L'organigramma privacy e le responsabilità connesse; il riscontro agli intere...
Errori tipici nella gestione del data breach
1. Errori tipici nella gestione del
data breach
Paolo Dal Checco - Consulente Informatico Forense
2. Chi sono
q PhD @UniTO nel gruppo di Sicurezza delle Reti e degli Elaboratori
q Passato di R&D su crittografia e sicurezza delle comunicazioni
q Collaborazione con Università degli Studi di Torino e Milano
q Consulente Informatico Forense, Perizie Informatiche per Privati, Aziende, Avvocati, Procure,
Tribunali, F.F.O.O. – CTU Informatico, CTP Informatico
q Albo CTU e Periti del Tribunale di Torino, Periti ed Esperti CCIAA TO
q Tra i fondatori e nel direttivo dell’Osservatorio Nazionale d’Informatica Forense (www.onif.it)
q Socio IISFA, Tech & Law, Clusit, LAB4INT, Assob.It, AIP
q www.dalchecco.it, www.ransomware.it, www.bitcoinforensics.it, www.osintbook.it
q paolo@dalchecco.it, @forensico
3. Data Breach
• Episodio che causa la perdita/fuoriuscita d’informazioni riservate
• Perdita di riservatezza, integrità, disponibilità
• Es. data breach con ingresso criminale in azienda fuoriuscita di dati:
• Le aziende impiegano mesi per rilevare una intrusione*
• L’intruso rimane silente per diverso tempo
• L’intruso cancella le tracce dell’accesso e dell’operato
• Spesso non è possibile capire:
• Come l’intruso è entrato
• Cosa ha fatto (preso dati, criptato, installato malware, fatto da ponte
per attaccare terzi, etc…)
• Quanto tempo è rimasto
• Se è uscito
*http://www.zdnet.com/article/businesses-take-over-six-months-to-detect-data-breaches/
4. Esempio: Man in The Mail
• Nota anche come BEC Scam o Business Email Compromise
• Variante più pericolosa della CEO Fraud
• Esempio calzante della difficoltà d’identificare il perimetro
• Difficile capire:
• Come sono entrati
• Cosa hanno preso
• Se sono ancora dentro il perimetro
• Spesso diventa strategica la perizia informatica forense su smartphone, caselle
di posta, PC e server per identificare da dove è provenuto l’attacco che ha
causato l’immissione di bonifici a errate coordinate IBAN
• Le perizie informatiche a uso legale, per utilizzo in Tribunale, possono
permettere di smarcare le responsabilità di cliente e fornitore nell’accesso da
parte dei criminali alle email utilizzate per perpetrare la truffa
5. Esempio: Ransomware
• Malware che infetta i sistemi (PC,
server, talvolta Mac OS, Android,
iOS e Linux) criptando i dati e
chiedendo un riscatto (in genere in
bitcoin) per fornire la chiave di
decifratura
• In alcuni casi gli attacchi vengono
fatti da criminali che accedono ai
sistemi (in genere server, in genere
via RDP) e fanno danni
6. Esempio: Trojan
• Keylogger, banking trojan, spy
software
• Può diffondersi via mail, allegato,
link, phishing, navigazione web, SMB,
macro, etc…
• Spesso i trojan acquisiscono
informazioni e mandano «leak»
all’esterno
• Possibile tracciatura: firewall, proxy,
siem, ids, proxy, etc…
• Possibili analisi: PC infetto
7. Esempio: Phishing
• Spesso vettore per Man in
The Mail, Ransomware e
Trojan
• Difficile da impedire
tecnicamente
• In caso di
compromissione, può
essere rilevato tramite
analisi della posta o del
PC del soggetto caduto
nel tranello
10. Errori tipici
• Spegnere tutto, staccare la rete, isolare i sistemi
• In alcuni casi può avere senso (in particolare isolare i sistemi)
ma va fatto pesando pro e contro
11. Errori tipici
• Non riferire ai
responsabili IT o ai
colleghi cosa è successo
• Piccoli indizi possono
indicare un attacco in
corso (ma senza diventare
paranoici…)
• La comunicazione, nelle
prime fasi, è importante
perché permette di
limitare i danni
12. Errori tipici
• Reinstallare tutto senza
mantenere le evidenze
digitali
• Va benissimo la
business continuity,
tenere presente anche
la digital forensics
• Succede spesso con la
posta elettronica: le
email rilevanti vengono
cancellate
13. Errori tipici
• Sistemi
configurati senza
log
• Oppure log non
centralizzati ma
sulle macchine
attaccate
• Log che non
differenziano
correttamente gli
utenti
15. Errori tipici
• Mancata protezione dei dati (mancata cifratura dischi o
pendrive, accumulo mail, permessi aree private, configurazione
errata portali, etc…)
16. Errori tipici
• Mancata percezione dell’impatto del mondo digitale sul reale e
viceversa (es. inserimento pendrive, disposizione bonifici su
IBAN inviati via mail, click su link o apertura allegati, etc…)