Smau Bologna 2010 Stefano Fratepietro

1,212 views
1,173 views

Published on

Furto dei dati aziendali - Come ti rubo in casa!
Tecniche di investigazione nell’informatica moderna

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,212
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
19
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Smau Bologna 2010 Stefano Fratepietro

  1. 1. Furto dei dati aziendali Come ti rubo in casa! Tecniche di investigazione nell’informatica moderna Dott. Stefano Fratepietro Bologna, 9 giugno - Smau 2010 stefano@deftlinux.net Bologna Fiere Creative Commons Attribuzione-Non opere derivate 2.5 mercoledì 30 giugno 2010
  2. 2. Obiettivi del seminario • Presentazione del fenomeno dello spionaggio industriale • Riferimenti giuridici • Formazione alle PMI • Sensibilizzazione dell’infrastruttura IT alle problematiche dello spionaggio industriale • Case study mercoledì 30 giugno 2010
  3. 3. Dott. Stefano Fratepietro • IT - Security specialist per il CSE Consorzio Servizi Bancari S.c.r.a.l • Consulente di Informatica forense per tribunali, forze dell’ordine (Polizia Postale, Carabinieri e Guardia di Finanza) e privati • Casi di importanza nazionale come Buongiorno! Vitaminic e Telecom Pirelli Ghioni • DEFT Linux project manager mercoledì 30 giugno 2010
  4. 4. Spionaggio industriale Attività condotta tra competitori per ottenere in maniera illecita informazioni industriali e commerciali strettamente riservate mercoledì 30 giugno 2010
  5. 5. Luclar International, marzo 2007 mercoledì 30 giugno 2010
  6. 6. Coop vs Esselunga, settembre 2009 mercoledì 30 giugno 2010
  7. 7. Ducati vs Mv Augusta, maggio 2009 mercoledì 30 giugno 2010
  8. 8. Consorzio industriale ASI, febbraio 2010 mercoledì 30 giugno 2010
  9. 9. Centinaia e centinaia di casi l’anno mai venuti alla luce per evitare un danno d’immagine all’azienda mercoledì 30 giugno 2010
  10. 10. Statistiche in un anno di attività (2009) Tradimento interno dal basso Dipendente che cambia lavoro Tradimento interno dall’alto Attacco informatico 10% Su base annua di 30% 30 interventi circa 10% 50% mercoledì 30 giugno 2010
  11. 11. Previsioni per il 2010 90,00 67,50 45,00 22,50 2006 2007 0 2008 2009 2010 Fonte: Il sole 24 ore, 31 marzo 2010 mercoledì 30 giugno 2010
  12. 12. Riferimenti giuridici • Il reato di spionaggio industriale in Italia corrisponde per la legge a "violazione di segreto industriale", ed è punito dagli articoli 621, 622 e 623 del Codice penale mercoledì 30 giugno 2010
  13. 13. Riferimenti giuridici • Art. 621 c.p. Rivelazione del contenuto di documenti seg reti. Chiunque, essendo venuto abusivamente a cognizione del contenuto, che debba rimanere segreto, di altrui atti o documenti, pubblici o privati, non costituenti corrispondenza, lo rivela, senza giusta causa, ovvero lo impiega a proprio o altrui profitto, e' punito, se dal fatto deriva nocumento, con la reclusione fino a tre anni o con la multa da lire duecentomila a due milioni. Agli effetti della disposizione di cui al primo comma e' considerato documento anche qualunque supporto informatico contenente dati, informazioni o programmi (1). Il delitto e' punibile a querela della persona offesa. (1) Comma aggiunto dall'art. 7, L. 23 dicembre 1993, n. 547. mercoledì 30 giugno 2010
  14. 14. Riferimenti giuridici • A rt . 6 2 2 c . p. R i ve l a z i o n e d i s e g re t o professionale. Chiunque, avendo notizia, per ragione del proprio stato o ufficio, o della propria professione o arte, di un segreto, lo rivela, senza giusta causa, ovvero lo impiega a proprio o altrui profitto, e' punito, se dal fatto può derivare nocumento, con la reclusione fino ad un anno o con la multa da lire sessantamila a un milione. Il delitto e' punibile a querela della persona offesa mercoledì 30 giugno 2010
  15. 15. Riferimenti giuridici • Art. 623 c.p. Rivelazione di segreti scientifici o industriali. Chiunque, venuto a cognizione per ragione del suo stato o ufficio, o della sua professione o arte, di notizie destinate a rimanere segrete, sopra scoperte o invenzioni scientifiche o applicazioni industriali, le rivela o le impiega a proprio o altrui profitto, e' punito con la reclusione fino a due anni. Il delitto e' punibile a querela della persona offesa. mercoledì 30 giugno 2010
  16. 16. Spionaggio del passato • Intercettazioni telefoniche, telecamere, microspie ambientali • Individuo infiltrato o corrotto all’interno del contesto aziendale • Copiatura di documenti con cartacarbone o fotocopiatore mercoledì 30 giugno 2010
  17. 17. Spionaggio del presente • Intercettazioni telematiche (navigazione web,VoIP, chat, e-mail) • Keylogger su personal computer, palmari e cellulari • Dispositivi controllati remotamente • Computer come cassaforte dei segreti aziendali mercoledì 30 giugno 2010
  18. 18. Principali canali per la fuga di informazioni • Posta elettronica (aziendale o esterna) • Memorie di massa esterne (penne usb, hard disk esterni) • Navigazione Internet troppo permissiva • Attacco informatico mercoledì 30 giugno 2010
  19. 19. Chiusura dei canali Posta elettronica • Bloccare l’invio e la ricezione di posta elettronica su rete Internet da parte degli account personali dei dipendenti • Utilizzo di caselle di posta d’ufficio per spedire/ricevere posta su Internet • Blocco dei siti Internet che offrono servizi di webmail, file sharing, instant messenger, webproxy mercoledì 30 giugno 2010
  20. 20. Chiusura dei canali Memorie di massa esterne • Uso di lettori DVD/CD eliminando tutti i masterizzatori dalle postazioni di uso generico • Bloccare l’utilizzo di dispositivi esterni su tutte le postazioni o limitarne l’uso al solo hardware aziendale censito • Controllo degli accessi e sistemi ad agente access control mercoledì 30 giugno 2010
  21. 21. Chiusura dei canali Utilizzo di soluzioni NAC NAC -> Network Access Controll Accesso controllato ad ogni singola risorsa del sistema informatico aziendale mediante la definizione di policy distinte per gruppi di utenti o computer Supporto multi OS senza l’obbligo, in alcuni casi, di installazione di un agent sul sistema mercoledì 30 giugno 2010
  22. 22. Chiusura dei canali Utilizzo di soluzioni NAC • Soluzioni gratuite ed open source come Free NAC: http://freenac.net • Soluzioni commerciali, closed source e vendute spesso su appliance come CounterACT della ForeScout: http://www.forescout.com/ counteract mercoledì 30 giugno 2010
  23. 23. Chiusura dei canali Attacco informatico • Formare il dipendente alla cultura della sicurezza IT • Mettere in sicurezza la rete aziendale esposta su Internet • Utilizzo di Firewall • Utilizzo di concentratori VPN per gli accessi dall’esterno • Utilizzo di sonde IDS/IPS • Mantenere in sicurezza la rete aziendale interna utilizzando sistemi con policy di accesso e monitoraggio delle attività • Mantenere aggiornati tutti i sistemi informativi mercoledì 30 giugno 2010
  24. 24. E se il fatto fosse già accaduto? mercoledì 30 giugno 2010
  25. 25. Indagine interna • Individuare tutti gli strumenti informatici utilizzati • Computer • Cellulare / Palmare • Memorie di massa esterne • Preservare i dispositivi originali sostituendoli con delle copie clone ove possibile • Analisi del perimetro di azione del dipendente mercoledì 30 giugno 2010
  26. 26. Indagine interna • Lavorare, dove possibile, sulle copie fedeli delle memorie di massa dei dispositivi in analisi • Documentare tutte le procedure, dall’acquisizione all’analisi dei dati, da produrre in un eventuale scenario giuridico • Coinvolgere un avvocato se necessario mercoledì 30 giugno 2010
  27. 27. Ma le grandi aziende? • C’è chi si assume il rischio senza prendere misure preventive investendo zero • C’è chi è paranoico a discapito dei processi di produzione investendo ingenti somme di denaro • C’è chi adotta misure intermedie investendo il minimo indispensabile E c’è chi vende servizi di IT - Security e CF e si fa bucare il computer in albergo (Ghioni - Kroll) mercoledì 30 giugno 2010
  28. 28. Ma le grandi aziende? Un modello sicuro • Uso vietato della rete aziendale ai consulenti esterni dei propri computer portatili aventi sistema operativo Windows • Uso consentito della rete aziendale ai consulenti esterni dei propri computer portatili, a patto che abbia un sistema operativo diverso da Windows, previo controllo accordato ed approfondito in precedenza da parte dello staff tecnico mercoledì 30 giugno 2010
  29. 29. Cases study mercoledì 30 giugno 2010
  30. 30. Case study - 1 • Sede italiana dell’azienda: 200 dipendenti • Sedi commerciali in tutto il mondo con personale multi etnico • Produzione e vendita di cosmetici Causa: una azienda estera produce la stessa ed identica fragranza di profumo rivendendolo a metà prezzo nella nazione di produzione Sospetto: dipendente di nazionalità estera con frequenti trasferte in quella nazione mercoledì 30 giugno 2010
  31. 31. Case study - 1 Il dipendente sospettato ha in uso un computer portatile che non lascia mai incustodito tantè che tutte le sere è uso abituale portarsi il computer a casa con la scusante di lavorare anche durante i week end Come ci accedo ai suoi dati!?!?!? ASTUZIA! mercoledì 30 giugno 2010
  32. 32. Case study - 1 Tecnico della Symantec (attore) venuto a posta in azienda per visionare tutte le postazioni di lavoro portatili per prevenire la diffusione del super virus Ritiro di tutti i computer portatili alle 14:00 nella sala riunioni, ad accesso consentito solo ai partecipanti all’attività, per l’aggiornamento locale delle postazioni di lavoro Clonazione della memoria di massa del computer portatile sostituendo l’hard disk originale con quello clonato mercoledì 30 giugno 2010
  33. 33. Case study - 1 Risultanze • Il dipendente aveva una corrispondenza diretta con l’azienda concorrente • Furono recuperati file cancellati con le richieste dell’azienda concorrente e i progetti / ricette in allegato • Il dipendente fu allontanato dall’azienda la settimana successiva alla comunicazione delle risultanze della perizia mercoledì 30 giugno 2010
  34. 34. Case study - II • Piccola azienda di circa 30 dipendenti • Nessun responsabile informatico in loco • Produzione e progettazione di macchinari industriali Causa: l’azienda concorrente per 8 mesi è riuscita ad imporsi al meglio sul mercato offrendo gli stessi macchinari a prezzi inferiori Sospetto: fuga delle informazioni commerciali e sospetto di copiatura di interi progetti mercoledì 30 giugno 2010
  35. 35. Case study - II Non c’è alcun sospetto sui dipendenti, non ci sono postazioni portatili, non esistono fornitori esterni che lavorano in loco Da un primo colloquio con il cliente, l’impressione è stata quella di paranoia e non rassegnazione del fatto che l’azienda concorrente stesse andando meglio Non era così!!! mercoledì 30 giugno 2010
  36. 36. Case study - II L’intervento viene fatto nella notte, ad azienda chiusa. Presenti in loco vi era solo l’AD e la persona di fiducia L’infrastruttura informatica era molto semplice: una rete piatta in classe C, 2 server e circa 10 workstation I computer venivano lasciati accesi durante la notte Su una delle postazioni accese ad un certo punto notiamo che il puntatore del mouse inizia a muoversi da solo sfogliando le direcotry del computer mercoledì 30 giugno 2010
  37. 37. Case study - II Decidemmo di intervenire al mattino per acquisire di dischi per poi scoprire che: • Il file server era esposto direttamente su Internet con il Desktop Remoto abilitato • Su tutti i computer era installato vnc server a totale insaputa dell’azienda • Il computer dell’AD aveva un keylogger che oltre a catturare tutto ciò che venisse digitato, eseguiva degli screen shot mercoledì 30 giugno 2010
  38. 38. Case study - II Ad analisi terminate si proseguì con: • Consegna alla Polizia Postale della perizia e dei log di sistema con gli indirizzi IP Internet che hanno acceduto nel tempo sul server • Bonifica su tutti i computer e server presenti in azienda • Installazione di un Firewall configurato a modo mercoledì 30 giugno 2010
  39. 39. Case study - III • Azienda di 40 dipendenti • Personale tecnico informatico esterno • Produzione di componenti di precisione Causa: in corrispondenza di un forte calo degli ordini, il responsabile della produzione viene assunto nell’azienda concorrente Sospetto: furto dei progetti mercoledì 30 giugno 2010
  40. 40. Case study - III Il dipendente era solito lavorare in un ufficio isolato ed appartato senza colleghi con cui collaborare I file dei progetti risiedevano su un due computer di uso quasi esclusivo del sospettato con totale libertà di utilizzo sulla rete locale e Internet mercoledì 30 giugno 2010
  41. 41. Case study - III Il colloquio con l’AD non fu molto produttivo questo perchè completamente disinteressato ai tipici usi dell’infrastruttura informatica aziendale • Il backup dei progetti veniva fatto su un hard disk esterno custodito in cassaforte • Nella rete dell’azienda non vi era alcun dominio di rete • I fatti potevano risalire ad almeno 6 mesi dall’intervento mercoledì 30 giugno 2010
  42. 42. Case study - III Ad analisi terminate le uniche risultanze furono: • I file potevano essere stati spediti da quel computer direttamente su Internet • Il dipendente ha collegato svariate volte il proprio computer portatile alla rete aziendale per usi privati • Nei computer è stato rilevato l’utilizzo di una penna usb non appartenente all’azienda mercoledì 30 giugno 2010
  43. 43. Ricapitolando... • Reagire in tempi brevi porta ad una maggiore possibilità di ottenere risultanze utili • Vietare ai dipendenti l’utilizzo di materiale informatico personale all’interno del contesto aziendale comporta ad una maggior tracciabilità degli eventi sospetti mercoledì 30 giugno 2010
  44. 44. Conclusioni La paranoia è eccessiva Ignorare la problematica è uno sbaglio Prevenire è sicuramente meglio di curare... ... ma se proprio bisogna curare, farlo tempestivamente e senza improvvisare! mercoledì 30 giugno 2010
  45. 45. Riferimenti • http://www.corriere.it/cronache/09_maggio_19/ donofrio_mvagusta_ducati_72ecc4f8-4487-11de-a9a2-00144f02aabc.shtml • http://www.lastampa.it/_web/cmstp/tmplrubriche/tecnologia/grubrica.asp? ID_blog=30&ID_articolo=4891&ID_sezione=&sezione= • http://quotidianonet.ilsole24ore.com/2007/09/25/38198- spionaggio_industriale_esselunga.shtml • http://www.comunicati-stampa.net/com/cs-35672/ • http://www.umbriainnovazione.it/portaldata/umbriainnovazionefile/ 0dossier_segreto_industriale.pdf • http://steve.deftlinux.net/didattica mercoledì 30 giugno 2010
  46. 46. Domande? Dott. Stefano Fratepietro Bologna, 9 giugno - Smau 2010 stefano@deftlinux.net Bologna Fiere Creative Commons Attribuzione-Non opere derivate 2.5 mercoledì 30 giugno 2010

×