Voi e le vostre balle sulla sicurezza…

Nebbia e luci / Fog and lightsLa Reuters ha pubblicato una notizia secondo la quale cinque grandi società multinazionali dell’energia sarebbero state penetrate da malviventi informatici cinesi.

Gli attacchi sarebbero andati a buon fine in due giorni e sarebbero stati effettuati partendo dai siti istituzionali o da email inviate ai dirigenti delle aziende.

I malviventi avrebbero copiato dati aziendali, finanziari e dati relativi a proprietà intellettuali delle vittime.

I server che avrebbero ospitato la parte Internet del malware si sarebbero trovati in Cina, nella provincia dello Shandong e a Pechino.

Questa notizia insegna molte cose a chi vuole ascoltare le lezioni (chi pensa di sapere tutto e di non aver nulla da imparare ha problemi ben più grossi della sicurezza informatica), alcune delle quali vengono riassunte di seguito.

  • I furti informatici ben fatti non lasciano traccia. Posso prendere il vostro PC, smontare l’hard disk, clonarlo, rimetterlo a posto e voi non ve ne accorgete. Se il PC è senza password di avvio basta, ad esempio, che l’addetto alle pulizie (se vengono fatte fuori orario di ufficio) parta con un CD o una chiavetta USB e vi copia l’hard disk su un disco USB.
  • Si spendono (giustamente) migliaia di euro per antifurto, telecamere e sicurezze passive, ma guai a parlare di antivirus professionali, policy di sicurezza, antispam, firewall con anti intrusione! “Tanto chi vuoi che entri nella nostra rete?”
  • I dipendenti devono avere Internet bloccata, nessun social network, posta elettronica limitata e controllata, ma non sia mai che l’AD o i vari manager non possano andare dove vogliono perché loro non sono mica degli sprovveduti! E togliamo anche questo fastidioso antivirus dal portatile della forza vendite che poi fanno brutte figure con i clienti se appare la finestra “Aggiorna l’antivirus che le definizioni sono vecchie di un mese!”
  • Il portatile aziendale non è il giocattolo del figliolo per i weekend e i periodi di ferie. Installare i giochini, i client P2P e i vari software non-business sui portatili per tener buoni i pargoli non è una bella idea, specialmente quando si torna in azienda il lunedì e si riconnette il portatile pieno di schifezze alla LAN aziendale.
  • Le policy di sicurezza restrittive potrebbero far storcere qualche naso ai dipendenti o ai collaboratori, ma aiutano a ridurre i rischi che i documenti aziendali finiscano nelle mani sbagliate.
  • L’accesso a Internet da ogni PC non è un diritto costituzionale. Ci sono PC che non devono avere accesso alla Rete, come, a puro titolo di esempio, i PC con i dati che costituiscono il core business aziendale, i PC che controllano le macchine di produzione o che contengono delle proprietà intellettuali. La virtualizzazione viene in aiuto anche in questi casi.
  • Quando è stata l’ultima volta in cui avete verificato concretamente i backup?

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

4 pensieri riguardo “Voi e le vostre balle sulla sicurezza…”

  1. Condivido in pieno!
    Il modello di sicurezza è cambiato.
    Non siamo più ai tempi di wargames con i cattivi che penetrano le difese esterne ed entrano nella rete.
    La sicurezza deve venire da dentro.
    Sono ancora tante le aziende che si sentono sicure perchè “hanno il firewall con tutte le porte chiuse” (ne vediamo tutti i giorni).
    Alla lista di Luigi, riprendendo tra l’altro un suo articolo di non molto tempo addietro, aggiungo anche i PC portatili dei visitatori occasionali.
    Non più tardi di 2 settimane fa la ho beccato il portatile di un consulente esterno di una notissima software house che dialogava su una porta UDP alta con il computer (windows XP…) di un signore lituano, ovviamente all’insaputa del consulente stesso. Il quale, cadendo dalle nuvole si giustificava dicendo di avere l’antivirus aziendale aggiornatissimo.
    Ma quante aziende oggi sono in grado di rilevare un attacco simile? Di sicuro non la notissima software house di cui sopra.
    Il che, trattandosi di un’azienda che un po’ di informatica ne capisce, è abbastanza inquietante.

Spazio per un commento