Rumore di Fondo E08S02 - Security through disinterest
🗓️ Giugno (水無月), il mese senza acqua
🎬 Eric
#ransomware #security #privacy
//.intro
"Rumore di Fondo" è una pubblicazione altamente aperiodica, indipendente e senza alcuno scopo di lucro
//.signorina37
digital strategist, retrogamer, programmatrice COBOL, diabetica, cucino e parlo giapponese, ho scritto libri, ho visto cose, frequento gente discutibile
E08S02:
Security through disinterest
retroplaylist di giugno
🖥️ SECURITY THROUGH DISINTEREST
"after all, we are all alike"
Sono cresciuta con il mantra "knowledge is not a crime", in tempi in cui le BBS erano il non plus ultra della comunicazione tra utenti lontani e il temine "hacker"1 era usato a proposito.
Negli anni, nonostante aver cambiato settore lavorativo, ho sempre accarezzato e coccolato quel fil rouge che mi legava all'informatica, alla sicurezza; fino a tornare a casa, occuparmi di cyber con un bagaglio culturale arricchito, con soft skills e conoscenze che mi hanno permesso di posizionarmi in un ambito meno "Elliot" e più "Kevin" (questa è tutti i soldatini di piombo out there)2 .
Di cosa si compone la cybersecurity?
Di persone, di macro e micro aree, di zone d'ombra, di esperienze, d'informazione, di livelli di apprendimento rapidi e, soprattutto, di pregiudizi.
Da parte di chi pensa che "tanto a me non succede", "tanto ho la licenza di Kaspersky per tre computer", "io uso il Mac quindi ciao-ciao virus", "ah ma a chi interessa un pastificio" - fermatemi se conoscete già queste storie.
Storie di chi poi, viene piangere incredulo, chiedendosi come mai la produzione sia stata bloccata per giorni, settimane, e perché il nipote della portinaia che ha fatto il DAMS non sia stato in grado do fermare un attacco hacker.
Niente contro chi ha fatto il DAMS, ho amici che hanno basato la carriera sugli studi di materie che con la cyber non si accozzano nemmeno per sbaglio, ma ritengo che serva un minimo di cognizione di causa, esperienza e voglia di mettersi in gioco.
Adesso potrei sparare sulla croce rossa e lamentarmi di come la comunicazione di ACN (Agenzia per la Cybersicurezza Nazionale) sia inefficace, inesistente, totalmente errata e instilli un senso di sfiducia totale in chi dovrebbe sentirsi rappresentato. Non lo farò, anzi, prenderò l'esempio di ACN per una considerazione ad ampio spettro.




Che cosa fanno ACN e CSIRT?
Definizione.
Si occupano di tutelare i cittadini, le aziende, le pubbliche amministrazioni; si occupano di fornire supporto e assistenza a chi è stato vittima di un attacco informatico. Si occupano di promuovere campagne di prevenzione e, in collaborazione con enti Europei (ENISA, …) stilare e revisionare linee guida che possano essere utili e d'impatto nella prevenzione maxima della criminalità a livello informatico.
Che cosa fanno ACN e CSIRT?
Percezione.
Blaterano sui social, peraltro con commenti chiusi perché si prenderebbero tanti di quegli insulti che la metà ne basta.
Che cosa fanno ACN e CSIRT?
Suggerimento.
Una comunicazione più ampia, ascolto del cittadino come dell'imprenditore, una promozione capillare di strategie di difesa affiancate da informazione su cosa è davvero la criminalità della rete.
Ho semplificato molto, lo so, ma se state leggendo questo contenuto, non siete digiuni delle basi tecniche e, soprattutto, non siete digiuni delle operatività reali. Reali, perché quelle sulla carta sono spesso bellissime e forbitissime parole, a volte con congiuntivi non troppo lineari e con traduzioni pericolanti (vedi la campagna del CyberSecurity Month, giusto per citarne una); reali perché chi ci mette la mani, non è ACN, sono le persone che lavorano in quella tale azienda. Gli IT guys, i VUA, gli addetti alla sala macchine.
Che di solito l'età di chi si ricorda i baud e napster, mIRC e i cheat code, i Guru Meditation e gli adattatori telefonici3.
Lungi da me sostenere che i giovani virgulti della cyber siano totalmente incapaci, tuttavia la differenza di background si fa sentire.
Oggi tutti sappiamo cosa sia un ransomware, sappiamo che un hacker è il cattivo (peste vi colga, davvero!), sappiamo che il dark web non è la stessa cosa del surface web (e grazie al #@!**) e sappiamo che cosa sia un DDoS (circa, perché spesso viene classificato come evento di penetrazione dei sistemi). Capacissimi tutti di lanciare nmap4 (sapete che conosco Gordon? Che quando lanciò il progetto feci per lui diversi banner grafici?), di usare KVIrc5 (sapete che per anni ho sviluppato temi ufficiali per il client? E che la release di Time Makes No Sense ha origine da una conversazione notturna tra Szymon e me? E che la release Avatar è... beh, chiedetelo a lui), lanciare un portscan e classificare le subnet. Ma della storia di internet e della sicurezza, quelle cose di cui parliamo negli awareness con BCyber, quanto ne sappiamo?
Certo, come è nato internet non è rilevante ai fini della prevenzione di un malware, nemmeno sapere su che porta gira PLEX ti salva la vita da un RCE; si tratta di quella cultura che aiuta a capire le cose, che aiuta a capire certi ragionamenti.
Semplifico ancora: un newbie punterà al massimo danno con il minimo sforzo in breve tempo. Un veterano sa che per ottenere un risultato efficace serve tempo e movimenti laterali che richiedono uno sforzo maggiore, rispetto al "clicca e distruggi".
Gli skiddie pensano che un attacco DDoS al sito istituzionale di un governo sia la via migliore per buttare giù l'infrastuttura; il ninja sa che un attacco DDoS alla supply chain regalerà più informazioni.
In tutto questo c'è sempre una costante: il fattore umano.
È determinante, per la sicurezza di un'azienda, grande o piccola che sia.
E se l'umano preposto non è capace, la strada verso la distruzione è spianata.
"Eh, ma se ti entrano dentro sfruttando una CVE, che ci posso fare?"
Tenere i sistemi aggiornati, adottare un perimetro di sicurezza più efficace, tutelare gli accessi interni ed esterni, assicurarsi di avere una supply chain con lo stesso standard di sicurezza. Basta questo? No, lo vediamo ogni giorno su Ransomfeed che non basta. E ne diamo conto.
Fare del proprio meglio non vuol dire evitare sempre un attacco, vuol dire mitigare i possibili danni e avere un piano di rischio e di recupero ben strutturato.
Facile, no? Nei film funziona sempre!
Nella realtà funziona meno bene, un po' perché non c'è ancestralità del rischio e di come difendersi, un po' perché manca la consapevolezza delle attuali minacce. Chiedete a un over 50, ruolo dirigenziale, che cosa sia un ransomware6… La risposta potrebbe essere simile a quella che danno a me quando, al ristorante, chiedo se hanno menu per diabetici.
Ma in azienda non ci sono solo over 50 con ruolo dirigenziale che non sanno un'accidenti di come funziona il mondo di Elliot; ci sono persone nominate CISO o CIO o IT-coso che dovrebbero vigilare e supervisionare tutto quello che è la security. C'è un "ma", bello grosso… Spesso sono figure che non hanno formazione in materia, basta il ragazzo che sa riparare la stampante (geez, detesto doverlo ribadire, ma Frattasi stesso dichiarò "non serve avere competenze specifiche", come se ci fosse stato bisogno di un'ulteriore ginocchiata nei denti) o quello che si intende di computer. Non si spende per l'organico e non si investe in misure pro attive.
Su questo potremmo discuterne per secoli e non riuscire a trovare una risposta efficace ed efficiente; mi preme anche toccare un secondo aspetto, quello della comunicazione. E comincio con un esempio reale.
Su Ransomfeed monitoriamo gli attacchi a livello internazionale ma abbiamo un occhio più attento per quelli italiani e svizzeri; non contattiamo mai le aziende per notificare i breach, non è certo il nostro compito, ma spesso accade che le aziende siano totalmente ignare di quello che succede all'interno delle loro infrastrutture.
Succede quindi che, quando pubblichiamo la card, qualcuno ci contatti dicendo che l'azienda non è quella giusta; in questo caso verifichiamo, ci documentiamo e pubblichiamo una nota con una rettifica (se del caso). Abbiamo imparato molto da questi mismatch dei gruppi ransomware, ecco perché spesso non pubblichiamo immediatamente la notizia: ci prendiamo del tempo per analizzare, controllare, verificare e chiedere. Perché se sbagliano i gruppi, sbagliano anche le persone che riportano le notizie.
Quando consideriamo gli attacchi nella loro globalità, che siano ransomware, DDoS o leak senza esfiltrazione apparente, serve cautela e attenzione. E può capitare che venga dichiarata un'esfiltrazione di dati mentre, in realtà, non è avvenuta. L'azienda magari non ne è al corrente e, per questo, il buon samaritano che è in noi, suggerisce d'informare l'azienda stessa, fornendo dettagli che possano portare a un'indagine interna.
Bravi, vero?
Sì… Peccato che la maggior parte delle volte le aziende non rispondano.
In privato, tramite le loro email dedicate. Fa un po' brutto uscire con un tweet del tipo "hey @azienda! Lo sai che ti hanno bucato?" - non è corretto, non è rispettoso della privacy e mette a rischio, ulteriormente, la loro sicurezza.
Ma vi siete chiesti perché non rispondono?
Io sì. E ho elaborato diverse teorie; ve le semplifico qui sotto.
No woman no cry
Quando il SMM o il responsabile della comunicazione è messo lì solo perché c'erano 100 euro al mese da dare e tutti dicono che devi stare sui social.
Il SMM non fa il suo lavoro, controlla una volta al mese, non sa di che si parla e gli account pubblicano in automatico solo notizie sull'ultimo Pomello d'Oro ricevuto in premio dal SuperMegaDirettore.
No man's land
Gli account social sono stati creati nel pleistocene, da lì, dopo una campagna marketing atta all'awareness, si è lasciato perdere tutto - perché investire 100 euro in adv per un mese non ha portato i followers da zero a 2-milioni-anzi-2-miliardi.
Wish you were here
Il SMM è abbastanza assiduo, tipo una volta a settimana, posta quello che il CEO gli dice di postare, legge e smista le mail, risponde ai messaggi sui social ma non controlla la cartellina "request". Si perde i messaggi di IG, FB, TW, ma non pensa che sia necessario andare a controllare quelli di LinkedIN (che tanto non è un social ma roba per le aziende e poi ho letto che fanno solo spam).
Papa don't preach
Il SMM controlla i social, legge, si informa il minimo che serve per portare a casa lo stipendio. Intanto gestisce anche "il facebook e il whazzap" della pizzeria. Trova un messaggio che pare essere importante, lo porta al superiore che lo liquida come "evaso" gettandolo nel cestino.
E quando emerge la problematica, il SMM è quello che si prende la lavata di capo, nonostante abbia fatto la cosa giusta.
Award speciale: Stand by me
La situazione catastrofica impatta l'azienda, al SMM e allo staff viene impartito l'ordine di rispondere con frasi fatte e non divulgare informazioni (come se ne sapessero qualcosa le signorine del call-center). Alla domanda "avete compreso che una frase fatta non risolve il problema, anzi aumenta la frustrazione, e che dovete riformulare la comunicazione?" Segue la laconica risposta "È soddisfatto della nostra chat? Lasci un feedback che ci aiuti a migliorare".
Award speciale: The sound of silence
"Nessun dato è andato perso", 'nuf said.
Il disinteresse, la mancanza di conoscenza di pratiche di comuni nella gestione di una crisi, a livello comunicativo, è disarmante.
Sommata alla scarsa consapevolezza del rischio cyber è una combinazione letale per ogni azienda.
Christian Bernieri7, DPO che ne sa a vagonate, ha scritto del perché è necessario essere informati su più livelli - in questo articolo - ed è di vitale importanza per la sanità aziendale potersi avvalere di strumenti d'informazione (come Ransomfeed) e di consulenze di società che operano nel campo della sicurezza.
Non solo: comunicare male genera disinformazione, caos, paura e un dilagante "stun effect" nelle persone. Se non dicono niente, non è successo niente, quindi va tutto bene. Salvo poi trovarsi incriminati di aver rapinato una banca nel Kondike perché il documento accertato era della casalinga, utente della ASL Voghera 55.
🎼 RETROPLAYLIST DI GIUGNO (SPOTIFY)
Bob Marley - No woman no cry
Kate Bush - Running up that hill
The Pineapple Thief - No man’s land
A-ha - Take on me
Madonna - Papa don’t preach
Tears for Fears - Everybody wants to rule the world
Pink Floyd - Wish you were here
Sido - Liebe
Oasis - Stand by me
Queen - Under pressure
Disturbed - The sound of silence
Definizione di hacker: https://en.wikipedia.org/wiki/Hacker
ESOCOP, se vi capita di andare al Brusaporto Retrocomputer Festival o alla Rote Fabrik Vintage Computer di Zurigo, cercateci: https://www.esocop.org/
la prima apparizione di nmap è stata in “The Matrix”: https://nmap.org/movies/
l’header del sito ufficiale è ancora il mio: https://kvirc.net/
la definizione ufficiale, vale la pena rileggerla perché a volte sfuggono le sfaccettature: https://en.wikipedia.org/wiki/Ransomware
il blog di Christian, Il Pensatoio: https://bernieri.blogspot.com/