Cose da sapere, i lavoratori remoti
4 cose che i telelavoratori dovrebbero sapere circa la sicurezza dei dati aziendaliBe aware that almost every data decision has a security implication. Chi decide se collegarsi ad un hostpot o ad un cavo di rete che trova in giro lo fa a suo rischio. Peccato che e' un rischio anche per l'azienda!
Your children aren't afraid to download. Il PC di lavoro é il PC di lavoro. Punto.
Be a responsible gadget geek. Il palmare, o lo smartphone (il sottoscritto va in giro con entrambi) ed altri gadget, possono avere su dati sensibili. Su quasi tutti c'e' il codice di blocco.
Don't forget it -- shred it. Parole sante! Se siete di quelli che stracciano le cose e buttano i coriandoli in due pattumiere diverse, abbiamo qualcosa in comune.
Cose da sapere, l'amministrazione
4 cose che il personale amministrativo dovrebbe sapere sulla sicurezza dei dati aziendaliBeware of 'pretexting'. E' una forma di social engineering (mai sentita prima). Anche qui, facciamogli fare il corso di awareness assieme alle ragazze della reception.
Administrative staffers can be espionage targets. I PC dell'amministrazione sono i migliori da spiare per fare spionaggio industriale. Proteggiamoli quanto e di piu degli altri.
Don't accept gifts from strangers. I colleghi dell'amministrazione non sono paranoici come "noi" di sicurezza. E le chiavette USB (o
i mouse!) sono regali graditi (ed usati). Noi lo sappiamo che una chiavetta USB puo avere codice che windows va in autorun. Io, per questo ho disabilitato l'autorun sul mio PC. Ma in amministrazione lo sanno ?
If you want to move up the corporate ladder, keep your record clean. In altre parole, val la pena fare il controllo del background delle persone.
Cose da sapere, team gestione edificio.
3 cose che chi si occuppa delle facility dovrebbe sapere sulla sicurezza dei dati aziendaliDon't assume all is as it should be. Il badge non solo dev'essere visibile, ma anche valido. Una qualsiasi tessera bianca formato carta di credito appesa al collo non significa che uno é autorizzato a girare in ufficio.
Beware big risks in small packages. Pare ci siano casi in cui falsificano colli che arrivano negli uffici.
Now's the time to change the access codes. Ha! Ho lavorato da una parte tempo fa dove c'era un codice da digitare per entrare. Pare sia rimasto lo stesso fino a quando (molti anni dopo) hanno cambiato sede.
Cose da sapere: La reception
Vogliamo dimenticarci delle nostre care colleghe della reception ? Per caritá!
5 cose che la receptionist dovrebbe sapere della sicurezza dei dati aziendaliDon't trust strangers: la reception é una miniera d'oro per il social engineering.
Chi lavora in una reception dovrebbe essere il primo invitato ai corsi di security awareness.
Social networking sites can hold dangers. Facebook, myspace e cosí via sono cosí ricchi di contenuti di vario tipo che é molto difficile controllare cosa arriva sul PC. Vale per tutti, non solo per la reception.
Peer-to-peer software creates legal risks. Non credo ci sia nulla da commentare, stando semplicemente a livello legale.
Keep your personal e-mail account personal. L'ideale sarebbe inibire l'utilizzo dei piu popolari sistemi di email gratuiti, ma e' molto difficile. Far firmare una policy che "guai a mandarti files aziendali a casa con l'email personale" puo aiutare. Ultimamente ci sono anche suites per il data leakage prevention.
Beware the messy desk. A parte l'immagine di una scrivania disordianta in reception. Troppo disordine uguale troppe informazioni accessibili (e sottraibili) facilmente. La scrivania vissuta va bene, un "macello" no.
Cose da sapere: Le risorse umane
5 cose che le risorse umane dovrebbero sapere circa la sicurezza dei dati aziendaliKeep track of inconsistent legal requirements: Specie per le multinazionali, tenere presente che depositare i dati personali di impiegati e candidati ha differenti requisiti di sicurezza da paese a paese. Solo perche é efficiente e rapido, tenere tutto nello stesso sitstema non per forza é una buona idea. Un buon sistema flessibile che permetta
Discretionary Access Control puó essere la miglior cosa
Don't collect unneeded information: Lapalissiano, direi. Eppure.
Protect sensitive data in every location: E occhio, perche c'e' carta, c'e' il database, ci sono i folder condivisi eccetera.
Secure your paper files: Io lo dico sempre. se parliamo di protezione dei dati, la protezione non finisce al momento in cui il dato viene stampato su carta. Ma credo mi ascoltino in pochi a giudicare da cosa trovo abbandonato sulle stampanti. Sempre.
Share information. Carefully. Mandare i dati via email non e' il modo migliore. C'é la cifratura. Sia a livello di files che a livello di traffico.
Cose da sapere: Le vendite.
Ho trovato una serie interessante di articoli. Li commento brevissimamente.
5 Cose che i commerciali dovrebbero sapere sulla sicurezza dei dati aziendaliBe wary of unsecured connections: Cellulare, datacard, hotspot. Non tutti offrono lo stesso livello di sicurezza. Lo sapevate, noh ? C'é il VPN client. Usiamolo.
Guard access to the CRM system: probabilmente é fin troppo facile accedere e condividere dati, sui quali c'é pochissimo controllo.
Keep a close eye on mobile devices: i dispositivi mobili sono tali. Nel bene e nel male (nel senso che li fregano). Occhio. Porta la borsa con te, andando a cena.
Cut the cell phone chatter: Mai preso un Roma-Milano ? Tendete l'orecchio, lasciate cadere l'occhio sui blackberry altrui. Ed evitate che possa essere fatto lo stesso a voi. Iniziate a telefonare appena sbarcati, tranquilli: dal dopoguerra non si hanno notizie di morti per avere acceso il telefono qualche minuto dopo.
Curb access to all that information: Tutti hanno necessita' di accedere a dei dati ? Non sempre. Applichiamo il
need to know e diamo accessi solo a chi li richiede (con giustificazione).
Spam per ora, 2
A dicembre avevo fatto una stima che poi si era da subito rivelata molto molto ottimistica di 17 messaggi di spam per ora. Oggi ho rifatto la prova: fra le 13.19 e le 15.19 ho ricevuto 66 messaggi, di cui 54 spam.
Oggi siamo a 27 SpH.
Badges esclusivi.
Questo post piacerá al mio amico
Stefano.
"The long answer is that like many security certifications, it’s an ineffective measure of a security professional’s practical abilities"
Anche se sono un sostenitore delle certificazioni, non posso che essere d'accordo. Da sola, una certificazione non fa il professionista. Certo, fra un professionista non certificato ed uno certificato, il "bollino" puó fare la differenza.
VoIP in ambienti critici
A chi dice che la VoIP é meglio non usarla in ambienti mission critical:
VoIP News // UK police goes VoIPIn genere l'esempio che faccio (considerando l'uso di VoIP da parte dell'utenza) é che la soluzione VoIP deve permettere di chiamare ad esempio la polizia sempre e comunque. Heh. Vale anche se la VoIP ce l'ha la polizia. Se non é mission critical questo.
Etichette: voip
Il fattore umano e la cioccolata.
Secondo un
recente studio condotto (anche quest'anno) su 576 lavoratori, le donne sarebbero molto piú disponibili a rivelare la propria password a sconosciuti rispetto agli uomini.
Il 45% delle donne (contro il 10% degli uomini)
rivelerebbe la propria password ad uno sconosciuto sedicente ricercatore di mercato,
attirate da una tavoletta di cioccolata come premio finale per la compilazione del sondaggio.
Il risultato é migliore rispetto allo
scorso anno, quando
il 64% degli intervistati avrebbe rivelato la password per una tavoletta di cioccolata, mentre
quest'anno solo il 21%.
Sarebbe interessante cambiare i premi (Birra, Bottiglia di Vino, Gioiello, Giocattolo, Serata con Modello/Modella, Gadget Hi Tech, e cosí via) e vedere la profilazione secondo etá, sesso e stato sociale in base all'esca offerta.
Eppure a quanti di noi
non é stato detto " non accettare caramelle da uno sconosciuto " da piccoli ?
Etichette: report
La signora delle pulizie va in barca
Se qualcuno ha seguito la storia del tranciamento dei cavi oceanici, che a me é sembrata la versione cinematografica della storia della signora delle pulizia che stacca il cavo del server, pare che ci sia una risposta definitiva (
link). In fin dei conti si tratta sempre di un discorso di
Disponibilitá quindi é giusto tenersi aggiornati sulla cosa.
Ecco il vero responsabile! Foto esclusiva:
Crimeware as a Service
Se é diventato popolare l'approccio Software as a Service (SaaS), non era da escludere che spuntasse fuori anche il Crimeware as a Service:
DarkReading // New Crimeware-as-a-Service Market Thriving"This is another step forward for criminals to improve their market, the commercialization of stolen data” (Yuval Ben-Itzhak, CTO di Finjan)
E' un altro passo per i criminali nel migliorare il loro mercato, quello dei dati rubati
Symantec Internet Security Threat Report
E' stato pubblicato l'Internet Security Threat Report da parte di Symantec (
link).
Direi nulla di nuovo riscontrato, nulla di nuovo all'orizzonte solo tante conferme. Che il Phishing, che il web, eccetera. Bello che c'è' una sezione Europea che dice:
- la Germania mantiene il primo posto (18%) delle "malicious activities" in Europa
- il 52% degli attacchi in Europa ha avuto origine negli USA
- i trojan sono il mezzo più comune per la diffusione di codice pericoloso
- negli ultimi 6 mesi del 2007 la Romania e' stata la "casa" della maggior parte di attacchi di phishing
- la più grossa sorgente di spam Europea é l'Inghilterra
Anche se l'Italia non é menzionata, non significa che e' tutto a posto. Anche perché (executive summary a pagina 16) "
Durante la seconda metà del 2007, PC con indirizzi IP registrati a Telecom Italia (TI) sono stati associati con la maggior parte delle attività pericolose, con una percentuale del sei percento del totale mondiale. PC con indirizzi IP registrati a Telecom Italia hanno avuto una classificazione alta fra quelli infetti da bot, spam zombies e origini di attacco"
Etichette: report
Bollettini vari
Bollettino di Microsoft di Aprile, segue la puntuale
analisi di Feliciano, alla quale segue la mia segnalazione del
Cisco Applied Mitigation Bulletin di Aprile che risponde alla solita domanda: Mi serve del tempo per testare le patch, la rete può fare qualcosa per darmi tempo ? (certo)
Etichette: cisco
RSA Conference: Novitá in casa Cisco!
In questi giorni a San Francisco c'é RSA Conference. E come ogni RSA Conference che si rispetti, anche questa volta Cisco ha approfittato per annunciare qualche prodotto nuovo e aggiornamenti.
Ecco l'annuncio, che riassumo molto sinteticamente :
Intrusion Prevention Systems: Cisco IPS versione 6.1 é un grosso passo avanti nell’utilizzo degli IPS da un punto di vista di monitoring e management integrato. Il software 6.1 inoltre ha tutta una serie di nuove funzionalità che lo mettono in pole position fra le tecnologie di IPS. In più il modulo IPS dentro ASA da oggi ha la possibilità di funzionare con performance fino a 650Mbps!
Firewall Service Module 4.0 (per Catalyst): FSWM 4.0 introduce un notevolissimo guadagno in performance. Se fino ad oggi eravamo su 5.5 (rispettabilissimi) Gigabit per secondo, adesso si arriva fino a 20 ed oltre con lo stesso hardware!
GET VPN: migliorie in ambito Group Encrypted Transport (GET) Virtual Private Network con supporto su piattaforma 7200 e prestazioni di tutto rilievo.
Cisco Security Agent 6.0: un agente software installabile su server o PC che identifica e mitiga rischi conosciuti e non, previene l’accesso alle informazioni sensibili ed incorpora antivirus. Lo vedo bene in ambito Data Leakage.
Web Application Firewall: Disponibile sia stand-alone sia integrato in Cisco ACE XML Gateway, é un firewall full-proxy in grado di ispezionare il traffico web HTML e XML.
Content filtering: arriva il content filter anche sui router con collaudata tecnologia Trend Micro.
SIP Firewalling su IOS Firewall: la protezione SIP arricchisce le funzionalità dei firewall IOS Cisco, permettendo l’applicazione di firewalling applicativo sul protocollo SIP, in ambito Voce su IP (VoIP).
Cisco MARS, Monitoring Analysis Response System 6.0: con MARS 6.0 e’ molto più semplice aggiungere al monitoring dispositivi di terze parti per i quali MARS non ha supporto nativo. Inoltre supporta la collezione dati via NetFlow v9 (ad esempio da ASA5580 e ASR 1000)
Cisco Security Manager 3.2: gestione semplificata delle signature IPS. E supporto di nuove piattaforme (ad esempio l’ASA 5580) .
Direi che di novitá per adesso ce ne sono. A questo sito ci sono gia alcuni approfondimenti, mentre nel mio piccolo magari ne faró anche io qualcuno fra non molto.
Etichette: cisco
Esempi Calzanti
Sentito sempre stamattina:
"Se sei allo sportello bancario e stai facendo una qualsiasi operazione e ti si avvicina uno alle spalle, lo guardi in cagnesco per farlo allontanare ?"
(pubblico) Si...
"E perche in ambito home banking, non ci preoccupiamo se il PC e' un colabrodo ?"
(pubblico) Uhmm...
Russian Business Network Study
Oggi ad un evento al quale ho avuto il piacere di fare da chairman, e' stato menzionato questo studio. Non sapendo dove trovarlo volevo menzionare di averlo segnalato sul blog, ma scopro di non averlo mai fatto. Faccio ammenda, subito.
Quando parlo di problemi di sicurezza e del fatto che non sono semplicemente il "ragazzino" che scrive i virus, ma che si tratta di vere e proprie organizzazioni criminali, ecco, questo studio da una idea molto chiara di cosa intendo.
Russian Business Network StudyE ripeto, non ci stiamo difendendo dal giovine che vuol diventare qualcosa. E' malavita organizzata.
Presentazioni di Black Hat Europe 2008
Scaricabili da qui:
Black Hat Europe 2008 Media Archives
2007 Internet Crime Report
Ho dato un'occhiata al 2007 Internet Crime Report, di IC3, secondo il quale:
- La Frode la fa da padrona con 239 Milioni di dollari frodati, in crescita rispetto al 2006 quando erano stati frodati poco meno di 200 Milioni.
- Chi commette la frode é prevalentemente (75%) di sesso maschile.
- Chi si lamenta di aver subito la frode é di sesso maschile (57%).
- Gli uomini sono stati frodati più delle donne, perdendo 1.67$ per ogni dollaro frodato a una donna.
- L'email e le pagine web sono stati i principali mezzi per contattare le vittime.
Il report
ovviamente é
molto più approfondito di così e
riporta altri dati marginalmente interessanti, come
il fatto che ci sia gente che ricevendo un Nigerian Scam (
Truffa alla Nigeriana)
ci casca ancora,
perdendoci dei soldi.
Etichette: report
Denial of Service, la pioggia ad esempio.
Che poi, visto che la pioggia cade uniformemente su aree anche relativamente estese, potremmo definirlo anche un denial of service distribuito. Risultato, in un datacenter:
Oltre la sicurezza dei contenuti
WIRED // Hackers Assault Epilepsy Patients via Computer"I couldn't move and couldn't speak"
(RyAnne Fultz, 33anni, sofferente di una forma di Epilessia)
Riassunto: una ragazza sofferente di epilessia legge un forum sul quale era stato postato codice java che faceva animazioni e flash per indurre emicrania ed attacchi epilettici. Bullismo 2.0 ?
Potrei commentare sulla necessitá di utilizzo di tecnologie di sicurezza e controllo dei contenuti. In reltá mi limito a domandarmi:
Perché ?