Contenuti:

Ransomware: la seconda indagine ANSSAIF

Articoli dai soci:

La User Experience: dalla Psicologia al Design, prospettive e realtà, di Stefano Paravani

Abbiamo quindi deciso di chiedere ai nostri soci di raccogliere le c.d. “lesson learned”, dalle aziende che sono state colpite dal ransomware, per conoscere quali provvedimenti hanno successivamente preso e quali consigli si sentono di dare agli altri.

Le notizie che abbiamo ricevuto le abbiamo esaminate e censurate ove era evidente – per chi è del settore – quale fosse l’organizzazione citata.

Qui di seguito sono riportate le considerazioni ed i suggerimenti raccolti dopo il loro esame e censura.

Ringrazio, a nome del Consiglio Direttivo, tutti i soci e, tramite loro, le organizzazioni che hanno contribuito a questa indagine.

 Risultanze dell’indagine.

 Organizzazione Alfa:

·       Abbiamo constatato l’avvenuta cifratura dei file systems nei server interessati e delle postazioni di lavoro client, con la conseguente modifica dello sfondo dei desktop con scritte di rivendicazione, da parte del gruppo che ha sferrato l’attacco, che avvisano della presenza di file “Readme” nei quali si possono trovare le istruzioni finalizzate al recupero dei dati cifrati.

·       Per poter comprendere le modalità di esecuzione dell’attacco Ransomware e dei suoi possibili impatti, in termini di esportazione di informazioni, come primaria attività fondamentale c’è stata quella della ricostruzione degli eventi collegati all’attacco stesso.

·       Per l’attività di ricostruzione e determinazione degli elementi tecnici è intervenuto un team di esperti, composto non solo dalle funzioni interne ma soprattutto da società “leader” di settore che possono fare sia da guida nella ricerca e ricostruzione degli eventi e sia, successivamente, essere deputati alle fasi di ricostruzione degli ambienti compromessi.

·       L’esperienza ci ha insegnato che è fondamentale avere la possibilità di poter accedere a risorse “esterne” in modalità snella, tramite accordi precedentemente stipulati. Infatti, in caso contrario, si deve procedere con richiesta e vaglio delle offerte e successiva richiesta di extra budget: in questo caso i danni non potranno che aumentare per l’inevitabile trascorrere del fattore “tempo”.

Organizzazione Beta:

·       Comprendere l’accaduto è fondamentale anche nei confronti della rappresentazione dell’evento, e delle sue dirette e indirette conseguenze, da parte del DPO verso il Garante (circoscrivere e dichiarare l’ambito ICT colpito e identificare la tipologia di informazioni potenzialmente impattate dall’incidente).  In questo ambito, riveste carattere di importanza la valutazione tecnica di “ragionevole certezza” o presenza di prove certe di esfiltrazione dei dati.

·       Tali informazioni si rendono anche indispensabili per una corretta definizione della strategia di comunicazione preventiva e/o nel caso di pubblicazione dei dati su siti pubblici.

Organizzazione Charlie:

·       Normalmente prima dell’attacco vero e proprio si possono riscontrare, dalla lettura dei log, attività di “reconnaissance” eseguite dall’attaccante e finalizzate alla raccolta di informazioni utili sull’ambiente da colpire.

·       Le attività di analisi svolte hanno permesso di ricostruire la sequenza di avvenimenti, tipica degli attacchi “ransomware” e conforme alle prassi conosciute di tali gruppi di attaccanti, che qui di seguito riassumiamo:

•       compromissione di un PC di un dipendente;

•       cattura e riutilizzo di credenziali per l’accesso VPN alla rete aziendale;

•       escalation di privilegi e compromissione di account amministrative del dominio AD;

•       accesso alla console di gestione del sistema antivirus e successiva disattivazione di client antivirus;

•       download e installazione di tools quali MegaSync e PCHunter (tra cui anche strumenti di file sharing);

•       possibile esportazione di dati;

•       distribuzione di malware sui sistemi e successiva attivazione per la cifratura massiccia dei dati.

·       Fermo restando quanto sopra indicato, bisogna anche analizzare l’ambiente “Office 365” se l’azienda l’utilizza, per rilevare eventuali attività anomale (ad es. collegamenti da indirizzi esteri) dell’account associato a quello “incriminato”, cioè di partenza dell’attacco, o ad altri account associati al dominio dell’azienda.

·       Una volta conclusa l’attività di ricostruzione e determinazione degli elementi tecnici utilizzati per l’attacco, bisogna passare alla fase di rigenerazione degli elementi corrotti dal RansomWare, che ovviamente richiederanno del tempo.

Organizzazione Delta:

◦    A fronte di quanto accaduto, l’organizzazione ha avviato un processo di razionalizzazione di tutte le connettività tra le proprie sedi, in modo da evitare che ci siano punti di accesso alla intranet con potenziali vulnerabilità nascoste.

◦    E’ stato altresì avviato un progetto di consolidamento dei propri server all’interno di un cloud al di fuori delle strutture dell’organizzazione stesso e fornito di tutte le dotazioni e certificazioni atte a garantire la sicurezza dei sistemi

◦    Nel corso delle successive settimane sono stati bonificati tutti i p.c. dell’organizzazione e ripristinati i sistemi ad uno stato consistente, precedente al data breach.

◦    La condizione fortuita del danno avvenuto durante la festività ha contenuto totalmente il disservizio per gli utenti ma sono state acquisite con urgenza dotazioni mirate per la protezione dei sistemi (IDS/IPS, WAF).

◦    Trattandosi del primo evento in assoluto di tale fenomeno, sono state istituite politiche restrittive nella gestione delle credenziali da attribuire agli utenti. Analogamente sono state implementate policies più rigorose nella gestione del traffico IP sia tra i sistemi che verso Internet, limitando la comunicazione ai soli servizi necessari.

◦    È stata fornita una informativa ai dipendenti sui rischi della sicurezza informatica.

◦    Ripristinati i sistemi, è stato nuovamente abilitato il solo traffico Internet; il protocollo SMB è stato limitato ai soli sistemi per cui era effettivamente indispensabile.

Organizzazione Echo:

·       Tutte le considerazioni citate dalle altre organizzazioni sono condivise.

·       La organizzazione, sollecitata, ci riferisce sinteticamente a proposito della rigenerazione dei dati.

·       La ricostruzione / rigenerazione parte da un salvataggio, della base dati compromessa, il più vicino possibile al momento di cifratura, seguendo le seguenti fasi:

•       circoscrivere l’attività ad un solo server alla volta collocandolo in un ambiente protetto;

•       attivare la fase di restore dal salvataggio più vicino;

•       attivare la fase di sanitizzazione del restore;

•       ricostruzione del nuovo server con dati sanitizzati;

•       rimessa in produzione.

Anthony Cecil Wright

Articoli dei soci

La User Experience: dalla Psicologia al Design, prospettive e realtà

Il termine User Experience è stato coniato nel 1990 dallo psicologo cognitivo Donald Norman, il suo obiettivo era quello di definire la relazione tra una persona ed un prodotto, servizio o sistema ed ottimizzarne l’esperienza. Da segnalare anche sue precedenti pubblicazioni sulla psicopatologia degli oggetti come ‘La caffettiera del masochista’, orientato a spiegare come la progettazione industriale di qualsiasi oggetto/macchina potesse rendere più o meno agevole il loro utilizzo da parte delle persone e quali bias potessero intervenire nella loro percezione. A proposito di percezione, molto importanti per la progettazione di un'interfaccia/prodotto sono i principi della ‘Psicologia della Gestalt’ e le varie leggi che governano la percezione (oltre che ovviamente ad altre competenze di Design).

Attualmente, all’interno della UX, tra le figure più ricercate nel mondo del lavoro (soprattutto nel settore tech/digital) sembrano esserci lo User Experience Designer (UXD) e UX/UI Designer (la ‘User Interface’ è solo una parte della progettazione). Lo UXD ha il compito di progettare (anche con l’aiuto di programmi specifici) e definire la migliore esperienza utente possibile, in base ai risultati derivati da analisi, test e ricerche (quantitative e/o qualitative) effettuate sulla propria utenza finale identificata (in aziende più grandi di solito le ricerche sono fatte dagli ‘User Researcher’). Le fasi di sviluppo di un prodotto solitamente seguono queste 5 fasi brainstorming, definizione, progettazione, test, lancio, e la UX entra in gioco in ognuna di queste fasi in maniera iterativa. La filosofia centrale nella progettazione di qualsiasi prodotto, per chi lavora in un qualsiasi ruolo della UX, è quella di mettere sempre al centro “la persona/l’utente” (approccio definito ‘Human Centered’ - ISO 9241-210:2019), studiandone bisogni e comportamenti. Tale approccio è oggi sempre più utilizzato anche per la progettazione di prodotti software, quindi in tutto il ciclo di vita di sviluppo del prodotto/servizio, anche per evitare di sprecare troppe risorse (ad esempio mesi di sviluppo in software non realmente utile e non centrato per l’utenza di riferimento) presentando mockup, prototipi ad alta fedeltà (a seguito dei vari processi di Design). Ormai, il Design incentrato sull’utente, è da qualche anno anche obiettivo focale nello svecchiamento funzionale dei servizi digitali della pubblica amministrazione italiana, con la nascita del ‘Team per la trasformazione digitale’ e in particolare di ‘Designers Italia’. Di seguito le linee guida che tutte le PA e relativi fornitori dovrebbero iniziare a perseguire per tutti i loro servizi digitali.

Personalmente, studiando Psicologia a livello accademico, ho iniziato ad interessarmi alla UX dopo lo studio di alcuni testi sul tema, anche dello stesso D.Norman, pertanto, lavorando già in un'azienda collocata anche nel settore di ricerca e sviluppo, ho iniziato a verticalizzarmi professionalmente nella UXD per unire interesse e competenze (che sto approfondendo con ulteriori corsi professionali).

Nonostante abbia notato che c’è ancora abbastanza resistenza e confusione sui vari ruoli inerenti a questo dominio (spesso identificato solo come Digital) e che alcuni potrebbero subire ulteriori inquadrature o ridefinizioni future, lo ritengo un percorso molto interessante e affascinante per chi ha passione per le tematiche coinvolte e un'attitudine ad unire varie competenze.

Per cui, il mio semplice consiglio ai lettori interessati, è di perseguire su questa area affascinante ma altamente competitiva (o altre aree in voga) non sottovalutandola e se coincidente con la propria vision (se possibile) pur tenendo d’occhio e, in alcuni casi, dovendosi adattare alla cruda realtà lavorativa  (non c’è nulla di male nel lavorare e specializzarsi anche in altri ‘vecchi’ ruoli, anche manuali, non in trend e poco pubblicizzati ma comunque ben retribuiti e molto richiesti, vedasi in Svizzera).

Quindi, in conclusione, qualsiasi sia la propria scelta, ritengo importante non farsi annebbiare troppo la vista da esperti di marketing che vendono e presentano stipendi mirabolanti o prospettive spesso irrealistiche vista mare che accompagnano ormai qualsiasi ruolo riguardante il settore digitale e informatico!

In bocca al lupo!

Stefano Paravani