi ma anche
organizzazioni spontanee, aumentano notevolmente il grado di complessità delle nuove
minacce: ora sviluppate non solo da professionisti del settore ma da vere e proprie complesse
organizzazioni con dipartimenti di R&D e di sviluppo ad-hoc. La totale assenza di confini resa
possibile grazie ad Internet, amplifica l’economia di scala di tali organizzazioni al punto da
rendere ogni singola persona e/o “piccola media impresa” (PMI) potenziali vittime.
Questo scenario cambia radicalmente il processo di difesa: ogni organizzazione deve dotarsi
di strumenti di difesa preparandosi a subire attacchi professionali e non più’ semplicemente
opportunistici.
Il limite della macchina.
Il sistema macchina è - e con buona probabilità resterà - drasticamente efficace ad eseguire
compiti (task) di natura sempre più complessa. Alcune macchine avranno la capacità di
scegliere quale task attuare ed altre avranno la capacità di migliorare il proprio task in
funzione del numero di volte che esso verrà eseguito e di parametri esterni che potrebbe
percepire durante l’esecuzione dei propri “run” (fase di esecuzione di un task). Una logica
razionale e programmatica sarà, con alta probabilità, sempre il driver di tali scelte.
Proprio come Albert Einstein intuì all'inizio del 1900 (in questo articolo il concetto di
“macchina” prende il significato di: “sistemi automatizzati per l’individuazione delle minacce
informatiche”) la grandezza del sistema automatizzato è vincolata dal suo contesto e dal
metodo razionale con il quale esso è stato sviluppato. Una Cyber Attack Organization è
formata sia da automatismi che da esseri umani i quali hanno il compito di studiare,
attraverso un sistema non razionale (la mente umana), un metodo per evadere un sistema
razionale.

La dimostrazione di quanto scritto è alla luce di tutti e vede la propria massima espressione
nella realizzazione dei metodi di evasione da strumenti automatizzati come mostrato in
www.malwarestats.org.
L'intelletto umano ha pertanto portato alla generazione di attacchi informatici basati sul
polimorfismo, al fine di evadere signature statiche, sul metamorfismo al fine di evadere
signature comportamentali, metodi di evasione basati sul controllo di negazione (come per
esempio contattare un dominio non esistente), metodi di evasione basati sull'individuazione
di sistemi di emulazione, metodi di evasione basati sul controllo della presenza umana
(verifica periodica di click, scrittura, movimenti mouse, etc..), metodi di evasione basati sulle
performance del sistema (controllo di RAM e numero di CORE), etc. Per ogni metodo di
evasione un sistema automatizzato veniva creato al fine di intercettare e mitigare l’evasione
realizzata, parallelamente per ogni metodo di mitigazione e protezione automatizzato un
ulteriore step di evasione veniva studiata, realizzata ed utilizzata in nuovi attacchi.
Risulta pertanto chiaro che i sistemi attuali automatizzati non riescono a competere con
l’essere umano.
La grande complessità umana paragonata ai cyber threats
La capacità di percepire “piccoli segnali” è una delle più grandi doti non razionali dell’ essere
umano.
Prendiamo come esempio un classico attacco opportunistico realizzato da organizzazioni a
fine di lucro come per esempio: Bayrob v.2016 (noto Malware appartenente alla famiglia
BackDoor). Uno dei principali metodi di infezione fino all’inizio del 2016 era attraverso eMail
(successivamente viene propagato attraverso Angler Kit, noto Exploit Kit):
 Una email veniva recapitata alla vittima
 La vittima apriva un link il quale scaricava un file “eseguibile” (come per esempio: scr, exe, bat,
com, js)
 La vittima apriva il file scaricato e veniva infettata
Un attack path di questa natura ha “evaso” almeno 4 sistemi automatizzati di sicurezza come
per esempio: AntiSpam (download della email), Proxy (navigazione ed apertura link),
Antivirus (salvataggio del file “eseguibile”) ed ID/PS (callback del Malware al fine di
prelevare i comandi da eseguire sulla macchina vittima).
Nel migliore delle ipotesi i sistemi perimetrali hanno individuato un “piccolo rumore” ma non
sufficiente da avviare i tasks automatizzati di alerting e blocco del sistema.
Un Cyber Security Analyst (aiutato da tecnologie appositamente create per aumentare
l’efficacia come per esempio: il Cyber Security Defence Center) avrebbe avuto la possibilità di
analizzare tali “piccoli rumori” e di percepirne la gravità. Avrebbe avuto l'opportunità di
individuare la minaccia, di identificarla e di mitigare difendendo così il sistema protetto. Il
condizionale è d’obbligo nella irrazionalità umana, in quanto tale analisi dipende fortemente
dall’analista in questione e dalla sua preparazione personale. E’ per questo motivo che vi è la
necessità di avere un sistema di difesa ibrido formato da un una piattaforma appositamente

studiata e sviluppata al fine di guidare l'operato umano e di standardizzare gli artefatti al fine
di essere a totale supporto di cyber analyst opportunamente formati.
Cyber Augmented Analyst: analisti umani ed “aumentati” dall’ utilizzo di un Cyber Secuirty
Defence Center è la reale risposta alla difesa digitale in quanto viene associato il
determinismo di un sistema automatizzato alla capacità irrazionale di un essere umano nella
difesa di una organizzazione.
L’azione di risposta e la collaborazione nella difesa
La collaborazione, la condivisione ed il pensiero collettivo sono momenti di vitale importanza
nella risposta ai cyber attacks. Tanto più complessi diventano i Cyber Threats tanto maggiore
è la necessità di avere momenti di collaborazione al fine di effettuare una risposta efficace
all’attacco stesso. Tanto maggiore risulta essere la complessità di un'organizzazione tanto
maggiore è la necessità di avere un sistema flessibile non razionale alla guida (management)
della mitigazione e/o dell’azione di risposta all’attacco. Risulta naturale affermare che tali
momenti possono essere condivisi e vissuti da menti umane capaci di intuire attack vectors
realizzati attraverso “piccoli rumori” e capaci di interagire nel migliore dei modi con le
organizzazioni colpite.
La maggior parte delle attuali aziende è formata da sistemi informativi, sistemi automatici
(sistemi di domotica, macchine automatiche, sistemi di self-provisioning) e da esseri umani
alla guida di essi. L'organizzazione dell'azione di risposta ad un cyber attack e la sua
rispettiva “messa in opera” all'interno dell entità colpita deve essere gestita interamente da
esseri capaci di adattare i propri metodi e strutture in funzione dei processi dell’ entità
colpita al fine di intervenire sull’ incidente senza influire e/o modificare radicalmente l’ente
coinvolto (la risoluzione della minaccia deve essere meno “dolorosa” rispetto alla minaccia
stessa) e nel minor tempo possibile. Strumenti automatizzati per la gestione degli incidenti
risultano difficilmente adottabili sia da organizzazioni strutturate con metodi e processi
definiti che vedono stravolgere i propri metodi, sia da piccole organizzazioni non strutturate
che vedono imporsi formalismi e sovra-strutture superiori alle proprie reali capacità.
Conclusioni.
L’attuale complessità delle minacce informatiche, l’inesorabile incremento in frequenza e
l’aumento radicale della loro efficacia, mettono in totale discussione gli odierni paradigmi di
difesa. Contemporaneamente la naturale differenza strutturale tra organizzazioni proiettata
nella totale assenza di confini dell’ “informatica” evidenzia la necessità di avere esseri
autonomi specializzati nell individuare, identificare e contrastare minacce informatiche in
contesti differenti, avendo flessibilità e “capacità di contesto”. Oggi tali esseri sono meglio
conosciuti come: Cyber Analysts. Il limite operativo di un Cyber Analyst è nella sua capacità di
processare “grandi numeri”, per questo egli deve essere guidato attraverso un sistema
appositamente realizzato al fine di amplificare la sua irrazionalità e che offra la possibilità di
standardizzare l’ operato. Tale collaborazione “uomo-macchina” risulta di vitale importanza
al fine di garantire la migliore difesa possibile. E’ pertanto importante la giusta formazione di
un Cyber Analyst e l’utilizzo di un sistema (Cyber Security Defence) necessario ad offrire il
determinismo ed il razionalismo alla mente irrazionale, intuitiva ed investigativa di un Cyber

Analyst. Questo binomio “uomo-macchina” risulterà essere paragonabile e realmente
utilizzabile al contrasto delle minacce informatiche.
Marco Ramilli
Founder Yoroi
marco.ramilli@yoroi.company

15 best practice da adottare subito
La cybersecurity richiede formazione continua. Ecco le priorità
Ogni anno, entro il mese di febbraio, il Comparto Intelligence italiano presenta al Parlamento
una “Relazione sulla politica dell’informazione per la sicurezza” relativa alle attività svolte
durante l’anno precedente.
Ogni Relazione presenta anche un approfondimento sul tema della cyber-security e al suo
interno sono riportate delle interessanti statistiche sull’impatto del fenomeno sul tessuto
sociale italiano.
Stando a quanto si legge nella Relazione relativa al 20154, per quel che concerne la tipologia
di attori ostili, questi sono raggruppabili in cinque categorie, di cui la principale – solo per
percentuale di azioni svolte (47%) e non per grado di pericolosità – rimanda ai gruppi
hacktivisti. Significativa è anche la quota di attori non meglio identificati (35%), che trova la
sua ragion d’essere soprattutto nelle criticità poste dalla difficoltà di attribuire con certezza e
in tempi ragionevoli la responsabilità di un attacco informatico al suo autore materiale e/o al
reale mandante. Seguono, poi, gruppi professionisti dediti allo spionaggio digitale (17%), nel
quale sono coinvolti anche gruppi criminali specializzatisi negli ultimi tempi nell’esfiltrazione
di informazioni pregiate. Emergono, infine, i gruppi hacker islamisti (1%) con il ricorso a
tecniche tipiche dell’hacktivism.
Sul fronte dei soggetti privati5, invece, gli obiettivi principali sono quelli operanti nei settori
della difesa (18%), delle telecomunicazioni (15%), dell’aerospazio (12%) e dell’energia (3%).
4
Sistema di Informazione per la Sicurezza della Repubblica, “Relazione sulla politica dell’informazione per la
sicurezza 2015”, pag. 122, 2016, in https://www.sicurezzanazionale.gov.it/sisr.nsf/wp-
content/uploads/2016/03/Relazione-2015.pdf.
5
sicurezza 2015”, pag. 125, cit..

Significativo, altresì, il 3% registrato nei confronti del settore bancario, verso cui sono stati
impiegati i cd. banking trojan. Sotto la voce “altri settori” (34%), invece, la Relazione aggrega
tutte quelle realtà imprenditoriali – per lo più appartenenti proprio alla categoria delle
piccole e medie imprese – afferenti a molteplici classi merceologiche, i cui eventi cibernetici
assumono rilevanza statistica solo se analizzati in formato aggregato. La voce “società non
meglio precisate” (3%), infine, fa riferimento a quelle attività ostili condotte su larga scala
contro le risorse esposte su internet di una moltitudine indiscriminata di target.
Infine, in merito alle tipologie di attacco6, il 53% è costituito da software malevolo (malware)
specie nella forma dell’Advanced Persistent Threat (APT), impiegato non solo per finalità di
spionaggio, ma anche nell’ambito di logiche estorsive e di altre attività illecite di natura
predatoria. Da rilevare, inoltre, il crescente ricorso a tale strumento da parte anche dei
movimenti hacktivisti – oltre alla tecnica SQL Injection (20%) – per la sottrazione di dati da
riversare poi su Internet. Altra modalità largamente utilizzata in tale ambito è quella del
defacement di siti web (14%), mentre in calo risultano i Distributed Denial of Service (5%).
Valenza residuale, invece, assumono le attività prodromiche ad un attacco (5%) quali, ad
esempio, quelle di scansione delle vulnerabilità, di mappatura della rete del target e di
fingerprinting dei sistemi, ed i tentativi di attacco (3%).
6
sicurezza 2015”, pag. 126, cit..

Appare più che mai evidente, allora, che al di là degli obblighi minimi di sicurezza informatica
imposti dalle norme, proteggere le informazioni e i dati (personali e non) anche di una
piccola e media impresa rappresenta ormai un impegno imprescindibile e assolutamente
prioritario.
Tuttavia, la messa in sicurezza dei sistemi informatici e delle informazioni in essi contenute
raramente può essere vista come un processo sintetizzabile in pochi principi, men che mai
quando l’obiettivo è quello di renderli anche comuni per le esigenze di protezione di una
categoria così trasversale e variegata com’è quella delle piccole e medie imprese in Italia.
Ciononostante, alcune regole primarie ed essenziali possono essere comunque delineate e
poste alla base di un corretto approccio a questo genere di attività.
Le seguenti 15 best practice, dunque, devono essere considerate come meramente basilari e
ad altissima priorità per qualsiasi piccola e media impresa. Esse sono:
1. Predisporre una lista di applicazioni considerate affidabili e la cui installazione risulti
indispensabile per la produttività aziendale, impedendo l’installazione di qualsiasi
altro genere di software.
2. Configurare in maniera sicura tutto l’hardware e il software presente all’interno del
parco dei dispositivi aziendali, sia fissi che mobili (come, ad esempio, server,
workstation, router, switch, computer portatili, smartphone aziendali, ecc.).
3. Svolgere un’efficace ed effettiva politica di aggiornamento dei sistemi e di correzione
delle vulnerabilità sia del sistema operativo, che delle applicazioni, entro un arco
temporale ristretto e comunque non superiore alle 48 ore dalla pubblicazione di
ciascun aggiornamento di sicurezza (patch).
4. Disattivare l’account di amministratore locale e contestualmente limitare il più
possibile il numero degli utenti con i privilegi di ‘amministratore/root’ sia a livello
locale, che di dominio, obbligando, inoltre, questi ultimi ad usare account de-

privilegiati per le operazioni quotidiane (come la lettura di email e la navigazione in
Internet).
5. Configurare gli account degli utenti affinché abbiano i privilegi minimi richiesti per
eseguire le attività loro assegnate e, di conseguenza, possano prendere visione ed
utilizzare esclusivamente le informazioni e le risorse condivise dell’azienda utili allo
svolgimento della propria attività lavorativa.
6. Impostare per tutti gli utenti una politica di autenticazione attraverso password
complesse (non meno di 8 caratteri, alfanumeriche, con l’inserimento di almeno una
lettera maiuscola ed un carattere speciale), obbligandone la modifica ogni 3 mesi ed
impedendo l’utilizzo almeno delle 5 password precedentemente utilizzate.
7. Predisporre un’efficace difesa non solo del perimetro aziendale, ma di tutta la rete
attraverso strumenti informatici – software e/o hardware – volti ad analizzare e
proteggere in tempo reale il traffico di rete proveniente sia dall’interno che
dall’esterno dell’azienda, al fine di ricercare anomalie, attacchi e/o tentativi di accesso
non autorizzati (firewall, network-based intrusion detection/prevention system,
intrusion prevention system basati su machine learning).
8. Utilizzare su tutto il parco dei dispositivi aziendali – sia fissi, che mobili – sistemi di
analisi, identificazione e protezione in tempo reale degli accessi degli utenti, dello
stato dei sistemi informatici, dei programmi in esecuzione e del loro utilizzo delle
risorse (antivirus, workstation firewall e host-based intrusion detection/prevention
system).
9. Implementare specifici sistemi di protezione e stringenti politiche di sicurezza per
l’utilizzo delle e-mail e soprattutto degli eventuali file allegati, al fine di diminuire il
rischio d’infezione attraverso malware.
10. Impiegare sistemi automatizzati di analisi e filtro dei contenuti web, al fine di
impedire la visualizzazione e la navigazione di siti Internet inappropriati e/o
potenzialmente pericolosi per la sicurezza dei sistemi.
11. Predisporre un sistema centralizzato di raccolta, archiviazione e analisi in tempo reale
dei file di log, sia quelli generati dai sistemi informatici, che quelli originati dalle
attività di rete (file da conservare per almeno 6 mesi, come per legge7).
12. Prevenire l’uso non autorizzato e la trasmissione di informazioni aziendali riservate
attraverso specifiche politiche di information leak detection and prevention.
13. Adottare una politica di utilizzo e controllo quanto più stringente possibile in merito
all’utilizzo in azienda di supporti di memoria rimovibili (le cosiddette “chiavette USB”,
hard disk esterni, unità CD-ROM esterne, memory card, ecc.), nonché di applicazioni
utili alla trasmissione, elaborazione e archiviazione in remoto di informazioni (il
cosiddetto “cloud computing”), soprattutto se di terze parti.
14. Attuare un’efficiente politica di backup e di disaster recovery volta a prevenire
eventuali perdite di dati e ad aumentare il livello di resilienza dei sistemi informatici.
15. Avviare e protrarre nel tempo programmi di formazione del personale sull’utilizzo
degli strumenti informatici aziendali, sulla sicurezza informatica e delle informazioni,
nonché sulla privacy e la protezione dei dati personali.
Come evidenziato anche all’interno del “Quadro strategico nazionale per la sicurezza dello
spazio cibernetico”8, la protezione dello spazio cibernetico è un processo più che un fine e la
7
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI, “Misure e accorgimenti prescritti ai titolari dei trattamenti
effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”, 2008, in
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1577499.

continua innovazione tecnologica introduce inevitabilmente nuove vulnerabilità. E’ quindi di
fondamentale importanza che la sicurezza dei sistemi informatici delle PMI non sia intesa
come un mero costo, bensì come un vero e proprio investimento. Un processo in continua
evoluzione ed aggiornamento volto anzitutto a tutelare il business di quelle aziende che – nei
fatti – costituiscono da sempre la vera ossatura ed il motore dell’industria e dell’economia
italiana.
Stefano Mele
Avvocato – diritto delle tecnologie
Presidente gruppo Cybersecurity Camera di Commercio americana Italia
smele@carnelutti.com
8
PRESIDENZA DEL CONSIGLIO DEI MINISTRI, “Quadro strategico nazionale per la sicurezza dello spazio cibernetico”,
2014, in Sistema di Informazione per la Sicurezza della Repubblica, http://www.sicurezzanazionale.gov.it/sisr.nsf/wp-
content/uploads/2014/02/quadro-strategico-nazionale-cyber.pdf

Costruiamo in sicurezza l’industria 4.0
Il 4.0 riduce i costi e aumenta l’efficienza ma espone a nuovi rischi. Che vanno
prevenuti.
Il settore industriale è nel mezzo di una rivoluzione. La necessità di rendere più veloce e
flessibile la produzione ha portato alla quarta rivoluzione industriale, denominata anche
Industria 4.0 o Internet Industriale. Ogni componente del processo industriale, da una
macchina a controllo numerico ad un camion per il trasporto sono collegati ad Internet e
possono interagire tra di loro in modo automatico, aprendo possibilità fino a qualche anno fa
impensabili. Questo uso pervasivo e avanzato della tecnologia sta portando numerosi benefici
alle industrie, come la riduzione dei costi e l’aumento dell’efficienza; ma la maggiore
complessità e la completa interconnessione di ogni componente espone l’azienda a nuove
minacce e rischi.
Le minacce varia da organizzazioni criminali, interessate ad attività di Cyber spionaggio per
sottrarre proprietà intellettuale e segreti industriali, fino a organizzazioni governative
interessate a sabotare o prendere il controllo di impianti industriali. Oltre a queste minacce,
che prendono di mira specificamente il settore industriale, vi sono anche minacce generiche
che colpiscono sistemi connessi, indipendentemente da chi sia l’azienda: è il caso di codici
malevoli che colpiscono indiscriminatamente sistemi di qualsiasi genere.
Una reazione comune da parte degli imprenditori industriali è di considerare il Cyber come
un problema che non li riguarda. Molto spesso pensano che questa tipologia di minacce
riguardi le grandi aziende. Inoltre, spesso sono portati a pensare di essere immuni poiché
fino ad oggi non è accaduto nulla.
Purtroppo la situazione reale è molto differente: le aziende industriali, anche quelle non
ancora passate all’Industria 4.0, vengono colpite costantemente da attacchi informatici, che
però passano inosservati, non vengono rilevati. La maggior parte delle imprese non è
attrezzata con sistemi, piattaforme, servizi e competenze per poter rilevare e gestire
correttamente le violazioni Cyber. Queste vengono rilevate esclusivamente se producono
sintomi evidenti. Purtroppo la minaccia si è specializzata nel colpire le imprese non creando
segni evidenti. Se quindi non si dispone di capacità adeguate di sicurezza Cyber, l’azienda
subirà danni che non percepirà immediatamente. E’ una tipologia di minaccia molto simile al
monossido di carbonio: inodore e incolore, ma letale; è in grado di soffocare e portare
all’asfissia, così come il Cyber spionaggio, che indebolisce fino ad annullare il vantaggio
competitivo delle aziende.
Purtroppo le minacce stanno diventando sempre più sofisticate e anche aziende con un buon
sistema di protezione sono a rischio. Il 23 Dicembre 2015, quattro aziende Ucraine addette
alla distribuzione dell’energia elettrica sono state oggetto di un pesantissimo attacco,
proveniente quasi certamente da un gruppo affiliato ad un governo. Questo attacco ha
provocato blackout prolungati nel paese e non ha consentito alle quattro aziende di
riprendere ad operare normalmente per oltre venti giorni. E si trattava di aziende “Industria
3.0”, ovvero dove vi era un uso dell’IT negli impianti di produzione, ma non ancora una
connettività spinta come nel caso dell’Industria 4.0.

Nell’Industria 4.0 i rischi aumentano notevolmente per la combinazione di alcuni fattori.
Innanzi tutto, qualsiasi componente del sistema produttivo è collegata in rete. Ogni
dispositivo, macchina utensile, sistema di controllo e sensore è collegato ad Internet. Anche i
prodotti stessi lo sono, grazie a sistemi di etichettatura intelligente (come l’RFID). L’intero
ciclo di produzione è in grado di regolarsi e modificarsi in tempo reale, a seconda di istruzioni
che potrebbero venire dall’esterno. Inoltre, ogni componente è collegata ad Internet, pertanto
hackers e organizzazioni criminali potrebbero averne accesso dall’esterno, senza lasciare
tracce evidenti per l’azienda.
Questi rischi non devono però intimorire chi sta valutando di passare all’Industria 4.0, ma
devono essere compresi in modo da poter essere affrontati e ridotti al minimo.
Innanzi tutto è indispensabile che l’imprenditore comprenda che i rischi Cyber riguardano
tutta l’azienda e possono avere impatti anche devastanti. Pertanto la responsabilità di
mettere in sicurezza l’azienda non è delegabile né ai tecnici né a società esterne. E’ il
management che ha il compito di comprendere i rischi e di prendere le scelte più opportune
al fine di ridurli. In questo devono lavorare con il coinvolgimento dei responsabili del
business, dei sistemi informativi (IT – Information Technology) e dei sistemi di produzione
(OT – Operation Technology).
Il top management dovrà considerare il rischio Cyber come uno dei rischi rilevanti per
l’azienda e lo dovrà valutare come rischio complessivo e non semplicemente come un
problema tecnico da indirizzare nell’ambito dell’IT. Il top management dovrà pertanto
definire un piano complessivo di sicurezza, valutando periodicamente i rischi introdotti dalle
nuove tecnologie e dai nuovi sistemi.
Per la predisposizione del piano di sicurezza, un aiuto è offerto dal “Framework Nazionale di
Cyber Security” (http://www.cybersecurityframework.it/), il quale fornisce un elenco di
tutte le aree e i controlli da considerare nella stesura di un piano di misure di sicurezza. Non
si tratta di una semplice lista di cose da fare, ma di un elenco di possibili categorie di misure
di sicurezza che ogni azienda dovrà individuare sulla base delle proprie caratteristiche
uniche, dei rischi a cui si è esposti e le conseguenze in caso di attacco/violazione. E’ bene
comprendere che non esiste un piano di sicurezza standard: ogni azienda dovrà definire il
proprio e dovrà mantenerlo nel tempo in modo da riflettere le evoluzioni di scenario
tecnologico, di processo e di minaccia. Il Framework Nazionale di Cyber Security offre anche
un elenco minimo di misure da adottare, indipendentemente dal proprio profilo di rischio: si
tratta di un ottimo punto di partenza, poiché le aree considerate sono di norma legate a
vulnerabilità e rischio universali. Le misure minime includono: l’adozione di sistemi
Antivirus, il controllo di tutti gli accessi da remoti agli impianti, la protezione delle reti di
accesso, l’esecuzione quotidiana di copie di backup, la definizione di configurazioni minime di
sicurezza per i sistemi informativi e i sistemi di controllo industriale, una adeguata
formazione del personale, ecc.
E’ importante disporre in azienda di competenze specializzate in Cyber Security, che
assisteranno il top management, i responsabili di business, i responsabili dei sistemi
informativi e dei sistemi di produzione nella valutazione e nella gestione dei rischi. E’
importante che queste competenze non risiedano esclusivamente nell’area dei sistemi
informativi, ma anche nell’area di produzione. Quasi sempre queste competenze sono assenti
nell’area di produzione ed è proprio qui che si possono generare i rischi maggiori.

Qualora non si disponesse di queste professionalità, è possibile farsi aiutare da società
specializzate, che possono tamponare, almeno temporaneamente, la carenza di competenze
internet.
Infine, è importante lavorare con le società che producono e installano sistemi di controllo
industriale. Il management deve fornire requisiti precisi sulla sicurezza degli impianti e deve
lavorare con i fornitori affinché questi mettano a disposizione soluzioni sicure e allineate agli
standard aziendali. La Cyber Security deve essere un fattore differenziante nella scelta delle
soluzioni e dei partner che supporteranno l’azienda nel passaggio all’Industria 4.0.
Andrea Rigoni
Cyber Security Advisor to Governments, NATO and International Organisations.
Intellium, Deloitte
arigoni@deloitte.it

Cosa dice la legge: dallo stato all’infosfera
La Sicurezza delle Informazioni nella Legislazione Italiana
Il legislatore italiano già da tempo si è preoccupato di dettare delle norme volte ad
individuare alcune misure minime di sicurezza per tutti quei casi in cui la qualità delle
informazioni contenute nei sistemi informatici di un’azienda renda opportuna e
giuridicamente necessaria la loro protezione.
In particolare, la normativa italiana vigente – contenuta per poco tempo ancora nel D.Lgs.
196/2003 e comunemente denominata “Codice della privacy” – si applica esclusivamente al
trattamento di dati personali. Essi sono definiti come “qualunque informazione relativa a
persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a
qualsiasi altra informazione, ivi compreso un numero di identificazione personale”9.
E’ questo, allora, il principale discrimine per l’applicazione o meno delle misure di sicurezza
previste dal Codice della privacy: venire a conoscenza di qualunque informazione riferibile a
persona fisica – sia essa relativa ad un dipendente, ad un cliente o ad un soggetto terzo –
identificata o identificabile durante le operazioni di trattamento dell’azienda.
Accanto alla definizione di dato personale e di dato identificativo, però, il legislatore ha
espressamente previsto anche i concetti di dato sensibile e di dato giudiziario, protetti dalla
normativa vigente in maniera ancora più stringente, dato l’alto valore delle informazioni in
essi contenuto.
I dati sensibili, infatti, riguardano i dati personali idonei a rivelare l’origine razziale ed etnica,
le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti,
sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale,
nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale di un soggetto.
I dati giudiziari, invece, sono i dati personali idonei a rivelare provvedimenti in materia di
casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei
relativi carichi pendenti, o la qualità di imputato o di indagato.
In merito alla loro protezione, l’art. 31 del Codice della privacy pone come regola generale
quella secondo cui i dati personali oggetto di trattamento debbano essere “custoditi e
controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura
dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo,
mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita,
anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o
non conforme alle finalità della raccolta”10.
9
Art. 4, comma 1, lett. b) del Decreto legislativo n. 196 del 30 giugno 2003, “Codice in materia di protezione dei dati
personali”, in http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1311248.
10
Art. 31 del Decreto legislativo n. 196 del 30 giugno 2003, “Codice in materia di protezione dei dati personali”, in

Inoltre, l’art. 34 esplicitamente afferma che il trattamento dei dati personali attraverso
l’utilizzo di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal
disciplinare tecnico contenuto nell’Allegato B)11 al Codice della privacy, almeno le seguenti
misure minime di sicurezza:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai
singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti
elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad
accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della
disponibilità dei dati e dei sistemi;
g) [soppressa];
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti
di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi
sanitari.
Occorre evidenziare come il legislatore italiano preveda esplicitamente ed analiticamente
solo le misure minime di sicurezza da applicare al trattamento dei dati, ovvero quelle dell’art.
34 e dell’Allegato B al Codice della privacy, lasciando invece indefinite le misure di sicurezza
idonee previste dall’art. 31.
Tuttavia, la differenza tra misure di sicurezza minime e misure di sicurezza idonee non è
meramente filosofica, ma si apprezza sul piano “tangibile” delle sanzioni collegate alla
violazione della previsione normativa: semplificando e sintetizzando, la non applicazione
delle misure minime ha come conseguenza sanzioni di tipo penale, laddove la mancata
predisposizione di misure di sicurezza idonee per lo specifico trattamento dei dati comporta
l’applicazione delle sole sanzioni amministrative.
Le norme da prendere in considerazione, però, non si esauriscono con quanto finora
accennato.
Il 25 maggio 2016, infatti, è entrato in vigore il “Regolamento europeo generale sulla
protezione dei dati personali” n. 2016/67912, che stabilisce norme relative alla protezione
delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative
alla libera circolazione di tali dati.
Questo Regolamento diventerà definitivamente applicabile in ogni Stato membro dell’Unione
Europea a partire dal 25 maggio 2018, abrogando la Direttiva 95/46/CE sinora vigente e
andando a sostituire anche quanto attualmente previsto in Italia dal Codice della privacy.
11
Decreto legislativo n. 196 del 30 giugno 2003, “Codice in materia di protezione dei dati personali”, Allegato B –
Disciplinare tecnico in materia di misure minime di sicurezza, in
12
Per approfondire, “Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016,
relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera
circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”, 2016, in
http://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32016R0679.

Rete di sicurezza

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

Similaire à Rete di sicurezza

Similaire à Rete di sicurezza (20)

Plus de Vittorio Pasteris

Plus de Vittorio Pasteris (20)

Rete di sicurezza