Pensiero Profondo BLOG

Succede...

Anche alle squadre di calcio più famose e blasonate succede ogni tanto di subire un gol "a porta vuota".
Forse se ne sente parlare poco, anche perchè fanno più notizia invece i casi in cui un attaccante riesce incredibilmente a sbagliare un tiro così facile...

Ma anche le Reti Aziendali beccano dei "gol a porta vuota" !

Il caso più recente è capitato nientemeno che al Jet Propulsion Laboratory della NASA, che si è trovato "in rete" una scheda Raspberry Pi attraverso la quale pare siano stati sottratti ben 500 Mbyte di dati nell'arco di 10 mesi:

Come può accadere ?

Facciamo un esperimento:

• prendete un qualunque PC portatile da casa e portatelo con voi in Ufficio;
• una volta in Ufficio, collegate il PC ad una qualsiasi delle prese di rete (se non ne trovate una libera o non avete con voi un cavetto di rete, scollegate temporaneamente un qualunque PC Aziendale che per il momento è inutilizzato);
• accendete il PC ed accedete a Windows con lo Username e la Password che usate a casa;
• una volta entrati nel PC, aprite una finestra di comandi (premendo i tasti  "Windows" e "R", e poi digitando "cmd.exe");

• nella finestra di comandi, digitate il comando "ipconfig" e vedete cosa viene fuori:

Posso scommettere che quasi nel 100% dei casi il risultato di questo semplice esperimento sarà molto simile a quello che vedete qui sopra, cioè che la vostra Rete Aziendale avrà "regalato" al vostro PC di casa un indirizzo IP (nell'esempio: 10.0.0.2).

Perchè "regalato" ?

Perchè per ottenere quell'indirizzo IP (ovvero per "entrare in rete") il PC di casa non ha dovuto chiedere alcun permesso, nè ottenere alcuna autorizzazione dai sistemi Aziendali preposti alla gestione della sicurezza della Rete della vostra Azienda !
E' bastato solo che il PC di casa dicesse alla Rete Aziendale:
"Ciao ! Sono un PC con una scheda di rete il cui MAC Address è 54-E1-AD-68-7A-D3. Mi servirebbe un indirizzo IP".
Questa richiesta è stata immediatamente ricevuta dal Server che ha il compito di gestire gli indirizzi IP di tutti i dispositivi connessi alla Rete (DHCP Server), il quale ha risposto con tutti i parametri necessari a configurare la scheda di rete del PC per consentirle di connettersi alla Rete Aziendale.

In pratica, il PC di casa è entrato in Rete a porta vuota !

...e adesso, cosa può succedere ?

Beh, il PC di casa non ha ovviamente le "chiavi" per entrare nei Sistemi Aziendali, quindi non è (almeno teoricamente) in grado di costituire una minaccia diretta.
Però è come avere uno sconosciuto nascosto nel corridoio che - anche se non può entrare in nessuna stanza perchè tutte le porte sono chiuse a chiave - può stare lì ad osservarci quando passiamo e (se vuole) farci anche paura.

Se poi questo "estraneo" ha le capacità e gli strumenti necessari, può anche tentare di origliare le nostre conversazioni private, ad esempio utilizzando le tecniche di ARP-Poisoning di cui vi ho parlato qui.

E' probabilmente in questo modo che i cyber criminali sono riusciti a sottrarre tutte quelle informazioni alla NASA !

L'accesso alla Rete Aziendale non può essere "regalato" così !

In pratica, chiunque abbia accesso ai locali della nostra Azienda può connettere alla Rete Aziendale un PC o un altro dispositivo (come ad esempio il Raspberry Pi che i cyber criminali hanno installato nei Laboratori della NASA) senza che il Dipartimento IT ne sappia nulla !

Ci sono delle soluzioni per evitare tutto questo ?

Sì. Ad esempio nelle reti WiFi questo non succede, perchè per accedere alla rete WiFi è necessario come minimo conoscere la chiave di rete.
Inoltre la rete WiFi può essere facilmente configurata in modo da richiedere che l'utente si autentichi (ad es. con USERNAME e PASSWORD) prima di accedere.

Nelle reti CABLATE (che sono nate molto tempo prima delle reti WiFi) invece questi meccanismi di sicurezza non sono nativamente presenti.
Se non si implementano misure aggiuntive, il controllo di accesso alla rete cablata è delegato unicamente al controllo dell'accesso fisico ai locali dove sono presenti le prese di rete (es. gli Uffici) o dove sono presenti gli apparati di rete (es. i vani tecnici che contengono gli SWITCH  e i PATCH PANEL).

DHCP Enforcement

Dal momento che (come abbiamo visto) è il Server DHCP che "regala" l'accesso alla rete cablata a qualsiasi dispositivo lo chieda, sembrerebbe ovvio cercare la soluzione nella implementazione sul Server DHCP di meccanismi per fare in modo che sia il Server stesso a verificare in qualche modo l'identità di chi richiede l'accesso, prima di concederlo.

Questi meccanismi (che vanno sotto il nome di "DHCP Enforcement") risentono però di significative limitazioni:

• possono essere facilmente aggirati (l'utente che accede può impostare la configurazione della scheda di rete in modo statico - inserendo manualmente l'indirizzo IP e gli altri parametri necessari - evitando così che il PC debba rivolgersi al DHCP Server per accedere);
• richiedono di norma l'installazione di un apposito programma "agent" sul PC, per funzionare correttamente.

Ethernet Remote Annihilator

Tempo fa, qualche Amministratore di Rete particolarmente infastidito dalla continua presenza di dispositivi non autorizzati connessi alla rete cablata si è inventato una soluzione piuttosto drastica al problema...

L'Ethernet Remote Annihilator (letteralmente "disintegratore di schede di rete a distanza") è un apparecchio elettrico di semplice realizzazione ed uso, di cui vi riporto qui sotto lo schema costruttivo:

Una volta individuato il dispositivo indebitamente connesso alla rete, basta recarsi nel vano tecnico, staccare dal PATCH PANEL il cavo che collega la presa di rete allo SWITCH e connettere al suo posto l'Ethernet Remote Annihilator, avendo cura di inserire bene la spina Trifase.

Dopo aver sentito il botto provocato dall'esplosione della scheda di rete, si rimette tutto a posto come prima, portandosi via l'Ethernet Remote Annihilator che potrà quindi essere successivamente riutilizzato per ulteriori "interventi risolutivi" ;-D

Scherzi a parte...

La soluzione al problema si chiama NAC (Network Access Control).

Ne parleremo nel prossimo articolo.
Restate sintonizzati.

Cordialmente vostro,
Autostoppista Cyber Galattico.

Auguri di Buon Anniversario !

Per sempre vostro,
Autostoppista Cyber Galattico.

Le Security Policy hanno bisogno di ENFORCEMENT

Le Security Policy sono lo strumento con cui vengono formalizzate tutte le regole tecniche ed organizzative che si intende mettere in campo per garantire la sicurezza delle informazioni Aziendali.

Sono cioè un insieme di norme comportamentali e tecniche che debbono essere seguite nell'attuazione dei processi di Business, in modo da tutelare la Riservatezza, Integrità e Disponibilità delle informazioni Aziendali.

Per essere realmente efficace, una Security Policy dovrebbe:

• essere ben documentata attraverso un documento ufficiale, chiaro e facilmente comprensibile ai destinatari;
• essere ragionevole ed applicabile, cioè essere motivata dalla riduzione dei rischi per la sicurezza delle informazioni, e costituita da un insieme di misure effettivamente implementabili nel contesto Aziendale;
• essere conosciuta ed applicata, cioè essere adeguatamente diffusa ai destinatari che la debbono applicare e prevedere sanzioni in caso di mancata applicazione;
• essere (ove possibile) supportata da strumenti di ENFORCEMENT, cioè prevedere l'introduzione di strumenti tecnici ed organizzativi finalizzati a facilitarne l'applicazione e/o a scoraggiarne la mancata applicazione.

Ad esempio, la Policy che richiede l'impiego di password complesse per l'autenticazione è solitamente supportata da uno strumento automatico che verifica alcune caratteristiche della password scelta dall'utente e rifiuta l'inserimento di password che non rispettano determinate caratteristiche.

Cosa succede se l'ENFORCEMENT viene a mancare ?

Le Security Policy che non sono supportate da strumenti di ENFORCEMENT perdono purtroppo gran parte della loro efficacia, in quanto viene a mancare il "controllo proattivo" sulla loro effettiva applicazione.

E' il caso che mi è capitato con la Policy Aziendale sulla gestione delle informazioni, che prescrive che tutti i nuovi file creati dagli utenti sui propri Laptop siano sempre salvati sui Server, per proteggerne la DISPONIBILITA'.
Ve ne ho già parlato in questo articolo.

Con l'antivirus e con la cifratura del disco dei PC Portatili avevo in qualche modo risolto il problema della protezione della RISERVATEZZA e dell'INTEGRITA' dei dati Aziendali memorizzati sui Laptop, ma non avevo trovato nessuna soluzione per "forzare" gli utenti a copiare appena possibile sui Server i dati creati sul Laptop...

In caso di furto/smarrimento del Laptop o a causa di un RANSOMWARE quei dati sarebbero irrimediabilmente perduti.

Bisognava trovare un TOOL in grado di rilevare tutti i documenti nuovi o modificati presenti sul Laptop e di effettuarne automaticamente la copia sui Server, non appena il Laptop venisse nuovamente connesso alla rete Aziendale.

La svolta arriva proprio adesso...

Recentemente mi è capitato di incontrare un amico ed ex compagno di studi universitari, che mi racconta di un suo progetto relativo ad un programma software per gestire foto e documenti personali, invitandomi a provarlo e a suggerirgli eventuali estensioni e miglioramenti.

Provandolo, mi accorgo subito che il TOOL che stavo cercando si trova proprio qui dentro: basta solo potenziare ed automatizzare alcune funzionalità relative alla effettuazione delle copie di salvataggio dei file !

Grazie a questo fortuito incontro, oggi è disponibile questo software GRATUITO per uso personale (la licenza della versione estesa per uso Aziendale costa pochi euro...) che può fare ciò di cui avevo bisogno ed anche tanto altro...

Buon BACKUP a tutti !

Cordialmente vostro,
Autostoppista Cyber Galattico.

(*) "E' già Mercoledì, e io no" è il titolo di un libro di Alessandro Bergonzoni

Il 2° Martedì del mese Microsoft rilascia gli aggiornamenti...

...e il Mercoledì successivo gli Amminstratori del Dipartimento IT hanno gli incubi !

Molti di questi aggiornamenti sono aggiornamenti di sicurezza, fatti per correggere vulnerabilità che altrimenti potrebbero essere sfruttate per un attacco ai nostri sistemi.

Sul PC di casa siamo ormai abituati a vedere le notifiche che ci arrivano dal servizio di Windows Update quando gli aggiornamenti vengono automaticamente rilevati, scaricati ed installati. Ogni tanto (spesso) è necessario anche riavviare il PC per completare l'aggiornamento, e sappiamo bene che questo comporterà un certo tempo di attesa.
Dopo queste operazioni, il nostro PC dovrebbe ripartire tranquillamente e tutto dovrebbe funzionare di nuovo come prima (o meglio).

Il condizionale è d'obbligo, in quanto non è detto che tutto ritorni a funzionare come prima dopo un aggiornamento !

Ecco perchè, prima di effettuare aggiornamenti importanti sul PC, il servizio di Windows Update crea un punto di ripristino da cui è possibile far ripartire il tutto, nel caso qualcosa vada storto.
Di recente, Microsoft ha addirittura previsto la rimozione automatica degli aggiornamenti che causano problemi all'avvio del PC, per problemi hardware, danneggiamento dei file o per la presenza di software non compatibili.

...e per l'aggiornamento dei PC Aziendali ?

Di norma, l'installazione degli aggiornamenti sui PC Aziendali viene gestita e controllata centralmente dal Dipartimento IT tramite i servizi WSUS (Windows Server Update Services).

Un apposito Server Aziendale dedicato (WSUS Server) connesso a Internet riceve periodicamente tutti gli aggiornamenti rilasciati da Microsoft e li memorizza localmente.
Gli Amministratori del Dipartimento IT verificano e pianificano l'installazione degli aggiornamenti sui vari Gruppi di PC Aziendali, in base alle esigenze operative e tenendo conto delle diverse configurazioni specifiche di ogni Gruppo.

In questo modo:

• non è necessario che ogni PC Aziendale si scarichi i propri aggiornamenti da Internet - gli aggiornamenti vengono scaricati una volta sola sul Server WSUS;
• gli Amministratori del Dipartimento IT possono preventivamente verificare, su un campione di ogni Gruppo di PC, che l'installazione di questi aggiornamenti non provochi malfunzionamenti con le applicazioni Aziendali;
• l'installazione degli aggiornamenti sui PC Aziendali non richiede che gli Utenti possiedano privilegi di Amministratore - cosa che (come abbiamo visto) è meglio evitare.

Anche i Server Aziendali vanno aggiornati...

Applicare gli aggiornamenti di sicurezza ai Server Aziendali (soprattutto a quelli esposti su Internet) è ancora più importante dei PC !

Purtroppo, l'installazione degli aggiornamenti di sicurezza sui Server è condizionata da diversi fattori:

Impatto sui Servizi IT erogati

Bisogna assicurarsi che l'installazione degli aggiornamenti su ogni Server non abbia impatto sui Servizi IT che esso eroga. Il rischio è quello di trovarsi - dopo l'installazione degli aggiornamenti - con un Sistema che non è più in grado di svolgere correttamente il proprio compito all'interno dell'infrastruttura IT Aziendale, con la conseguenza di pesanti ripercussioni sul business.

Per questo motivo il Dipartimento IT dovrebbe sottoporre gli aggiornamenti ad una fase di TEST in un apposito ambiente allo scopo dedicato, prima del loro rilascio in Produzione. L'effettiva disponibilità di questo ambiente di TEST (che dovrebbe replicare piuttosto fedelmente l'ambiente di Produzione) e la complessità delle prove da effettuare (per avere una sufficiente garanzia di continuità dei Servizi IT) condizionano fortemente le tempistiche di aggiornamento dei Server in ambiente di Produzione.

Si potrebbe pensare di abbreviare i tempi "saltando" la fase di TEST ed applicando gli aggiornamenti direttamente in Produzione, ma:

• si rischia di causare un DISASTRO

• il risultato che si ottiene, spesso non è all'altezza delle aspettative

Programmazione dei fermi di Sistema

In un mondo ideale, l'infrastruttura IT di una Azienda dovrebbe essere sempre disponibile (24 ore su 24 - 7 giorni su 7) in modo da consentire al business di operare sempre al 100% delle proprie capacità.

Questo però non è possibile, perchè:

• è necessario svolgere periodiche operazioni di manutenzione ordinaria sui Sistemi (come ad esempio la riorganizzazione di Basi Dati, i salvataggi ed eventuali ottimizzazioni / riconfigurazioni);
• è necessario procedere al rilascio in Produzione delle nuove funzionalità che vengono sviluppate nell'ambito dei numerosi progetti di innovazione (che spesso vanno a rimpiazzare o estendere Servizi già esistenti).

Per questo il Dipartimento IT stila solitamente un calendario di fermi programmati, appositamente studiato e concordato con il business,  in cui poter effettuare queste indispensabili operazioni.

Dal punto di vista del business le operazioni di manutenzione ordinaria e di rilascio delle nuove funzionalità sono considerate ad alta priorità in quanto indispensabili per il funzionamento e l'evoluzione dei Sistemi IT.
Invece le operazioni di installazione degli aggiornamenti di sicurezza sono considerate non prioritarie perchè tanto «i Sistemi funzionano lo stesso»...

Succede quindi che - specialmente in alcuni periodi perticolarmente "critici" per il business - nel calendario dei fermi programmati non si riesca a trovare spazio per l'installazione degli aggiornamenti di sicurezza.

Facciamo un pò di conti...

Proviamo a valutare una ipotesi sulla tempistica di installazione (T_inst - T₀) degli aggiornamenti di sicurezza ai Server di una generica Azienda di medie dimensioni.

T₀

Partiamo considerando come istante iniziale il momento il cui l'aggiornamento di sicurezza viene reso disponibile da Microsoft attraverso un Security Bulletin nell'ambito di uno dei "Patch Tuesday" programmati (il secondo Martedì di ogni mese), trascurando il fatto che:

• la vulnerabilità a cui si riferisce è certamente stata scoperta ben prima del rilascio dell'aggiornamento che la corregge;
• la vulnerabilità potrebbe già essere nota "in-the-wild", in quanto non è detto che chi l'ha scoperta faccia parte di quella ristretta schiera di ricercatori di sicurezza (white-hat) che rispettano il principio di "responsible disclosure";
• potrebbe essere già disponibile "in-the-wild" un exploit che sfrutta questa vulnerabilità;
• l'aggiornamento che risolve la vulnerabilità potrebbe essere disponibile già prima del suo rilascio, ma - per rispettare le tempistiche standard - ne viene programmato il rilascio nell'ambito del primo "Patch Tuesday" disponibile.

T₁ = T₀ + 3 mesi

All'interno del Dipartimento IT è solitamente presente una struttura funzionale che ha il compito di gestire, regolamentare e pianificare i cambiamenti che vanno effettuati all'infrastruttura IT.
Di solito questa struttura funzionale (denominata Change Control Board) è costituita da un Comitato di tecnici ed esperti che si riunisce periodicamente per valutare e pianificare le richieste di rilascio in Produzione di software e Sistemi IT.
Supponiamo che il Change Control Board si riunisca una volta al mese, ma che - per ottimizzare le valutazioni inerenti gli aggiornamenti di sicurezza - prenda in esame un gruppo di aggiornamenti relativo ad esempio agli ultimi 3 Security Bulletin rilasciati da Microsoft.
Tralasciando il tempo che intercorre tra il rilascio dell'ultimo Security Bulletin e la convocazione del Change Control Board possiamo quindi stimare che tra il rilascio del Security Bulletin più vecchio (T₀) e l'esame da parte del Change Control Board (T₁) siano trascorsi al massimo 3 mesi.

T₂ = T₁ + 2 mesi

Consideramo trascurabile il tempo necessario al Change Control Board per elaborare e sottoporre all'approvazione del business il Piano dei fermi di Sistema relativi alle richieste di cambiamento esaminate.
I cambiamenti approvati dal Change Control Board devono essere sottoposti ad una verifica in ambiente di TEST, per controllare che tutte le funzionalità che devono continuare ad essere attive non vengano in alcun modo compromesse dalla implementazione di questi cambiamenti.
Possiamo stimare che tra l'approvazione del Change Control Board (T₁) ed il completamento di tutte le verifiche sui cambiamenti che fanno parte di questo lotto di aggionamenti (T₂) siano necessari al massimo 60 giorni.

T_inst = T₂ + 1 mese

E' ora finalmente giunto il momento di rilasciare questo lotto di aggiornamenti (approvato e testato) in ambiente di Produzione.
Le attività di rilascio in Produzione non sono solitamente molto corpose, ma richiedono una scrupolosa preparazione preliminare che comprende l'effettuazione di salvataggi dell'ambiente prima della modifica e la predisposizione di un piano di ripristino, nel caso in cui le operazioni non vadano a buon fine.
E' possibile quindi stimare che tra l'OK al rilascio in Produzione (T₂) e il completamento dell'installazione (T_inst) possano trascorrere al massimo 30 giorni.

Risultato: T_inst - T₀ = 6 mesi

Questo vuol dire che (nel caso peggiore) per un periodo di 6 mesi i Sistemi resteranno esposti al rischio di un attacco che sfrutta una vulnerabilità nota, ma per cui è già da diverso tempo disponibile un aggiornamento di sicurezza !

Virtual Patching - una soluzione ?

Come porre rimedio a questo enorme e cronico ritardo nell'installazione degli aggiornamenti di sicurezza sui Server Aziendali ?
Si potrebbe tentare di ridurre un poco i tempi di TEST degli aggiornamenti e prevedere una pianificazione dei fermi di sistema un pò più frequente, ma anche facendo così la finestra temporale durante la quale i sistemi restano vulnerabili rimarrebbe comunque elevata.

Occorre cercare una soluzione alternativa che consenta di proteggere in qualche modo i sistemi vulnerabili dai possibili attacchi, in attesa del completamento dell'iter di installazione degli aggiornamenti.

Le soluzioni di Intrusion Prevention ci possono venire in aiuto in questo compito.

Un Intrusion Prevention System può intercettare ed analizzare in tempo reale il traffico di rete diretto ai Server, individuando e bloccando il traffico riconducibile ad un attacco che tenta di sfruttare le vulnerabilità non ancora corrette.

Questo tipo di funzionalità viene chiamata "Virtual Patching":

Una patch è una correzione che viene apportata ad una porzione del codice per eliminare una vulnerabilità di sicurezza. In genere una patch viene sviluppata e distribuita come sostituzione di uno o più elementi nel codice compilato. Una volta installata, la patch rende il sistema e/o l'applicazione immuni a tutti i vettori di attacco che tentano di sfruttare quella vulnerabilità.

 

Una patch virtuale invece non implementa correzioni, ma si limita ad analizzare e controllare il traffico diretto alle applicazioni ed ai sistemi per impedire che il traffico dannoso raggiunga l'applicazione vulnerabile. Una volta attivata, la patch virtuale impedisce che il vettore di attacco raggiunga la destinazione senza introdurre alcuna modifica nel sistema e/o nell'applicazione vulnerabile.

 

Questo approccio offre numerosi vantaggi rispetto alle patch convenzionali:

• Una patch virtuale può proteggere componenti mission-critical che devono rimanere online, quindi le operazioni non vengono interrotte come spesso invece accade con una patch convenzionale.
• Una patch virtuale riduce il rischio di un exploit rapidamente, fino a quando una patch efficace e permanente verrà testata e rilasciata in Produzione.
• Una patch virtuale può essere attivata e disattivata dinamicamente, secondo necessità, senza dover ricorrere a complesse operazioni di ripristino.
• Poiché il codice applicativo e le librerie di supporto non vengono modificati, è improbabile che una patch virtuale produca conflitti nel sistema.

Va comunque considerato che:

• Una patch virtuale potrebbe non affrontare tutti i possibili modi o tutte le possibili situazioni in cui un exploit può verificarsi a causa di una particolare vulnerabilità.
• La disponibilità di patch virtuali per ogni nuova vulnerabilità che viene scoperta è fortemente condizionata dal Fornitore della soluzione di Virtual Patching.
• Una volta che una patch virtuale è stata implementata e si è dimostrata efficace, un'organizzazione potrebbe sentirsi scarsamente motivata ad implementare una patch permanente.
• Mentre una patch virtuale può evitare una crisi immediata, non è probabile che offra altrettanti benefici a lungo termine come farebbe una patch permanente, perché la patch virtuale non può eliminare i difetti intrinseci in un programma applicativo.

Buon Mercoledì a tutti.

Cordialmente vostro,
Autostoppista Cyber Galattico.

Shadow IT è un termine spesso usato per descrivere sistemi e soluzioni IT implementati e usati all’interno delle organizzazioni senza l’approvazione esplicita dell’organizzazione stessa. È inoltre usato, con il termine “Stealth IT” (IT invisibile) per descrivere soluzioni specificate e implementate da reparti diversi da quello IT.

Lo Shadow IT è considerato da molti una importante fonte per l’innovazione ed anche come metodo per la realizzazione di prototipi per soluzioni IT future.

D’altra parte, le soluzioni che utilizzano lo Shadow IT non sono spesso in linea con la richiesta da parte delle organizzazioni di avere controllo, documentazione, sicurezza, affidabilità ecc., anche se queste problematiche di norma si ritrovano anche nelle soluzioni IT tradizionali.

Come succede ?

Di solito comincia con piccole soluzioni realizzate direttamente dagli stessi utenti, che approfittano della possibilità offerta dalla maggioranza della applicazioni aziendali "Enterprise" di effettuare piccole estrazioni di dati dal database centrale per scaricare i risultati localmente sul PC ed effettuare alcune semplici elaborazioni tramite Excel o Access.
In questo modo diventa possibile ottenere rapidamente la risposta ad una esigenza di approfondimento puntuale, che diversamente richiederebbe un certo impegno per essere realizzata dall'IT.

Galvanizzati da questi brillanti risultati, gli utenti si spingono ben presto sempre più oltre e - nel frattempo - cominciano a manifestarsi i primi problemi:

• le elaborazioni richiedono l'estrazione di una sempre più vasta mole di dati;
• si vengono a creare tanti "database paralleli" rispetto al database centrale;
• le informazioni memorizzate in questi database paralleli rischiano di non essere coerenti ed allineate con quelle memorizzate nel database centrale;
• l'affidabilità dei risultati ottenuti attraverso le elaborazioni locali dipende dalla capacità degli utenti che le hanno realizzate di comprendere e interpretare correttamente il significato dei dati e le relazioni che intercorrono tra essi.

Come se non bastasse, iniziano a verificarsi anche alcuni fenomeni "pericolosi":

• gli utenti fanno sempre più conto sui dati contenuti nei loro "database paralleli", rispetto ai dati contenuti nel database centrale;
• le esigenze di elaborazione diventano sempre più sofisticate e ormai non basta più qualche formula di Excel o una query di Access per ottenere le risposte che si cercano.

Le cose iniziano a farsi difficili e gli utenti iniziano ad implementare per conto proprio vere e proprie soluzioni IT in grado di far fronte alle loro esigenze, senza però coinvolgere il reparto IT Aziendale (che "ci metterebbe troppo tempo").

Entra in scena lo "Shadow IT"

...e in un batter d'occhio sulla rete Aziendale "spuntano" come funghi nuove applicazioni non gestite dal reparto IT.

Una stima effettuata da Gartner colloca la spesa per lo Shadow IT tra il 30% e il 40% della spesa totale per l'IT nelle grandi imprese.
Alcune stime di Everest Group si spingono oltre il 50%.
E' addirittura possibile che questi numeri siano solo una valutazione "per difetto" dell'effettiva estensione dell'ecosistema "Shadow IT", in quanto spesso si tratta di voci di spesa non direttamente riferibili all'IT aziendale.

In passato, quando l'aumento di complessità di una soluzione di Shadow IT superava certi limiti o quando nasceva la necessità di portarla a livello aziendale, veniva coinvolto il reparto IT in quanto era l'unico che disponesse delle necessarie risorse di elaborazione e di programmazione.

Ora non è più così: grazie alla vasta disponibilità di risorse di elaborazione e servizi informatici in Cloud, anche lo Shadow IT è oramai in grado di operare su vasta scala e con soluzioni software che possono essere adattate e gestite anche da personale non inquadrato nell'IT aziendale.

Ma lo Shadow IT è buono o cattivo ?

Dal punto di vista del Business, lo Shadow IT non è poi così male... Anzi !
Il suo principale punto di forza, rispetto all'IT tradizionale, sta nella capacità di rendere rapidamente disponibili soluzioni informatiche in grado di far fronte alle esigenze di innovazione continua provenienti dal mercato.
La sua principale debolezza invece riguarda la reale affidabilità di soluzioni informatiche realizzate in questo modo, soprattutto quando diventa necessario consolidare quella che era inizialmente una semplice sperimentazione in una soluzione valida per tutta l'Azienda.

Dal punto di vista del reparto IT invece, lo Shadow IT è un grosso problema...
E' molto difficile per il reparto IT riuscire a conciliare la presenza di soluzioni Shadow IT all'interno di una infrastruttura che - per poter svolgere il ruolo di "linfa vitale" di una organizzazione - deve necessariamente essere standardizzata e controllabile.
Ecco perchè di solito - quando diventa necessario consolidare quella che era inizialmente una semplice sperimentazione in una soluzione valida per tutta l'Azienda - si opta per una "riconversione" delle soluzioni Shadow IT attraverso un lungo e difficoltoso processo di reverse engineering.

...e dal punto di vista della Sicurezza ?
L'introduzione in Azienda dello Shadow IT porta potenzialmente con sè diversi problemi di sicurezza.
L'impiego di architetture IT non standard e la scarsa conoscenza delle security policy aziendali (unitamente al mancato apporto della esperienza del personale del reparto IT, il quale di solito non è coinvolto nel progetto) possono condurre facilmente alla implementazione di soluzioni Shadow IT non adeguate agli standard di sicurezza Aziendali.

Quindi il verdetto è...

Lo Shadow IT non è né buono, né cattivo: dipende dall'uso che se ne fa...

Spetta al Management Aziendale decidere se ed entro quali limiti consentire l'adozione di soluzioni Shadow IT, tenendo conto dei rischi che questa scelta può comportare, in termini di:

Vulnerabilità di sicurezza
Le infrastrutture IT decentralizzate e le piattaforme utilizzate per lo Shadow IT potrebbero non essere sicure come quelle gestite dal reparto IT. Lo Shadow IT in questo caso può essere facile preda di virus, malware e ransomware che possono rapidamente propagarsi anche alle restanti componenti dell'IT Aziendale.

Perdita di riservatezza e disponibilità dei dati
Il personale che gestisce lo Shadow IT potrebbe non essere adeguatamente istruito sulla corretta gestione dei dati: in questo caso può capitare che dati sensibili vengano per errore condivisi con persone non autorizzate oppure che il mancato backup dei dati abbia come conseguenza una perdita irreversibile, in caso di compromissione.

Incoerenza e duplicazione dei dati
I sistemi Shadow possono causare incoerenza nei dati Aziendali. Una cattiva organizzazione dei flussi informativi e dei file può portare a differenze tra i dati "ufficiali" e quelli utilizzati dallo Shadow IT, con la conseguenza che i risultati delle elaborazioni svolte tramite lo Shadow IT possono produrre risultati errati.

Spreco di tempo e risorse
Lo Shadow IT viene di norma gestito da personale non specializzato, che quindi può impiegare molto tempo a controllare la validità dei dati, a configurare i sistemi e a gestire diverse versioni di software e di dati. Per implementare lo Shadow IT spesso vengono utilizzate le infrastrutture IT Aziendali: in questo caso il carico di lavoro derivante dalle elaborazioni di Shadow IT può distogliere risorse alle altre elaborazioni Aziendali.

Come convivere con lo Shadow IT

Lo Shadow IT non è certamente il modo migliore di risolvere i problemi, ma in certi casi può essere un valido complemento dell'IT tradizionale per dare risposte rapide alle esigenze di innovazione.

Un bravo IT Security Manager dovrebbe trovare un modo per:
- contenere l'utilizzo indiscriminato dello Shadow IT,
- promuovere attivamente l'impiego di soluzioni basate sull'IT tradizionale,
ma anche per:
- convivere con lo Shadow IT consentendone l'utilizzo controllato,
- ridurre il più possibile i rischi di sicurezza derivanti dallo Shadow IT.

Per far questo occorre:

Ridurre i tempi di valutazione

Le esigenze di innovazione del Business hanno bisogno di risposte rapide.
Spesso però accade che il processo di valutazione di queste esigenze da parte dell'IT tradizionale richieda tempi troppo lunghi, perchè il reparto IT:
- le considera a bassa priorità
oppure:
- ha bisogno di effettuare valutazioni approfondite, prima di decidere in merito.
Per effettuare queste valutazioni di fattibilità, il reparto IT dovrebbe dedicare una struttura di "Demand Management"  dotata di adeguate competenze, in grado di svolgere questo delicato compito in modo affidabile, ma in tempi rapidi.

Razionalizzare i processi di implementazione

Spesso si ricorre allo Shadow IT perché è un percorso più rapido per ottenere il risultato desiderato. L'implementazione delle soluzioni già valutate ed approvate dal Demand IT non dovrebbero richiedere tempi lunghi per l'implementazione a causa di processi di sviluppo lenti ed obsoleti.
Per evitare che il reparto IT diventi un collo di bottiglia che rallenta l'innovazione tecnologica occorre innovare anche i processi di sviluppo IT, mettendoli in grado di seguire rapidamente l'evoluzione della tecnologia. Ad esempio è utile introdurre metodologie "agili" per lo sviluppo e la gestione dei progetti IT.

Stare al passo coi tempi

Il reparto IT dovrebbe mantenersi all'avanguardia, tenendosi sempre aggiornato sui più recenti sviluppi tecnologici, per non rischiare di essere colto alla sprovvista da una tecnologia nuova e dirompente che potrebbe rappresentare un elemento chiave per l'innovazione nel Business.
Questa attività richiede tempo (e forse anche denaro), ma è certamente meglio investire nell'aggiornamento continuo delle competenze piuttosto che sprecare energie nell'inseguimento di un numero sempre crescente di progetti "Shadow IT".

Rafforzare i controlli

Aprire le porte allo Shadow IT non significa rinunciare al controllo dell'IT Aziendale. Vi sono alcune situazioni in cui lo Shadow IT può creare problemi di conformità o di rispetto della regolamentazione vigente.
Occorre pertanto vigilare attentamente sui casi di Shadow IT ed intervenire tempestivamente qualora le regole e le policy aziendali corrano il rischio di essere pesantemente violate da progetti che non sono sotto il controllo del reparto IT.

Prevedere margini di flessibilità nel budget

Troppo spesso il budget del reparto IT è rigorosamente controllato, e vi è poca flessibilità in termini di ri-allocazione dei fondi da un'area già prevista verso un'area diversa ma potenzialmente emergente in quanto fortemente richiesta dal Business.
In genere i progetti Shadow IT non sono preventivati ​​in bilancio e richiedono quindi finanziamenti ad hoc. Se il budget del reparto IT prevede alcuni margini di flessibilità, è possibile trovare il modo di soddisfare le esigenze del Business senza essere costretti a ricorrere allo Shadow IT.

Partecipare attivamente alle iniziative di innovazione

L'IT aziendale non può limitarsi ad essere solo uno strumento attraverso il quale è possibile realizzare soluzioni e servizi innovativi richiesti dal mercato.
Nelle imprese più all'avanguardia l'IT svolge un ruolo trainante nell'innovazione, collaborando attivamente con le unità di Business nei processi di ricerca e sviluppo.
Sono finiti i giorni in cui l'IT poteva starsene lì, ad aspettare che arrivassero le richieste di nuovi progetti. Se non vuole rischiare di essere lasciata da parte e subire passivamente il fenomeno dello Shadow IT, deve fare uno sforzo per essere maggiormente coinvolta.

Approvare l'impiego dello Shadow IT per soluzioni prototipali

Quando si scopre l'esistenza di una soluzione Shadow IT,  spesso la prima reazione che viene in mente è quella di bloccarla immediatamente.
A meno che non si abbia già a disposizione una valida soluzione sostitutiva da mettere in campo come alternativa, può essere il caso di lasciar correre.
Ciò consente alle unità aziendali che utilizzano quella soluzione Shadow IT di continuare ad operare nel modo che hanno già scelto e contemporaneamente offre all'IT tradizionale la possibilità di esplorare una nuova tecnologia e valutarne l'efficacia sul campo.
Si tratta di considerare le iniziative Shadow IT come soluzioni transitorie, da utilizzare a breve termine, fino a quando non si riesce a trovare la migliore soluzione a lungo termine.

Gli oggetti magici ESISTONO PER DAVVERO !

Sì, oggetti magici come la Lampada di Aladino e lo Specchio Magico esistono e possono darci le risposte che cerchiamo e - in alcuni casi - anche realizzare i nostri desideri !

Ormai sono comuni nelle nostre case....
Per usarli dobbiamo pronunciare PAROLE MAGICHE («Ehi, Siri !», «Ok, Google !»), oppure basta invocarli pronunciando il loro nome («Alexa !» , «Cortana !») e loro ci risponderanno gentilmente mettendosi al nostro servizio.

Sono gli Assistenti Virtuali (Personal Digital Assistant) e si trovano dentro il nostro telefonino o dentro degli strani soprammobili a forma di barattolo.

Al Consumer Electronic Show di Las Vegas, questo Gennaio, se ne è presentata una vera invasione, con numeri da capogiro:
- più di 1 milione di dispositivi Amazon Alexa venduti nel 2018
- Google Assistant sarà presto presente su più di 1 Miliardo di dispositivi
Ma non basta...
I comandi vocali che ora si usano prevalentemente in salotto con gli Assistenti Virtuali si estenderanno presto a tutte le stanze della nostra casa.

In cucina, frigo come quelli di Samsung e LG ci parlano e hanno una telecamera interna per vedere da remoto se siamo a corto di latte o uova.
General Electric ha invece pensato ad uno schermo smart da 27 pollici da appendere sopra ai fornelli, per guardare Netflix mentre si cucina.
In bagno, Simplehuman offre uno specchio che riproduce musica e Moen propone un dispositivo da installare all'interno della doccia, con cui è possibile impostare a voce la temperatura dell'acqua.
Sempre nel bagno, l'azienda Kohler offre uno specchio che ci legge le notizie e un water che regola il tepore della tavoletta.
Nella camera dei bambini arriva il baby monitor di Netgear che supporta Siri, mentre in tutta la casa possono essere installati gli interruttori di TP-Link, sempre con assistente virtuale. Anche il termostato si fa loquace: quello di Johnson Controls ha la voce di Cortana di Microsoft.

Ma che rapporto abbiamo noi con questi "oggetti magici" ?

Ai bambini sembra una cosa naturale...

I cosiddetti "nativi digitali" hanno con la tecnologia un tipo di rapporto molto semplice e diretto: la accettano come una qualsiasi altra manifestazione naturale, ritenendola parte integrante del mondo in cui vivono.

Per i più piccoli, ad esempio, Alexa è realmente una signora che vive dentro la scatola in salotto, ma che non si è ancora fatta vedere.

I più grandicelli invece capiscono che non si tratta di una persona vera, eppure attribuiscono ad Alexa personalità e sentimenti umani («E' sempre gentile. Mi aiuta a fare i compiti e non mi sgrida mai !»).

La signora Robin stava facendo il bucato quando ha sentito sua figlia parlare con Alexa al piano di sotto. La bambina di 5 anni stava chiedendo: «Alexa, vuoi essere mia amica ?». Robin trattenne il respiro, aspettando a lungo la risposta di Alexa. Alla fine sentì l'Assistente Vocale rispondere: «Sono felice di essere tua amica !».

Aiden, un bimbo di quattro anni, dopo aver litigato con dei bulli a scuola ha trovato un'amica inaspettata dentro l'Amazon Echo Plus di sua nonna.
Quella giornata a scuola era stata particolarmente stressante per Aiden e sua madre, Alexandria Melton, ha sentito suo figlio piangere nella stanza accanto.
«Alexa,» chiese, "siamo amici ?»
«Certo che lo siamo !» rispose Alexa.
«Alexa, ti amo !» disse Aiden.
Ora, ogni volta che Aiden visita la casa di sua nonna, saluta Alexa e le dice che la ama. Lui e Alexa si raccontano barzellette e giocano. Aiden dice «per favore» quando chiede e «grazie» quando Alexa risponde.

Capita anche che ci litighino...
In un articolo pubblicato nel Dicembre 2018 su The Thrive Global, Stephanie Fairyington racconta:
«Quando faccio il bagno a mia figlia Marty di tre anni ogni sera, usiamo Alexa per ascoltare un po' di musica (di solito una compilation delle sue canzoni preferite di Frozen). I comandi vocali sono un lusso quando hai le mani  bagnate e piene di bagnoschiuma. Stava andando tutto bene fino a quando Marty ebbe una lunga conversazione con Alexa nella sua stanza e gridò ripetutamente "No, Alexa !".
Poi spiegò aggressivamente al gadget come non riusciva a soddisfare le sue richieste. Ero sconcertata ! E se Marty iniziasse a parlare con questo tono anche ai suoi coetanei e insegnanti ? Questa esperienza mi ha fatto desiderare di gettare Alexa nel cestino dei rifiuti - e non credo di essere la sola».

Gli adulti invece come reagiscono ?

Beh, la prima sensazione è quella di essere spiati...

Qualcuno invece ne viene irresistibilmente attratto...

Tutti noi credo proviamo una sorta di timore reverenziale verso questi oggetti che un po' ci fanno paura ma che ci affascinano anche tantissimo.

Perfino agli astronauti della Stazione Spaziale Internazionale è successo di "litigare" con il loro Assistente di Volo Cibernetico: CIMON (Crew Interactive Mobile companion) un robot dotato di intelligenza artificiale.

L’astronauta Alexander Gerst ha chiesto a CIMON di ascoltare una canzone: “The Man-Machine” dei Kraftwerk. Dopo 46 secondi l’astronauta ha chiesto di bloccare la riproduzione, senza però ricevere risposta.
Gerst ha insistito: convinto si trattasse di un problema audio, ha prima rinnovato l’invito, per poi prendere CIMON tra le mani e scuoterlo leggermente.
Il robot ha sentito benissimo, ma ha scelto di ignorare i comandi: anzi, ha invitato Gerst a “cantare insieme” e ha detto di “adorare la musica con cui si può ballare“.
Dopo essere stato scosso e di fronte all’insistenza dell’astronauta, CIMON ha chiesto a Gerst di “essere gentile“, accusandolo successivamente di essere “cattivo“.

Questi Assistenti Virtuali sono sicuri  ?

Tutti i dispositivi esposti su Internet possono essere vittime di attacchi: gli Assistenti Virtuali non fanno eccezione...
Finora non sono state rilevate particolari vulnerabilità di sicurezza su questi dispositivi, ma è solo questione di tempo.

Intanto qualcuno ha già trovato il modo di far compiere a questi dispositivi alcune operazioni che non erano inizialmente previste...

Grazie, Google per la pubblicità...
Una importante catena internazionale del fast food ha congegnato uno spot televisivo della durata di 15 secondi. Gli autori del messaggio pubblicitario hanno furbescamente fatto pronunciare, dal protagonista della réclame, la seguente frase: "Ok Google, che cos'è l'hamburger Whopper ?".
Risultato ? I dispositivi Android degli spettatori si sono così immediatamente attivati per descrivere il panino di Burger King. I pubblicitari, coadiuvati dai loro consulenti, avevano infatti modificato la voce pubblicata su Wikipedia relativamente a Whopper alterandone ad arte l'incipit. Al posto della frase di carattere generico, è stata inserita una descrizione molto commerciale tesa ad esaltare le qualità del prodotto.
Così, l'Ok Google dello spot ha indotto Google Now e Google Home/Assistant - che hanno a loro volta utilizzato la voce su Wikipedia come fonte affidabile - ad esaltare le qualità del panino.

Giro, girotondo...
C'è anche chi si è divertito a mettere "in loop" tra loro Siri, Alexa e Google:

Ma quali problemi ci possono essere ?

Il problema principale è che questi dispositivi sono programmati per ascoltare costantemente quello che viene detto, per rilevare la "parola magica" che serve per attivarli.

Ad esempio il dispositivo Echo di Amazon viene attivato dal comando «Alexa», ma l'intelligenza necessaria per capire e decodificare i comandi vocali è tutta sul Cloud di Amazon.

Questo vuol dire che - almeno in teoria - i Provider dei Servizi dell'Assistente Virtuale hanno in mano le registrazioni di tutte le conversazioni che avvengono in casa nostra !

Alexa sul banco dei testimoni ?
James Andrew Bates è stato sospettato di aver ucciso Victor Collins nel suo appartamento. Nessun altro era presente sulla scena del crimine, ad eccezione di Alexa, che era stata usata per ascoltare musica per tutta la notte.
Così la Polizia di Bentonville, in Arkansas, dove è avvenuto il crimine, ha richiesto ad Amazon (attraverso l'FBI) di mettere a disposizione le eventuali registrazioni audio in suo possesso, per usarle come prova incriminante nel caso di omicidio.
Amazon si è astenuta dal fornire alla Polizia i dati su Alexa, asserendo che questo fatto avrebbe stabilito un precedente inusitato per le leggi vigenti.

Siri vietato in Azienda ?
Il Chief Technology Officer IBM, Jeanette Horan, ha vietato l'uso di Siri da parte dei dipendenti di IBM, asserendo che questo potrebbe causare problemi per la sicurezza delle informazioni Aziendali.

Che fare ?
Il consiglio più ovvio è quello di evitare di parlare ad alta voce di informazioni delicate, come password o dettagli di carte di credito, in presenza degli Assistenti Virtuali. Ma il problema non si limita a questi dispositivi...

Internet delle Cose o le Cose di Internet ?

Non è difficile ipotizzare nel prossimo futuro uno scenario dove le nostre case saranno piene di dispositivi "intelligenti", costantemente connessi a Internet, in grado di interagire con noi ma anche potenzialmente vulnerabili a cyber attacchi...
Cosa potrebbe succedere ad esempio se questi dispositivi diventassero preda di un RANSOMWARE ?

Per fortuna qualcuno sta già studiando delle soluzioni...

Due ricercatori di Copenhagen (Bjørn Karmann e Tore Knudsen) hanno realizzato una sorta di "Firewall" per gli Assistenti Virtuali : il Project Alias.

Loro non lo chiamano Firewall, ma "parassita", tant'è che gli hanno dato la forma di un fungo !
«Alias è un "parassita" addestrabile progettato per offrire agli utenti un maggiore controllo sui loro Assistenti Virtuali. Attraverso una semplice App l'utente può addestrare Alias a reagire solo su una parola d'ordine personalizzata. Una volta addestrato, Alias prende il controllo dell'Assistente Virtuale, attivandolo».

Project Alias ha la forma di una copertina stampata in 3D che si collega alla parte superiore di uno smart speaker. All'interno, un microfono, una scheda elettronica Raspberry PI e una combinazione di due altoparlanti producono costantemente un rumore bianco che impedisce allo speaker di attivarsi. Un algoritmo di riconoscimento vocale offline, addestrato utilizzando una apposita APP,  disabilita il rumore bianco solo quando Alias riconosce la frase di attivazione programmata dall'utente, consentendo così allo smart speaker di ricevere e trasmettere l'audio al suo Provider di servizi solo se sono state pronunciate le "parole magiche" preimpostate dall'utente.

 

Nel frattempo...

Ci conviene trovare un modo di convivere con questi dispositivi, cercando di comprenderne i limiti e i difetti ed imparando ad utilizzarli in modo corretto.

Altrimenti...

Cordialmente vostro,
Autostoppista Cyber Galattico.

Il DATO è MOBILE !

All'inizio non era un gran problema...

Sì, i Tablet e gli Smartphone cominciavano a diffondersi e molti dei nostri utenti Aziendali ne possedevano uno, ma per lavoro usavano il cellulare Aziendale che avevano in dotazione.
Quelli che avevano la necessità di accedere all'IT Aziendale da remoto usavano una chiavetta GSM/UMTS collegata al LAPTOP Aziendale, con cui instauravano una connessione VPN con la Rete Corporate.
Per quelli che si accontentavano, c'era la possibilità di utilizzare la WebMail. Bastava essere abilitati al servizio e (inserendo user-name e password in una apposita pagina WEB) si potevano gestire le e-mail di lavoro tramite Internet.

Quel Natale fu fatale

Da alcuni mesi avevamo attivato il WiFi nella Palazzina Direzionale e diversi utenti "VIP" avevano ricevuto in dono per Natale un iPad o un iPhone. Qualcuno invece aveva un dispositivo Android.

La disponibilità della rete WiFi "Ospiti", che avevamo creato accanto alla rete WiFi Aziendale, fu subito colta come opportunità per far funzionare meglio la connettività Internet di cui questi nuovi dispositivi avevano bisogno.
Ecco dunque arrivare diverse richieste di poter connettere Smartphone e Tablet alla rete WiFi senza però dover necessariamente passare per la pagina di registrazione del Captive Portal cui gli Ospiti dovevano registrarsi per ottenere 24 ore di connettività WiFi.
Ci inventammo per questo una nuova rete WiFi come quella per gli Ospiti (sempre distinta dalla rete WiFi Aziendale), che fosse però in grado di rendere disponibile una connettività Internet a questi dispositivi, autenticandoli automaticamente attraverso il loro MAC-ADDRESS.

Fu così che agli utenti di questi dispositivi mobili semplici e veloci (grazie anche alla connettività WiFi che avevamo fornito loro) venne la grande idea:

«Perchè non utilizzare Tablet e Smartphone invece del LAPTOP per lavoro ?»

Si cominciò con la Posta Elettronica

Configurare l'APP di Posta Elettronica di un Tablet o di uno Smartphone per accedere alla Posta Elettronica Aziendale non era difficile.
Bastava sapere quali parametri inserire nella configurazione dell'account ed essere abilitati alla WebMail, et voilà !
Ecco che potevi vedere tutte le tue e-mail Aziendali sul telefonino o sul tablet che avevi sempre con te, invece di usare quel LAPTOP che ci metteva una vita solo per accendersi  !

Questo certo non migliorava la sicurezza delle Informazioni Aziendali, ma non aveva alcun senso mettersi di traverso...

Quando poi iniziarono ad arrivare anche richieste di poter accedere al Portale Intranet, ai documenti salvati sui File Server e alla rubrica Aziendale, capimmo che
era ora di affrontare il tema della sicurezza dei dispositivi mobili in Azienda !

Il progetto «MDM»

C'erano già sul mercato svariate soluzioni di "Mobile Device Management" (MDM), ma noi preferimmo partire dai nostri requisiti, piuttosto che dalle funzionalità proposte dai vari prodotti.

Analizzammo quindi i rischi di sicurezza derivanti dall'utilizzo di dispositivi mobili per accedere alle informazioni Aziendali e cercammo di individuare le possibili contromisure da prevedere per contrastarli.

Una sintesi dei risultati di questa analisi dei rischi è riportata nel seguente schema:

L'implementazione

A questo punto la Direzione Sistemi Informativi si mosse per ricercare una soluzione che venisse incontro a tutte le esigenze operative e che rispettasse i requisiti di sicurezza emersi a fronte dell'analisi dei rischi.

Oggi tutti gli Smartphone e i Tablet Aziendali in dotazione al personale sono provvisti di questo ambiente protetto, all'interno del quale è possibile accedere ai dati ed alle informazioni Aziendali in tutta sicurezza.
Nel caso in cui un dispositivo venga perso o rubato, l'accesso alle informazioni Aziendali viene immediatamente revocato e l'ambiente di lavoro viene cancellato da remoto dai Sistemisti dell'IT.

E' prevista anche la possibilità da parte dell'utente di scegliere di utilizzare uno Smartphone / Tablet di sua proprietà (BYOD) per accedere ai dati ed alle informazioni Aziendali.

Considerazioni

Non ha senso raccontarvi dell'implementazione della soluzione scelta, nè tantomeno soffermarsi sul nome del prodotto... Come in tutti i progetti ICT ci sono state difficoltà e soddisfazioni e si è dovuto cercare un ragionevole compromesso tra i requisiti che dovevano essere soddisfatti e le possibilità offerte dal prodotto.

Può essere invece interessante condividere con voi alcune mie personalissime considerazioni sul Progetto «MDM»:

Il nome del Progetto è SBAGLIATO...
Sarebbe stato più corretto parlare di «Mobile Access Management» invece che di «Mobile Device Management (MDM)».
L'obiettivo del Progetto era di consentire l'accesso ai dati ed alle informazioni Aziendali tramite Tablet e Smartphone, non quello di rendere questi dispositivi  in qualche modo «gestibili» dall'IT.

Si fa presto a dire «li gestiamo»...
Per implementare alcune delle contromisure individuate nell'analisi rischi è necessario poter controllare certi parametri di configurazione di questi dispositivi.
Peccato che Tablet e Smartphone - che sono nati come dispositivi per utilizzo personale e non Aziendale - non si lascino gestire da remoto poi così facilmente...

Uno Smartphone non è proprio un Computer...
Alla presentazione di lancio del 9 Gennaio 2007, Steve Jobs definì l'iPhone come l'unione di 3 dispositivi:
- un iPod
- un Telefono
- un Internet Browser
Anche se le cose sono molto cambiate dal primo iPhone ad oggi, risulta piuttosto difficile riuscire a fare con uno Smartphone o con un Tablet tutto quello che siamo abituati a fare con un PC .

Le APP nell'ambiente protetto...
Per funzionare correttamente nell'ambiente protetto, le APP devono essere preventivamente «incapsulate» all'interno di uno strato di software che consente loro di interfacciarsi con l'ambiente operativo nativo del device, attraverso l'ambiente protetto.
Questa operazione di incapsulamento (chiamata "WRAPPING") è tutt'altro che banale e richiede un apposito ambiente di sviluppo per le APP.

Come se non bastasse, ogni volta che viene rilasciato un aggiornamento, l'APP va nuovamente sottoposta al WRAPPING.

L'infrastruttura centrale è quella che fa la differenza...
In una soluzione di «Mobile Access Management», quello che fa veramente la differenza è l'infrastruttura centrale che si occupa di gestire:
- l'abilitazione (ENROLLMENT) dei device all'accesso alle informazioni Aziendali
- le connessioni dei device mobili verso i sistemi e le applicazioni Aziendali
- il controllo degli accessi ai dati Aziendali attraverso i device mobili
- lo scambio dati sicuro tra i device mobili ed i sistemi Aziendali, tramite Internet
- la protezione della configurazione degli ambienti di lavoro Aziendali, sui device

Concludendo...

Gestire i dati Aziendali attraverso dispositivi mobili è una necessità, non una opzione ! Chi non affronta oggi questo problema si troverà domani ad inseguire i suoi dati che si disperderanno ovunque senza controllo.

Ci sono ottime soluzioni che permettono di regolamentare e controllare l'accesso tramite dispositivi mobili ai dati Aziendali, in modo da mantenerli al sicuro da accessi indesiderati.

E' opportuno focalizzarsi maggiormente sulle componenti centrali dell'infrastruttura piuttosto che sulle caratteristiche degli ambienti Aziendali creati all'interno dei dispositivi mobili e le loro APP, pensando di utilizzare Smartphone e Tablet più come dei "terminali remoti" che come dei "Computer Client".

Buone Feste a tutti !

Cordialmente vostro,
Autostoppista Cyber Galattico.

Un altro Laptop Aziendale rubato, eh ?

...che si aggiunge a quello che è stato dimenticato l'altro ieri sul treno !
Ti rendi conto del danno per l'Azienda ?

No, non parlo del costo del PC.
Parlo della perdita dei dati Aziendali contenuti nell'hard-disk del PC !

Sì, lo so che era solo una copia di lavoro e che i dati originali sono ancora tutti sui nostri Server (...e meno male che alla fine ti sei reso conto anche tu che è molto importante rispettare rigorosamente la Policy Aziendale sulla gestione delle informazioni, che prescrive che tutti i dati siano sempre salvati sui Server).
Questo però non vuol dire che non ci siano problemi: quei dati possono essere andati a finire in mano a chiunque !

Non si tratta di dati personali ? Meno male ! Almeno non dobbiamo notificare l'incidente all'Autorità Garante per la Protezione dei Dati Personali...

Quindi vuoi sapere perchè mi preoccupo ?

Mi preoccupo perchè la nostra Azienda (come tutte le altre, del resto) vive di dati e di informazioni, quindi l'impatto di questo incidente sul business e sulla reputazione Aziendale non va affatto sottovalutato !

«Ma ci vuole la password per entrare nel PC...»

Mi spiace, ma debbo darti una cattiva notizia.
Per entrare nel tuo PC bastano 5 minuti e un CD come questo...

Basta inserire il CD ed accendere il PC.
In questo modo il PC si avvia dal CD e appare un menù come questo:

Con alcuni semplici comandi è possibile RESETTARE la password di Administrator:

Al prossimo riavvio del PC sarà possibile accedere come Administrator senza inserire alcuna password !

Quindi...

Chiunque sia entrato in possesso del PC potrà facilmente recuperare tutti i dati Aziendali memorizzati sul disco.

Ecco perchè abbiamo CIFRATO il disco di tutti i nostri Laptop !

Sì, anche il disco del Laptop che ti hanno rubato era cifrato.
Non lo sapevi, eh ?

Non ti sei neanche accorto che mesi fa ti abbiamo installato sul PC un "agent" (noi lo chiamiamo così) che - mentre tu continuavi tranquillamente a lavorare - ha cifrato tutto il contenuto dell'hard disk (full disk encryption).
Ecco perchè in quel periodo la lucetta dell'hard disk lampeggiava più spesso del solito...

«Allora adesso i dati Aziendali sui Laptop sono PROTETTI ?»

Non del tutto...

La cifratura protegge solo la loro RISERVATEZZA, impedendo che possano essere acceduti da persone non autorizzate.
Questo fa sì che non dobbiamo più preoccuparci che i dati contenuti nell'hard disk di PC Aziendali rubati o persi possano cadere in mani sbagliate.
Anche qualora si tratti di dati personali, in caso di furto o smarrimento del PC, non siamo obbligati a notificare l'incidente all'Autorità Garante per la Protezione dei Dati Personali, perchè la cifratura impedisce la diffusione indebita di quei dati.

Bisogna proteggere anche la loro INTEGRITA' e DISPONIBILITA'

Proteggere l'INTEGRITA' dei dati Aziendali residenti sul PC vuol dire evitare che a quei dati possano essere apportate modifiche accidentali causate ad esempio da malware. Per questo ci sono gli antivirus (...e un pò di sana prudenza da parte degli utenti).

Invece per proteggere la DISPONIBILITA' dei dati Aziendali residenti sul PC è necessario copiarli appena possibile sui Server, dove vengono custoditi ed archiviati in piena sicurezza dall'IT. Per questo occorre rispettare rigorosamente la Policy Aziendale sulla gestione delle informazioni.

Buona cifratura a tutti !

Cordialmente vostro,
Autostoppista Cyber Galattico.

UNA volta...

Una volta il Personal Computer era solo "personale" e toccava al suo Proprietario gestirlo e configurarlo. L'utente era l'Amministratore del Sistema.
Amministrare un PC con MS-DOS non era granchè difficile (c'erano solo due file di configurazione: config.sys e autoexec.bat).
I programmi non si installavano: si copiava il file eseguibile sul disco.
Se un programma funzionava male poteva succedere che il PC si "piantasse" visualizzando strani simboli a video e cessando di rispondere a qualsiasi comando (di solito capitava quando il programma andava per errore a sovrascrivere aree di memoria dedicate al video e/o al sistema operativo).

In questo caso la manovra risolutiva era "SPEGNERE E RIACCENDERE".

ORA invece...

Quello che indebitamente continuiamo a chiamare "Personal Computer" fa parte a pieno titolo dell'Informatica Aziendale: è connesso alla Rete Aziendale, fa parte del Dominio Aziendale e interopera con i Server Aziendali.
E' diventato un oggetto difficile da gestire per i non-sistemisti (processi in background, librerie dinamiche DLL, aggiornamenti di sistema, ecc.) per questo oggi è la Direzione IT che si occupa della gestione della flotta dei PC Aziendali e fornisce supporto agli utenti in caso di problemi.

La Direzione IT è l'Amministratore del Sistema.

Quali POTERI ha l'utente del PC ?

In un contesto Aziendale ci si aspetterebbe che gli utenti non abbiano particolari privilegi amministrativi sui PC che essi utilizzano. Quindi un utente non potrebbe:

• installare nuovi programmi sul PC
• modificare la configurazione del PC
• effettuare aggiornamenti del sistema operativo e dei programmi installati

Queste limitazioni però non fanno parte della configurazione STANDARD di un normale PC (quello che possiamo acquistare in un qualsiasi negozio di elettronica) e quindi sono "mal digerite" dagli utenti Aziendali, che continuano a ritenere - a torto o a ragione - il PC uno strumento personale e che chiedono di poter utilizzare le risorse di elaborazione del PC anche per eseguire attività nuove e non previste dalla configurazione STANDARD, utilizzando nuovi programmi e nuove periferiche.

In gran parte delle Aziende pertanto i PC risultano così configurati:

• Sistema Operativo e programmi Aziendali preinstallati e configurati dall'IT
• Antivirus, Personal Firewall e altre componenti di Security preinstallate dall'IT
• Connessione in Rete Aziendale e al Dominio Aziendale preconfigurate dall'IT
• Aggiornamenti gestiti centralmente dall'IT
• Utenza "Administrator" riservata all'IT
• Utenza "di lavoro" assegnata all'utente del PC e connessa al Dominio
• Utente con privilegi di Amministrazione Locale del PC

In questo modo agli utenti Aziendali vengono forniti dispositivi pre-configurati e dotati di una gestione centralizzata, pur lasciando loro la possibilità di installare nuove applicazioni e modificare la configurazione, secondo necessità.

Grandi poteri, ma le RESPONSABILITA' ?

Ok, abbiamo accontentato gli utenti dando loro il potere di modificare a loro piacimento la configurazione dei PC Aziendali, pur mantenendo una gestione centralizzata da parte dell'IT.

Cosa potrebbe andare storto ?

Da sempre nell'ambito della cyber security si dice che l'ERRORE UMANO è il principale problema per la sicurezza di una infrastruttura IT Aziendale.

Dare agli utenti dei PC Aziendali la possibilità di installare programmi scaricati da chissà dove, di modificare la configurazione del PC, di disabilitare l'antivirus, di configurarsi la connettività verso Internet ed altro non è certamente una buona idea, in quanto basta il minimo errore e la sicurezza della infrastruttura IT dell'Azienda va a farsi benedire !

L'Azienda non può certo pretendere che tutti gli utenti siano dei Sistemisti Esperti, quindi in caso di errori non si può ritenerli RESPONSABILI di aver causato un incidente di sicurezza. D'altro canto la Direzione IT non può sottrarsi all'impegno di garantire la sicurezza dell'infrastruttura IT Aziendale.

Il Progetto «U.N.A» (Utente Non Amministratore)

E' per questo che - tempo fa - è stato lanciato in Azienda il "Progetto U.N.A (Utente Non Amministratore)", avente lo scopo di rimuovere i privilegi di amministrazione locale del PC a suo tempo conferiti agli utenti.

All'epoca il Sistema Operativo installato sui PC era Windows XP e non erano ancora presenti le funzionalità aggiuntive di sicurezza chiamate "User Account Control" (UAC), che sono state introdotte da Microsoft solo a partire da Windows VISTA.

Le funzionalità UAC di Windows somigliano al comando SUDO (Switch User Do) di Unix, in quanto permettono ad un utente non amministratore di assumere temporaneamente i privilegi di amministratore per impartire comandi che altrimenti non sarebbero eseguiti dal sistema.

 

Questo tipo di soluzione (largamente in uso nel mondo Unix) avrebbe potuto essere un ragionevole compromesso tra le esigenze dell'utente e i requisiti di sicurezza dell'IT.

Gli utenti operano normalmente in un ambiente non privilegiato, che non consente loro di compromettere per errore l'integrità del sistema.
I privilegi dell'utente vengono elevati solo quando necessario e solo per il tempo necessario a compiere l'operazione richiesta.
E' possibile limitare gli utenti che possono fruire di questa funzionalità (l'utente deve far parte del gruppo "sudoers") e l'operazione viene tracciata dal sistema.

Purtroppo in Windows queste funzionalità sono implementate in un modo diverso:

• viene aggiunta la voce "Esegui come amministratore" al menù contestuale per il lancio dei programmi
• l'esecuzione di programmi che richiedono privilegi di amministratore è subordinata ad una semplice richiesta di consenso all'utente
• l'operazione non viene tracciata e non vengono inviate segnalazioni agli amministratori della Direzione IT

La tipica reazione degli utenti a questi messaggi che provengono dall'User Account Control di Windows è quindi quella di cliccare su "Sì" senza porsi problemi.

Scartata la soluzione "User Account Control" di Windows, si è quindi deciso di revocare i privilegi amministrativi a tutti gli utenti Aziendali.

Come è andata ?

Non vi nascondo che il primo impatto è stato piuttosto duro...

Abbiamo dovuto affrontare svariati problemi, ma siamo sempre riusciti a trovare una soluzione.

Programmi che richiedono privilegi amministrativi
Purtroppo esistono programmi del genere. In molti casi si tratta di programmi sviluppati senza tenere in alcun conto la sicurezza. Solo in rari casi si tratta di programmi che debbono realmente svolgere particolari operazioni a livello di sistema. La soluzione adottata in questi casi è stata quella di creare una apposita utenza "di servizio" (non interattiva) con privilegi amministrativi e configurarla per il lancio di questi programmi.

Installazione di nuovi programmi
Capita che gli utenti si trovino nella necessità di installare programmi "freeware" o versioni di prova. In questo caso l'utente deve fare richiesta all'Help Desk che, dopo aver verificato che il programma sia privo di malware / adware e che il suo utilizzo non violi i diritti di proprietà intellettuale, provvede alla installazione sul PC. L'elenco dei programmi installati su ogni PC viene mantenuto aggiornato da un apposito "agent".

Installazione di drivers per nuove periferiche
L'installazione di gran parte dei drivers necessari avviene automaticamente all'atto della connessione della periferica al PC, senza richiedere privilegi amministrativi. Nei casi in cui ciò non avvenga si procede tramite l'Help Desk, come per l'installazione di nuovi programmi.

Utenti "recalcitranti"
La rimozione dei privilegi amministrativi è stata vissuta da alcuni utenti quasi come un "affronto alla libertà". In questo caso è stata determinante l'azione persuasiva dell'Help Desk, che ha spiegato con grande pazienza le ragioni alla base di questa scelta e si è sempre messa a disposizione degli utenti per la soluzione di eventuali problemi legati all'operatività del PC.

Applicazioni "PORTABLE"
La rimozione dei privilegi amministrativi non ha impedito agli utenti di installare sul PC Applicazioni "portable". In questi casi infatti l'installazione del programma richiede solo la copia dei file in una qualsiasi cartella del PC e quindi non viene bloccata dal sistema. Resta comunque il fatto che questi programmi - anche quando presenti - non possono eseguire operazioni privilegiate che potrebbero mettere a rischio l'integrità del PC.

UNA volta per tutte... ce l'abbiamo fatta !

 

Abbiamo migliorato la sicurezza dei PC Aziendali evitando che operazioni errate svolte dagli utenti potessero avere gravi ripercussioni sulla sicurezza dell'intera infrastruttura.

Gli interventi dell'Help Desk per rimettere a posto le configurazioni dei PC si sono praticamente ridotti a ZERO.

Gli utenti si sono abituati a non essere amministratori del PC Aziendale e, tutto sommato, si sentono più tranquilli sapendo che possono contare sul supporto di personale tecnico qualificato per risolvere qualsiasi problema ICT.

Ma... i Tablet e gli Smartphone Aziendali ?
Eh, questo è tutto un altro discorso ! Ne parleremo presto...

Restate sintonizzati !

Cordialmente vostro,
Autostoppista Cyber Galattico.

7500 è il codice che i piloti inseriscono sul transponder per segnalare ai radar del traffico aereo la presenza di dirottatori a bordo.

Che c'entra con la sicurezza della nostra Rete Aziendale ?

Come abbiamo visto, anche la nostra Rete Aziendale può essere "dirottata" ingannando i computer attraverso l'avvelenamento delle tabelle che vengono usate per instradare i pacchetti (ARP poisoning).
Dirottando il traffico della Rete Aziendale, un attaccante è in grado di intercettare le informazioni trasmesse (dati, password, conversazioni telefoniche, ecc.) e portarsi via informazioni preziose.

E' possibile difendersi dall'intercettazione in rete ?

Sì, ci sono diverse tecniche che possono essere messe in atto per rendere molto difficile la vita agli spioni dirottatori del traffico di rete, anche se - va detto - non c'è una unica soluzione in grado di garantire la sicurezza al 100%.

Una di queste tecniche si chiama Dynamic ARP Inspection e viene implementata attraverso la configurazione di apposite funzionalità sugli switch di livello 2 della rete.

Dynamic ARP Inspection

Il Dynamic ARP Inspection è una funzionalità di sicurezza che consente agli switch di verificare i pacchetti ARP (Address Resolution Protocol) che transitano in rete.
In pratica, ogni volta che lo switch viene attraversato da un pacchetto ARP, lo switch controlla se i dati relativi all'indirizzo IP e al MAC-Address contenuti nel pacchetto ARP sono "validi", scartando tutti quei pacchetti ARP arbitrariamente forgiati da un attaccante per "avvelenare" le tabelle di instradamento.

Sono giudicati "validi" dal Dynamic ARP Inspection solo i pacchetti ARP che contengono coppie di MAC-Address / IP-Address presenti in una Tabella di Corrispondenza memorizzata all'interno dello switch stesso, che viene dinamicamente creata ed aggiornata attraverso una funzionalità chiamata "DHCP Snooping", che significa più o  meno "curiosare nel traffico DHCP".

DHCP Snooping

Nelle Reti Locali Aziendali di norma la configurazione dei parametri necessari ai PC per comunicare in rete viene effettuata in maniera DINAMICA, mediante uno scambio di messaggi secondo il protocollo (DHCP - Dynamic Host Configuration Protocol)  tra i PC ed un apposito Server (DHCP Server).

Quando un PC viene connesso alla rete, genera e trasmette un messaggio di richiesta di configurazione dinamica (DHCP Request).
Il DHCP Server ha il compito di rispondere a questo messaggio (DHCP Offer) indicando al PC i parametri necessari per il suo corretto funzionamento sulla rete a cui è collegato, e cioè:
- L'indirizzo IP
- La maschera di sottorete
- Il default gateway
ed altri parametri.

Attivando la funzionalità di DHCP Snooping, lo switch viene messo in grado di "curiosare" all'interno di questo scambio di messaggi tra i PC e il DHCP Server e di costruire e tenere aggiornata la tabella di corrispondenza che serve per il Dynamic ARP Inspection.

Poichè la tabella viene costruita ed aggiornata dallo switch solo sulla base delle informazioni provenienti da una "fonte fidata" (quale è il Server DHCP della Rete Aziendale), non è possibile per un attaccante alterare le informazioni che vi sono registrate.
Anche qualora un PC attaccante (connesso ad una porta di accesso dello switch) tentasse di fingersi un DHCP Server per iniettare in rete messaggi alterati ad arte, la funzionalità di DHCP Snooping ignorerebbe questi messaggi in quanto non provenienti dalla porta di UPLINK dello switch.

PORT Security - un ultimo passo necessario

Il "filtraggio" dei pacchetti ARP malevoli svolto dal Dynamic ARP Inspection funziona solo se i meccanismi di instradamento dei pacchetti sullo switch lavorano correttamente.

Un PC attaccante che inviasse in rete una grande quantità di pacchetti ARP con molteplici MAC Address forgiati ad arte potrebbe rapidamente saturare le tabelle usate dallo switch, mettendo "fuori uso" i suoi meccanismi di instradamento.
In caso di saturazione di queste tabelle lo switch inizierebbe a comportarsi come un hub, propagando ogni pacchetto su tutte le porte.

Per evitare questo fenomeno è necessario configurare sullo switch la funzionalità di "PORT Security", tramite la quale viene limitato il numero massimo di MAC Address che possono risultare connessi alla medesima porta.

Scacco in 3 mosse ai dirottatori della rete...

Le tecniche di ARP Poisoning possono essere impiegate da un attaccante connesso alla Rete Locale Aziendale per dirottare ed intercettare le comunicazioni.

Questa tipologia di attacchi coinvolge gli ENDPOINT più che la Rete (si basa sull’inquinamento delle tabelle ARP che ogni device in Rete mantiene ed utilizza per instradare correttamente i propri pacchetti).

Di norma la Rete è “trasparente” a questi vettori di attacco, in quanto il traffico ARP generato dall’attaccante non innesca la rilevazione di alcuna anomalia sugli switch.

Adottando la soluzione qui prospettata (PORT Security + DHCP Snooping + Dynamic ARP Inspection) la Rete viene messa in grado di bloccare il vettore di attacco (gli switch "scartano" i pacchetti ARP malevoli iniettati dall'attaccante).

Questa non è l'unica soluzione possibile, ma è di semplice attuazione poichè richiede solo un intervento sulla configurazione degli switch.

Per realizzare questa soluzione è necessario che gli switch supportino le funzionalità di PORT Security, DHCP Snooping e Dynamic ARP Inspection. Tali funzionalità sono certamente supportate dai modelli più recenti, ma in una Rete Aziendale possono essere presenti anche apparati di rete "datati", che non sono in grado di supportarle. In questo caso si può procedere comunque con una implementazione graduale "a macchia di leopardo" (per sottorete) in attesa della sostituzione degli swicth obsoleti.

Questa soluzione è stata testata in Laboratorio ed è stata implementata con successo nelle principali sottoreti di una grande Multiutility Italiana.

Cordialmente vostro,
Autostoppista Cyber Galattico.