|
Notizie dall’associazione.
Corsi gratuiti di cyber security. Proseguono le iscrizioni dei giovani sotto i 36 anni ai tre corsi che possiamo offrire grazie a ELIS e CISCO.
Possono chiedere la partecipazione coloro che sono o studenti, o disoccupati o sottoccupati. Ai partecipanti viene consegnato un attestato con le votazioni ottenute. Ricordiamo che ciò è possibile sino a fine agosto.
Altri corsi offerti gratuitamente.
Ai giovani, che si sono iscritti all’associazione con la qualifica di socio studente (50€ la quota annua), è data la possibilità di seguire corsi online condotti dai soci “anziani” e di incontrare (per il momento via web) professionisti e personaggi del mondo privato e pubblico.
Il corso, che sta ultimando, è sul risk management con cenni alla ISO 31000. Ad aprile partiranno altri corsi via web.
Per iscriversi: inviare una email a iscrizione . Occupazione presso aziende potenzialmente interessate.Alcuni dei giovani che hanno superato i corsi ci hanno autorizzato a consegnare il loro curriculum alle aziende con le quali ANSSAIF è in contatto. Ad oggi l’associazione, che ha come uno dei suoi obiettivi primari l’aiuto e l’affiancamento ai giovani, ha già direttamente o indirettamente favorito l’avvio al lavoro sulla sicurezza informatica di alcuni di loro. Ciò ci fa piacere, anche se trovare lavoro ad altri non è la nostra mission. Il vantaggio più grande per i giovani è quello di avere come consoci, come “mentor”, professionisti e dirigenti che hanno operato in aziende del mondo finanziario, industriale, pubblico.
|
|
|
|
Articoli redatti dai soci studenti.
Smart Working e Cyber Security nell’emergenza Covid-19, intervista ad Alessandro Vannini di Stefano Paravani
In questo periodo d’emergenza lavorare in Smart Working è diventata un’esigenza, tra aziende che stanno cercando di digitalizzarsi il più possibile, fino alle PA che si stanno adeguando in tal senso. Segnalo l’iniziativa partita dal ‘Ministro per l’Innovazione tecnologica e la Digitalizzazione’ che sta raccogliendo le varie attività di solidarietà promosse da molte organizzazioni e fruibili gratuitamente da cittadini e imprese. Ciò è stato pensato per agevolare il lavoro a distanza, lo studio online e la fruibilità di contenuti in streaming, attività a cui moltissime aziende e associazioni stanno partecipando. Potete consultare l’intero elenco sul seguente sito.
Inoltre il 17 marzo l’AgID, in collaborazione con il Cert-PA, ha emanato anche alcune linee guida standard da seguire per lavorare in modo sicuro da casa, consultabili qui.
Proprio la sicurezza informatica sta diventando ancor di più un tema caldo e di attualità, con molti dipendenti che si sono ritrovati a lavorare in modalità nuove e dapprima sconosciute. Quindi diventa una necessità approfondire le opportune misure di sicurezza per evitare il più possibile la perdita di dati sensibili e attacchi informatici. Un eventuale attaccante potrebbe sfruttare la situazione per colpire una determinata azienda, sfruttando delle vulnerabilità presenti nella sicurezza di un ignaro dipendente. Inoltre, segnalo di fare attenzione alle varie campagne di Phishing sul tema Covid-19 che proprio in questo periodo stanno girando in maniera frequente.
Per aiutare la sensibilizzazione in tal senso, ho voluto intervistare per ANSSAIF l’esperto di sicurezza informatica Alessandro Vannini. Founder di una società di Cyber Security, Sysadmin con esperienza ventennale, pentester e 35 certificazioni ottenute tra Security, Sistemi Operativi e Networking. Attualmente docente su Udemy “and last but not least” moderatore Microsoft (premiato per 6 anni consecutivi con l’MVP Award).
• Ciao Alessandro, innanzitutto grazie per l’intervista. In base alla tua esperienza, quanto ritieni realmente possibile digitalizzare concretamente il lavoro in smart working per le Aziende Italiane e PA? A che punto siamo in Italia? Con la mia azienda lavoriamo poco con le PA, accadono spesso modifiche in corso e la burocrazia è tanta. Il mio lavoro è orientato nel 99% dei casi su aziende private di dimensioni medio\piccole (fino a 200 clients). Nonostante la piccola dimensione, le aziende che seguiamo noi erano tutte attrezzate per questa emergenza. Chi più e chi meno, avevano firewall che consentivano vpn, computer portatili, accessi limitati ai dati. Lo smart working quindi per loro è stato semplice, hanno solo dovuto imparare a lanciare un client vpn prima di accedere ai loro server. Vedendo però la quantità di thread arrivati sui forum Technet Microsoft che modero, per molti non è stato così. Dipende tantissimo da chi e come ha gestito le strutture, questa variabile è data da una somma di competenza dei syadmin + risorse messe a loro disposizione. Se invece la valutiamo in percentuale direi che guardando i numeri forse un 50% delle aziende era pronto. Per l’altro 50% inizia un calvario sia economico che professionale perché ora operare a livello infrastrutturale è davvero difficoltoso. Come il Backup, lo smart working era quella cosa che andava fatta prima.
• Quali sono i principali rischi a cui va incontro chi lavora in smart working? E’ semplice rispondere: il rischio è che i pc che si usano, aziendali o personali, possano portare all’interno della rete aziendale virus, trojan e problemi di altra natura. Le persone che non sono abituate a lavorare da casa o a non essere “sotto controllo” (passatemi il termine), sono molto più soggette a distrarsi, abbassare la produttività e la soglia di attenzione. A mio avviso non siamo ancora pronti, come popolo, a lavorare Smart. E non basterà un mese per abituarci se non l’abbiamo mai fatto. Serviranno anni.
• Tra le varie tecniche di attacco che potrebbe utilizzare un cracker, quali sono a tuo avviso quelle più insidiose per le vittime ignare? Phishing, Man in the middle ed in alcuni casi Session Hijacking la faranno da padrone, ma il problema maggiore è l’apertura di porte sulle strutture causa mancanza di cognizione di causa o necessità di “fare in fretta”. Solo nella prima settimana di quarantena sono state rilevate dal motore Shodan 30.000 porte RDP in più aperte. Queste 30.000 aziende sono tutte in pericolo. Non è stata una mossa oculata. I pirati prolifereranno e sarà difficile accorgersi del danno. Ma non è una problematica legata al Covid-19 e nemmeno a chi cracca le RDP, c’è un problema di base relativo alla poca accortezza nelle misure preventive.
• Sembrerebbe che ai danni di aziende strutturate le tecniche di Social Engineering siano attualmente quelle più pericolose e utilizzate. Confermi? Ci racconteresti brevemente qualche esperienza? Il Social Engineering è l’arma più potente ad oggi per entrare in una rete o in un dato. Il momento in cui craccavi una rete di forza bruta è finito da almeno 5 anni. I dispositivi oggi, se ben configurati, bloccano tutto. Le persone sono l’unica cosa che non bloccano, quindi devi agire su quelle. Nella mia esperienza di pentester, le cose che sono contate di più per me, che faccio infrastruttura, quindi cerco in ogni modo di entrare (autorizzato) nell’azienda in cui mi assoldano, sono senza dubbio l’email col gattino col cappello di Babbo Natale inviata alle impiegate (se siamo vicino a Natale) o col coniglietto di Pasqua visto che siamo in periodo. Su 100 mail mandate, almeno 30 vengono aperte ed almeno 15 cliccano sul link, in cui ovviamente all’interno c’è solo un alert del tipo “non dovresti aver cliccato.. perché l’hai fatto?” Basta saper sfruttare le vulnerabilità delle persone. Un altro aneddoto è stato il titolare di un’azienda in cui ero a fare il primo giorno di pentest e casualmente ero capitato mentre erano presenti elettricisti di ENEL che, siccome indosso una maglia arancione fosforescente con la scritta CEH simile al giubbetto degli operai dell’ENEL, mi ha scambiato per uno di loro e mi ha gentilmente accompagnato nel suo ufficio per sistemargli la presa di corrente e se n’è andato lasciandomi lì da solo col notebook sbloccato sulla scrivania. Coincidenze letali. Quando poi sono tornato giù, dopo 1 oretta mi ha guardato, ha sorriso e poi mi ha detto “ma lei non è l’elettricista!!” “ehm no..” ma oramai il danno era già fatto.
• Ad ogni modo che contromisure minime di sicurezza consiglieresti a qualsiasi dipendente che debba lavorare da remoto o in smart working? Un buon antivirus con un’analisi del comportamento e di mantenere l’attenzione alta ai tentativi di phishing o social engineering, soprattutto con le avvertenze fake sul coronavirus, diritti dei lavoratori, mail bancarie, rimborsi ecc. Sono i rischi attuali maggiori.
• Esulando un po' dal discorso di cyber security, è notizia recente la richiesta da parte del MID, alle varie organizzazioni interessate, sulla realizzazione di una tecnologia di ‘Contact Tracing’. In sostanza un’app, che dovrà tracciare gli spostamenti dei cittadini come forma di contenimento al Covid-19, che sia tramite gps, celle telefoniche o anche bluetooth. Quanto la ritieni praticabile e sostenibile a livello tecnico come misura? Insostenibile, totalmente. Con le infrastrutture attuali, dove fino a ieri parlavi di 25-30.000 intercettazioni telefoniche, riuscire a tracciare anche solo a livello GPS 5-10 milioni di dispositivi è impossibile. Come avere spazio sufficiente per loggare poi gli spostamenti. Nel nostro territorio nazionale non abbiamo ancora nemmeno infrastrutture ADSL in alcuni luoghi.
• L’EDPB (European Data Protection Board) ha già dato il suo consenso agli Stati membri per l’uso di dati di localizzazione per mezzo di dispositivi mobili, nel rispetto di alcune condizioni inderogabili. Seppur dettata dall’emergenza, a livello di privacy e libertà individuale, questa tracciabilità la ritieni uno standard da scongiurare o misura necessaria? Non sono mai stato un “allarmista”, lavorando nel campo è sempre stato chiaro che la privacy non esisteva. Le persone si sentono monitorate e non vogliono, poi ogni 5 minuti postano su Facebook dove sono e cosa stanno mangiando. C’è una percezione molto strana della libertà. La libertà individuale oggi si ottiene solo in un modo: spegni il telefono, il notebook e li lasci sulla scrivania, poi vai dove vuoi. Potete farlo? Potete andare in ferie come si faceva una volta senza essere rintracciati perché non avevate dispositivi? Se la risposta è SI, siete liberi.
• Infine, come sai, Anssaif sta promuovendo dei corsi di introduzione alla Cyber Security gratuiti e fruibili sulla piattaforma di Cisco Networking Academy. Sia per sensibilizzazione che per formazione. Che percorso o consiglio ti sentiresti di dare ad un ‘curioso’ che vorrebbe lavorare nel settore? Nel nostro mondo e sempre più in futuro serviranno a mio avviso 3 figure essenziali: chi protegge, chi implementa e chi prova a vedere se è tutto a posto. Il percorso base è lo stesso. Reti, una buona parte di sistemi operativi Linux e Microsoft, script dei linguaggi base come powershell e python. Poi da lì ci si specializza a seconda della scelta che si vuole intraprendere. Hanno molta importanza le certificazioni tecniche, ma come traguardo, non come base di partenza.
“No, non è un pesce d’Aprile” Di Valentina Procopio
Da oggi per autonomi e professionisti delle casse previdenziali private è possibile richiedere il bonus di 600 euro previsto dal decreto “Cura Italia”. E così in moltissimi, sin dalle prime ore del mattino, si sono precipitati sul sito dell’Inps, per compilare la domanda e ottenere il bonus concesso dal Governo.
Ma il sito nel giorno in cui è stata data la possibilità di inviare le richieste per i bonus e i congedi ha riscontrato problemi di accesso. Non solo, molti utenti hanno segnalato di aver avuto accesso ai dati di altri utenti.
Provando ad accedere al servizio, il sito prova a caricare le pagine per diversi minuti prima di annunciare che il server non risponde e diversi utenti segnalano che inserendo le proprie credenziali, l'Inps rimanda alle sezioni riservate e ai dati di altri utenti: nomi, anagrafe, codice e posizione fiscale, Pec; oppure di essere addirittura reindirizzati alle schede di altri cittadini.
Sul sito infatti c’è un bug che permette di visualizzare moltissimi dati sensibili di altri ignari utenti. Più precisamente, una volta entrati nel portale Inps, cliccando su “entra in my Inps”. si apre una pagina profilo, molto spesso non la propria, ma quella di un altro utente a noi sconosciuto. Se si prova poi a cliccare uno qualunque degli altri tasti di quella pagina, ad esempio “anagrafica” si apre l’anagrafica di un secondo utente sconosciuto, del quale possiamo vedere tutti i dati sensibili: dal codice fiscale all’indirizzo di casa, dalla mail al cellulare privato.
Lo stesso fenomeno si verifica anche cliccando sugli altri tasti della pagina del sito. Una miniera di dati sensibili e riservati, insomma, dai quali un malintenzionato potrebbe trarre non pochi vantaggi e utilità. Il problema è stato probabilmente causato dalla richiesta in massa che ha mandato in crash il server e l’applicativo.
C’è chi annuncia si possa prospettare la “più grande class action d’Italia contro l’INPS.”.
|
| |
|