Il commento

AssetProtection. Caso Eye Pyramid, i rischi derivano dai nostri comportamenti

di Marco Recchia |

Si tratta di sviluppare azioni affinché gli utilizzatori imparino a tenere conto dei rischi insiti nelle tecnologie; in una parola diffondere una cultura del rischio.

La rubrica AssetProtection, ovvero Riflessioni su sicurezza e terrorismo, a cura di Anthony Cecil Wright, presidente Anssaif (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria). Per consultare gli articoli precedenti clicca qui.

Da tempo circola nell’ambito degli addetti alla sicurezza una frase ormai famosa: il problema non è sapere se un attacco ai sistemi è possibile o meno, ma sapere quando si manifesterà.

Prima o poi doveva succedere anche da noi: i giornali riportano con dovizia di pagine la notizia della rete che i fratelli Occhionero avrebbero messo in esercizio raccogliendo gli account e le password di migliaia di utenti. E che utenti!

Alcuni giornali hanno parlato di software realizzato ad hoc, una sorta di malware realizzato in house e come tale di difficile individuazione.

Il laboratorio sul cybercrime di ANSSAIF  è intervenuto sull’argomento il 16 gennaio 2017, dove Secondo diversi esperti (leggi qui) il malware, scritto in .Net, e trasmesso in file .zip, era semplice e facilmente identificabile.

L’articolo invitava a riflettere sul livello di protezione delle persone colpite:

Come mai?  Anche personaggi del  mondo politico ed istituzionale?  Ciò in quanto gli attacchi hacker riguardano gli altri, mai noi stessi?

Un malware come Eye Pyramid è acquistabile facilmente su internet in forma di kit personalizzabile, in pratica si tratta di un botnet, cioè qualcosa che gli esperti conoscono bene.

Sono oggetti che sfuggono ai normali anti malware, ma che con software specifici possono essere individuati.

Gli account monitorati secondo le notizie fin qui disponibili sono 18.000 circa: non è un numero elevatissimo tenendo conto che probabilmente molti di questi account fanno capo a caselle di mail aperte per una esigenza specifica, ma non più utilizzate da tempo.

E’ possibile che ci siano delle falle magari dovute semplicemente al mancato aggiornamento da parte dei tecnici addetti dei software presenti sui server della rete, ma gettare le colpe sui tecnici non è un atteggiamento produttivo.

Di recente un paio di amici mi hanno cercato per dirmi che il loro smartphone si era rotto e avevano perso tutti loro preziosi contatti, ho domandato loro se avevano provveduto a fare un backup del dispositivo mobile e per risposta mi hanno chiesto cosa era il backup.

Le moderne tecnologie ci permettono di fare cose impensabili pochi anni fa e gli utenti le usano con soddisfazione perché sono semplici e non c’è bisogno di capire come funzionano.

Ma tutte le tecnologie introducono dei rischi che devono essere presidiati e le prime contromisure sono quelle che derivano dai nostri comportamenti.

Un malware potrebbe facilmente utilizzare a nostra insaputa la telecamera del nostro pc per spiare il nostro agire; coprire con un pezzo di nastro adesivo la telecamera quando non la utilizziamo evita questo rischio.

Si tratta quindi di sviluppare azioni affinché gli utilizzatori imparino a tenere conto dei rischi insiti nelle tecnologie; in una parola diffondere una cultura del rischio.

Questo vale per gli adulti ma anche per i ragazzi che, ad esempio, non sanno a quali conseguenze li può portare l’abitudine di diffondere la propria immagine sui social network.

ANSSAIF da anni cerca di promuovere azioni in tal senso organizzando interventi nelle scuole o in altre community ed ha sviluppato un progetto supportato dall’AGID dove forte della sua esperienza, ha collaborato, insieme alla Polizia Postale e con il supporto di aziende specializzate, alla realizzazione del progetto “Web sicuro” sviluppato dal MOIGE.

Si tratta quindi di sviluppare ed estendere tali azioni, certi che l’educazione al rischio è sicuramente la contromisura più idonea per presidiare i rischi ai quali siamo tutti esposti.