podcast

Gestione delle vulnerabilità: primo episodio podcast

Visto che l’argomento è corposo ho pensato di dar seguito anche con una serie di puntate sul podcast dove, oltre a riprendere le argomentazioni del post, provo a dare una lettura semplificata del tema con qualche esempio in più.

Come per il post preparerò diverse puntate con ritmo settimanale nonostante il periodo sia non particolarmente favorevole (spero ci sia chi ha deciso di staccare un po’).

Il primo episodio, di cui riporto il link, è di fatto introduttivo al tema ed ha come obiettivo la necessità di portare il focus sulla metodologia prima che sugli strumenti.

Il podcast è disponibile qui: https://www.spreaker.com/user/11123272/individuazione-delle-vulnerabilita-attac

podcast

Prima di un attacco (mini serie)

E’ un tema che porto spesso all’attenzione dei miei interlocutori e recentemente ho appreso che è di interesse anche per figure di management che non “bazzicano” il mondo cibernetico.

Quel primo episodio mi ha permesso di comprendere quanto il fenomeno del crimine informatico sia assolutamente non chiaro… talvolta non solo ai non addetti ai lavori.

Per risolvere un problema devi conoscerlo, devi sapere cosa c’è di “rotto” per decidere come sistemare le cose, eppure ognuno di voi — ne sono certo — può raccontare decine di situazioni in cui si sono messe “pezze” senza considerare quali fossero le minacce da cui era necessario difendersi, o basandosi sulla propria percezione del rischio.

Recentemente (grazie ad un evento a cui ho partecipato) ho avuto modo di riorganizzare le idee e con l’occasione ho pensato di portare qualche riflessione in tre puntate del podcast che curo. Le prime due sono online qui: https://www.spreaker.com/show/sintesi-cibernetica

Fatemi sapere se li avete trovati interessanti.

podcast

Sintesi cibernetica #12

Ancora una volta una riflessione che parte dall’incidente di OVH: sono andato a cercare i video con le dichiarazioni di Octave Klaba, fondatore di OVH, in cui, pochi giorni dopo l’ormai famoso incendio, dice:

It seems that globally, the customers … understand what we are delivering, but some customers, they don’t understand what exactly they bought

Considerando la dichiarazione nel suo contesto (qui in parte sintetizzato e spiegato) è chiaro il riferimento al fiume di critiche verso OVH in relazione al non disporre di un piano di Disaster Recovery. In realtà, come è ovvio che sia, è onere dei clienti sottoscrivere servizi di Disaster Recovery e dotarsi di una procedura di attuazione del piano. La frase azzeccatissima di Klaba sulla “non comprensione di cosa esattamente hanno acquistato” può sembrare un po’ cruda ma è tremendamente vera.

La vicenda aiuta a portare alla luce un dato preoccupante: molte organizzazioni ed aziende, anche non piccole come abbiamo visto, stanno affrontando l’era dell’informazione senza una strategia che sia in grado di tutelare il loro business. L’esigenza di una strategia di Disaster Recovery, l’esigenza di un piano per la gestione della sicurezza cibernetica o per la tutela delle informazioni strategiche, è qualcosa che ci si aspetta dal management. I team operativi si possono poi occupare di come implementare queste strategie. Conviene uscire dal modello in cui tutto ciò che è digitale è a carico dell’IT, non è più vero da anni e le conseguenze di queste antiche credenze oggi finiscono sui giornali.

Passo dalla ramanzina ad un tema virtuoso: il crescente interesse da parte dei produttori tecnologia IoT nel rendere i propri device sicuri. L’argomento mi sta particolarmente a cuore occupandomi principalmente di sicurezza informatica e mi ha fatto molto piacere osservare che alcune realtà si stanno concretamente muovendo per approcciare un percorso che le aiuti a produrre device safe and secure.

Il problema ha radici profonde: la pervasività di questi device è un fatto relativamente recete ed i loro utilizzatori non necessariamente hanno maturato una consapevolezza in relazione al livello di sicurezza di oggetti come gli smart device per uso domestico o i sistemi di automazione industriale con i loro sensori, rilevatori ed attuatori.

Ad un certo punto abbiamo semplicemente iniziato ad introdurre nelle nostre vite e nelle nostre aziende oggetti in gradi di dialogare tra loro attraverso reti locali ed attraverso la rete internet. Chi ha progettato le prime generazioni di questi meravigliosi device non era sempre al corrente del contesto e delle minacce che possono essere veicolate attraverso la rete ed ha di fatto prodotti oggetti safe ma non secure.

L’epilogo è noto: il mondo del crimine organizzato ha iniziato ad utilizzare lo strumento degli attacchi informatici per mettere in scacco aziende ed organizzazioni.

Diventa quindi necessario portare la cultura della sicurezza informatica in un mondo che non parlava questa lingua… con l’aggravante che anche chi dovrebbe parlarla ancora oggi fatica a tenere il passo nei confronti delle sempre molto aggiornate tecniche e tattiche di attacco.

Qualche spunto di riflessione nel podcast di domani (29 marzo).

podcast

Sintesi cibernetica #11

Gestire un incident, che si tratti di un fault, un attacco o un malfunzionamento di un sistema critico, è una pratica che richiede elevate competenze tecniche ed una buona dose di sangue freddo. Non bisogna solo sapere ciò che c’è da fare, bisogna anche sapere perché va fatto in un modo specifico, applicando “quella procedura” e non “l’altra”. Serve esperienza e pratica acquisibile grazie a tecniche come l’addestramento. Improvvisare non aiuta, anzi, si rischia di trasformare l’incidente in un disastro.

Bisogna anche rendersi conto che esistono situazione che non sono ripristinabili, nel senso che non esiste il processo che annulla quanto accaduto, è però possibile, con la giusta strategia, ricostruire e ripartire.

La settimana appena trascorsa ha dato diversi spunti di riflessione sulla gestione degli incident, in particolare OVH è alle prese con le prime ripartenze ma a quanto pare ieri (20 marzo) i sistemi sono stati nuovamente spenti a causa di un principio di incendio in uno del locali dove erano posizionate delle batterie UPS in quel momento non operative. La prossima settimana doveva essere quella dell’accensione dei sistemi ma questo nuovo incidente rischia di generare nuovi ritardi.

La vicenda OVH va seguita lasciando da parte il pensiero critico, è una scuola per tutti coloro che lavorano nel campo delle infrastrutture ad alta disponibilità di servizio. Osserviamo ed impariamo dagli errori tanto quanto dai successi… e consiglio di partire proprio dalle scelte comunicative che CEO che in prima persona aggiorna gli utenti tramite Twiter: https://twitter.com/olesovhcom.

Su Exchange non dico nulla se non di stare in campana, questa settimana si è parlato di DearCry, un crypto malware in grado di sfruttare la vulnerabilità ProxyLogon… evidentemente in molto stanno cercando una scusa per lanciare qualche job di restore dei dati.

Nuovi interessanti movimenti li ho trovati sul fronte SolarWinds, a distanza di settimane si sono osservate delle ingegnose tecniche per guadagnare un accesso permanente alle mailbox Office 365 di alcune delle aziende interessate dall’attacco (miglia di aziende). La tecniche è spiegata in questo articolo ed è molto semplice: l’attacker utilizza credenziali legittime, ovviamente sottratte tramite l’attacco già in corso, per eseguire una modifica alla configurazione delle mailbox rendendole accessibili in read-only. Silenziosi ed efficaci.

Qualche riflessione in più sul podcast.

cyber security, podcast

Sintesi cibernetica #10

Inizio la mia rubrichetta (fatemi sperimentare un po’) su ciò che questa settimana ha calamitato la mia attenzione nel mondo cibernetico, ammesso che ci sia una qualche reale differenza rispetto al mondo fisico.

Lo 0-Day su Exchange ve lo siete già dimenticati tutti ma in realtà il tema è tutt’altro che chiuso e mi aspetto torni alla ribalta nel giro di qualche settimana. L’innesco è della settimana #9 e, oltre ad aver registrato una reattività non proprio eccellente da parte degli utilizzatori di questa piattaforma, i movimenti relativi alle vulnerabilità segnalate sono datati gennaio 2021 da diversi analisti. Ovviamente spero di sbagliarmi ma c’è la seria possibilità che fra qualche settimana vedremo gli effetti delle azioni di attacco in corso per mano di vari gruppi di criminali cibernetici.

Il tema della settimana è stato in realtà l’incendio che ha interessato il campus Datacenter di OVH a Strasburgo. Una delle quattro sale è andata completamente distrutta nella notte tra il 9 e 10 marzo, un’altra sala è stata in parte danneggiata. Tutto il sito è ovviamente stato spento per consentire le operazioni di verifica, pulizia e ripristino di ciò che si potrà accendere, ipostenicamente in settimana #12 come OVH stessa riporta sul proprio sito al seguente link: https://www.ovh.it/news/press/cpl1785.incendio-nel-dataceneter-strasburgo

L’evento è sicuramente qualcosa di eccezionale e le indagini chiariranno cosa è effettivamente accaduto considerando che questo tipo di installazioni sono tipicamente molto ben progettate e presidiate anche se in questo caso potrebbero esserci stati elementi o scelte architetturali un po’ datate. Per ora si possono fare solo supposizioni e speculazioni, cosa che personalmente eviterei fino a quando non ci saranno dei dati da analizzare e delle dichiarazioni da parte di OVH stessa che, proprio oggi, ha iniziato ha fornire qualche dettaglio sull’incidente che parrebbe essere stato causato da un guasto ad un UPS.

L’impatto è devastante: quattro sale spente di quella dimensione generano ripercussioni su migliaia di aziende e non saprei calcolale quanti utenti. Non si tratta semplicemente di avere dei siti web non disponibili, i Datacenter in oggetto ospitavano diversi sistemi e applicativi, oltre che molti archivi di dati al momento non disponibili. Per alcuni di questi archivi vi è la seria possibilità che non siano recuperabili.

Quasi tutti i commenti che ho letto ed ascoltato hanno il sapore del monito verso chi eroga servizi Datacenter o verso i clienti che ritengono di non aver bisogno di un Disaster Recovery. Propongo in alternativa una riflessione in relazione alla livello di dipendenza che abbiamo costruito nei confronti di una serie di tecnologie di cui generalmente non sappiamo nulla. Personalmente comincio a vedere delle debolezze nel paradigma dell’accessibilità alla tecnologie a prescindere da una consapevolezza di base, una sorta di livello minimo di cultura necessario per accedere ad una tecnologia di questo tipo. Soprattutto per chi ha poi intenzione di fare del business tramite questa tecnologia.

Ora l’evento in se è forse anche troppo estremo, ma i disservizi esistono anche nei migliori Service Provider che siano di qualche minuto, di qualche ora o di giorni interi come in questo caso. E’ qualcosa di cui bisogna essere consapevoli e solo quando ci sarà questa consapevolezza di base si potranno fare valutazioni di merito su temi tattici come i piani di recovery, la ridondanza geografica e tutto quello che volete metterci dentro.

Ultimo tema che mi ha interessato, un po’ in ritardo in realtà perché la notizia è della settimana #9, è la prossima missione che vedrà coinvolta Samantha Cristoforetti nel 2022. Da qualche tempo ho iniziato a seguire le evoluzioni tecnologie che ci stanno permettendo di avviare una nuova era di esplorazioni spaziali e, giusto per restare allineato al mio modo di approcciare la scienza e la tecnologia, ho iniziato a ragionare sulle implicazioni di un compromissione delle infrastrutture a supporto delle missioni spaziali e, più in generale, al tema della sicurezza cibernetica in uno scenario che vede l’umanità impegnata nell’esplorazione del sistema solare e nella colonizzazione di Marte. Una riflessione che è bene iniziare con largo anticipo.