NBC pubblica un articolo di Reuters in merito ad un attacco informatico ai danni di EADS e ThyssenKrupp.
Bisogna rendersi conto che questi non sono più attacchi di qualche gruppo di studenti svogliati che vogliono fare qualcosa di eclatante.
Il Governo della Germania ha notato un incremento degli attacchi ai danni di società tedesche, ovviamente le più bersagliate sono quelle che fanno tecnologia e innovazione.
(altro…)I professionisti del settore spesso ricordano dei semplici principi base della gestione dell’IT.
Tra questi semplici principi ci sono fare i backup, controllare i backup, non mettere i backup sopra i server che vengono salvati e investire in un piano di backup offsite.
Spesso questi consigli vengono accolti con risolini di compatimento o vengono considerati un metodo per vendere delle apparecchiature o per aumentare i giocattoli dell’IT.
Il piccolo problema è che può succedere questo:
Un mio cliente ha comperato ad una qualche asta giudiziaria un lotto di macchine fotocopiatrici/stampanti/fax multifunzione; noi li stavamo provando per vedere quali fossero ancora funzionanti e quali fossero piu` morti che vivi.
Attacca, accendi, carica la carta… ancor prima che potessimo provare a dare qualsiasi comando il fax inizia a stampare, e stampa circa una ventina di pagine, quasi tutte contenenti informazioni bancarie, coordinate di conti correnti, ricevute di bonifici da e per l’azienda fallita. Roba da centomila euro a botta.
Immagino che il fax fosse rimasto senza carta negli ultimi giorni di vita, e abbia tenuto in memoria tutti quei dati per alcuni mesi, fino al momento in cui l’abbiamo acceso e dotato di carta.
Le password sono una rottura di balle, specialmente per chi non è sensibile al problema della sicurezza.
Molte realtà hanno una rete wireless, sia essa collegata alla LAN interna oppure direttamente ad Internet per gli ospiti.
In moltissimi di questi casi le password sono scritte in maniera visibile, specialmente quelle degli ospiti perché sembra che la cosa dia un senso di buona ospitalità e non debba costringere l’ospite a chiedere di poter usare la rete.
Bella idea, finché non arriva una troupe televisiva a fare delle riprese in HD:
Vivi in Inghilterra anche se non sei un brit. Hai un ruolo importante in quanto sei uno dei responsabili dei database di una multinazionale e stai concordando con il responsabile dei database della filiale italiana la migrazione dei due database server che contengono i dati delle due applicazioni mission critical aziendali.
Dopo che ti sono state illustrate le procedure da utilizzare per la migrazione, nate dall’esperienze passate, decidi di voler cambiare le carte in tavola e chiedi di cambiare la porta di default del database. Quando, dall’Italia, ti vengono chieste spiegazioni in merito, inizi una mini pontificazione sulla necessità, nonostante ci si trovi in una rete interna senza accessi dall’esterno, di essere estremamente attenti alla security: “gli attacchi degli hacker e i virus vanno sulle porte di default dei database“. Quando il tuo alter ego italiano ti sottolinea che, avendo avuto qualche esperienza di hacking “se dovessi fare un attacco certo non mi limiterei alle porte di default“, rispondi con superiorità concedendo di lasciare invariate le porte dei database server.
E poi, pochi minuti dopo, chiedi al responsabile dei database italiani che ti mandi via email gli username e le password di tutti gli account sql dei server?
Sei un genio !
Secondo quanto rivela il giornale israeliano Haaretz, la password dell’account mail di Bashar Assad compromesso da Anonymous sarebbe stata 12345.
1 2 3 4 5
Se la notizia fosse vera non ci sarebbe molto da commentare, tranne che solamente l’erede al trono del regno degli incoscienti (per non utilizzare termini ben peggiori) utilizzerebbe una password del genere per un account governativo.
Poi, però, non diamo la colpa agli hacker…
Secondo The Hacker News l’account di posta elettronica del presidente siriano Bashar Al Assad sarebbe stato hackerato da alcuni Sauditi.
I Sauditi avrebbero minacciato Al Assad di pubblicare i testi dei messaggi se non vengono accolte le loro richieste.
E se succedesse a voi?
Quali sono i sistemi di attacco contro la forza bruta che sono attivi sui server di posta elettronica?
Non serve avere una password lunga se il server non è protetto da un sistema contro gli attacchi a forza bruta oppure se non si cambia la password ogni settimana, con tutti i disagi del caso.
La coscienza di questo deve, purtroppo venire dall’alto perché i tecnici sanno già quali siano i rischi, mentre più si sale nella piramide alimentare di un’organizzazione meno viene percepito il rischio della sicurezza informatica, che viene vista come una scomodità.
Necessaria premessa: non credo che se un sito sia poco protetto debba essere hackerato per il fatto stesso di essere poco protetto.
Questo weekend molti siti hanno subito attacchi come rappresaglia alla chiusura di Megaupload, sui cui dettagli vi rimando al sito di Paolo Attivissimo.
Le conseguenze degli attacchi sono stati di fatto di due tipi: denial of service temporaneo per sovraccarico o danneggiamento dei contenuti del sito.
Contro il sovraccarico si può far poco ed è comunque un problema temporaneo.
Ben più grave (per i titolari) è il fatto che i siti americani della CBS e della Warner siano stati compromessi con danneggiamento dei contenuti come se fossero gestiti da sprovveduti.
I siti sono stati compromessi decine di ore dopo l’inizio degli attacchi e i gestori hanno avuto tutto il tempo per mettere in atto le opportune contromisure.
Certo che se una BigCorp appalta la gestione del sito a $nota_societa_di_consulenza, la quale si avvale a sua volta di subcontractor strozzati su costi e tempistiche avvisati sempre all’ultimo momento delle modifiche con il consueto incipit “Urgente! Urgente! Urgente!” questi sono i risultati.
Esternalizzare lavori e competenze potrebbe servire al maquillage del bilancio da presentare agli azionisti, ma sul lungo periodo fa perdere le competenze, aumenta la dipendenza dai fornitori e riduce la visibilità sulla qualità dei lavori svolti. Uno può scrivere sul contratto tutto quello che vuole, ma quando succedono questi incidenti la frittata è fatta.
Il titolo si riferisce al server come servizio, non come hardware: i dati e le configurazioni, non il ferro.
Immaginiamo che un malintenzionato, che chiameremo Dr. No, voglia rubare dati e infrastruttura IT di un’azienda. Il nostro Dr. No potrebbe essere un dipendente infedele, un consulente doppiogiochista o qualsiasi altro losco figuro, la cosa non ha rilevanza ai fini di questa storia.
(altro…)Questa è la storia di come qualcosa fatto in perfetta buona fede possa diventare un possibile problema di sicurezza.
Un’azienda qualche mese fa rinnova il parco PC, quelli dismessi vengono quarantenati in magazzino.
L’azienda informa che chiunque voglia un PC di quelli dismessi deve pagare una somma a parziale copertura delle spese per cancellare i dati del PC, ma nessuno si fa avanti perché le macchine sono obsolete.
Arriva Natale e un responsabile decide all’ultimo minuto di usare uno di quei PC per fare un regalo ad una persona a cui potrebbe essere utile.
Il responsabile, lo ribadisco: in perfetta buona fede, sceglie il PC che apparteneva ad una delle contabili perché è uno dei migliori tra quelli scartati. La persona porta a casa il PC, ma si blocca perché non conosce la password di accesso al PC e mi telefona. Purtroppo non posso aiutare questa persona per telefono e devo chiedere di portare il PC in azienda.
È, quindi, necessario che ogni organizzazione abbia delle procedure definite per la dismissione di materiale informatico che contenga dei dati, anche se un computer dismesso viene affidato ad una persona a cui non interessa nulla dei dati contenuti.
Chiavette USB e memorie SD o similari
Le stampanti o multifunzioni che contengono hard disk devono essere opportunamente cancellate prima di portarle all’esterno dell’azienda o renderle al noleggiatore. Queste apparecchiature hanno, di solito una procedura di cancellazione dei dati. Se sono a noleggio, includere nel contratto di locazione la cancellazione dei dati alla fine del contratto.
I dischi dei PC devono essere cancellati prima di cedere il computer. Se non si vuole reinstallare il sistema operativo, procedere come segue:
La persona o l’organizzazione che riceve il PC deve essere informata che su quel computer non è attivo l’antivirus.
Qualche fondamentalista fan di sistemi operativi non-Windows ritiene di essere esente da problemi di malware ipso facto di non avere Windows, tutti gli altri possono continuare a leggere.
(altro…)