Date post: | 05-Dec-2014 |
Category: |
Technology |
Upload: | piero-tagliapietra |
View: | 755 times |
Download: | 2 times |
Piero Tagliapietra - Security Specialist - Project Work
1
POLITECNICO DI MILANO – CEFRIEL MASTER IN ALTO APPRENDISTATO DI I° LIVELLO “SECURITY SPECIALIST”
I rischi dei Social Media in Ambito Aziendale
Introduzione alla Social Business Security
Tutor: Ing. Giulio Perin Ing. Enrico Frumento Presentata da: Piero Tagliapietra
2012/2014
Piero Tagliapietra - Security Specialist - Project Work
2
SCENARIO 4
Social Media e Social Media Business 4
Sicurezza e Social Media 5
Analisi dei rischi nel dettaglio 10 Diffusione Malware 10 Spam, Phishing e frodi 11 Social Engineering e Spear Phishing 11 Diffusione o furto di dati sensibili o d’identità 11 Diffusione d’informazione riservate o false 11 Danni d’immagine o reputazione 11 OSINT 12 Diffamazione, Ingiuria, Stalking 12 Hacktivism e cracking dei profili ufficiali 12 Violazione dei reati presupposto 12 Violazione dell’art. 4 l. 300/70 13 Diminuzione della produttività dei dipendenti 13 Tabella di sintesi 13
Aspetti legali 15
MODELLIZZAZIONE DELLE MINACCE 17
Elementi del modello 17
Asset 17
Minacce 18 Informazioni private o riservate o sensibili: 18 Asset finanziari 18 Proprietà intellettuale 18 Segreti industriali 19 Sicurezza fisica 19 Risorse informatiche e rete aziendale 19 Immagine e reputazione personale 19 Immagine e reputazione aziendale 19 Perdita di proprietà intellettuale 20
Vulnerabilità 20 Estrinseche 20 Intrinseche 20
Exploit 21 Driven by download 21 Web Exploit 22
Modello 22
RISK TREE 25 Creazione di un Dossier Digitale 25 Pubblicazione di documenti 26 Danni d’immagine 27 Attacco ai sistemi aziendali 28 Interconnessione dei rischi 29
Piero Tagliapietra - Security Specialist - Project Work
3
DREAD 30
MITIGAZIONE 34
Formazione 35
Policy 35 Elementi cardine 36
Guidelines 38 Elementi cardine 39
Strumenti tecnologici 40 Piattaforme di monitoraggio 40 Piattaforme di gestione dei Social Media 40 IDS e DLP 40 Backup e data retention 41 Monitoraggio del traffico 41 Aggiornamenti automatici 41
BIBLIOGRAFIA 42
Piero Tagliapietra - Security Specialist - Project Work
4
Scenario
Social Media e Social Media Business I Social Media sono un insieme di tecnologie, piattaforme e strumenti online che le persone utilizzano per scambiare opinioni, informazioni, esperienze e contenuti multimediali e per stabilire relazioni. Possiamo dire quindi che i Social Media facilitano le interazioni tra gruppi di persone. Dovendo andare a identificare alcune delle specificità di questi strumenti possiamo utilizzare quelle descritte da Bennato 1 ed elencare le quattro peculiarità di questo media: replicabilità (per definizione ogni oggetto digitale può essere duplicato), ricercabilità (qualunque testo, salvo alcune eccezioni specifiche, è ricercabile), persistenza (una volta pubblicati online l’autore ne perde il controllo e non può garantirne l’eliminazione) e scalabilità (i contenuti possono essere diffusi in maniera virale in modo più o meno rapido). Tuttavia, anche se in parte si tratta di un qualcosa di nuovo, sappiamo che tutti i media si appoggiano su infrastrutture pre-esistenti e in molti casi possiamo ritrovare questa tendenza nel fatto che gli utenti tendano a considerare come narrow cast la comunicazione digitale (avendo una tradizione di media, anche digitali, con una portata limitata) mentre utilizzano piattaforme di broadcasting e parlando quindi con un numero estremamente alto di persone. Il numero di utenti che utilizza i Social Media e partecipa su Social Network è cresciuto enormemente negli ultimi anni in un trend che non ha riguardato solamente gli USA, ma che ha investito tutto il mondo. Se prendiamo ad esempio l’Italia vediamo che su una popolazione di circa 28 milioni di utenti online2 oggi gli utenti attivi di Facebook, secondo i dati ufficiali sono quasi 22 milioni, il 78% della popolazione online. Se andiamo leggermente oltre vediamo che 13 milioni di persone si connettono quotidianamente e 7 milioni di utenti si collegano tramite telefono3. Anche se con numeri inferiori troviamo diversi milioni di utenti attivi anche su Twitter, Linkedin, Google+ mentre migliaia di persone scrivono sul proprio blog personale o si geolocalizzano su Foursquare. Vediamo quindi che durante il giorno le persone raccontano la propria vita attraverso vari dispositivi, in vari momenti, su diverse piattaforme. Da questo punto di vista possiamo vedere come la fruizione dei media sia cambiata e come si possano identificare due trend precisi da questo punto di vista: da un lato infatti abbiamo una fruizione multi-device sequenziale, dove l’utente si sposta da un oggetto all’altro fruendo però sempre dello stessa tipologia di contenuto, dall’altra invece abbiamo una fruizione multi-device contemporanea durante la
1 Sociologia dei Media Digitali, Laterza, Roma-Bari 2011 2 Dati audiweb di luglio http://www.audiweb.it/cms/view.php?id=6&cms_pk=265 3 http://vincos.it/2012/05/11/nasce-losservatorio-social-media-in-italia-google-cresce-e-insidia-linkedin/
Piero Tagliapietra - Security Specialist - Project Work
5
quale l’utente utilizza più strumenti contemporaneamente (ad esempio twittando durante un evento televisivo). Ovviamente un bacino di utenti così ampio non ha lasciato le aziende indifferenti che hanno visto i Social Media come un nuovo territorio da colonizzare e sfruttare per attività di tipo promozionale, commerciale e per relazionarsi con i propri consumatori. Questo ha portato alla creazioni di pagine su Facebook, ad account aziendali su Twitter e alla realizzazioni di presidi su varie piattaforme: se prendiamo la lista delle Fortune 5004 vediamo che il 23% di queste ha un blog aziendale, il 62% un account Twitter e il 58% una pagina Facebook. Ovviamente le numeriche degli utenti e le attività aziendali sui Social Media mostrano a prima vista uno scenario apparentemente tranquillo, ma una lettura più profonda e completa di questo fenomeno può aiutarci a comprendere che queste piattaforme e tecnologie possono anche rappresentare un rischio per le aziende
Sicurezza e Social Media In modo da comprendere in maniera esaustiva quali sono i rischi e i pericoli che possono nascere per un’azienda dai Social Media dobbiamo approfondire alcuni dei punti toccati in precedenza. Abbiamo detto che il numero di persone che utilizzano i Social Media è sempre più elevato, ma questi soggetti non sono semplicemente cittadini, sono anche dipendenti, manager e amministratori delegati: sono quindi in possesso di informazioni sull’azienda che non sempre possono essere rese pubbliche. Il fatto che, inavvertitamente, queste informazioni vengano condivise online è ben più di una possibilità: in alcuni casi infatti gli utenti sono convinti di agire secondo logiche di narrowcasting e non si rendono conto della diffusione (e dell’impatto) che possono avere i loro update. Oltretutto in molti casi il piano personale e lavorativo tendono a sovrapporsi. È infatti molto difficile per delle persone normali, per gli amici e i follower, comprendere quando si passa da un registro ufficiale ad uno comune: normalmente si tende a creare un unico insieme ibrido. Ovviamente questo rappresenta un ulteriore problema dal momento che alcune dichiarazioni che non rispecchiano necessariamente quelle dell’azienda possono essere lette come ufficiali. Oltretutto, anche qualora si riuscisse a tenere separati i due piani, qualunque messaggio ad opera dei dipendenti, dei manager e degli dipendenti andrebbe a contribuire alla costruzione della corporate image. Dobbiamo infatti ricordare che l’immagine aziendale (o corporate image usando le parole di Ugo Volli5) è un elemento semiotico frutto delle varie
4 http://econsultancy.com/it/blog/9607-fortune-500-social-media-statistics-infographic 5 Semiotica della Pubblicità, Laterza, 2002
Piero Tagliapietra - Security Specialist - Project Work
6
discussioni che si sviluppano intorno alla marca e che quindi comprende sia i messaggi volontari (quelli ad esempio emessi in maniera ufficiale dall’azienda), sia involontari (ad esempio quelli dei dipendenti) che percepiti (discorsi fatti dagli utenti). Il grande passaggio verso il cosiddetto web 2.0 ha quindi spostato gli equilibri riducendo di fatto il potere dei messaggi volontari in favore di quelli involontari e recepiti: sempre più la marca è un elemento costruito collettivamente secondo logiche dal basso e quindi, i dipendenti, anche in maniera involontaria sono parte attiva della corporate image con i propri account e i propri update. Oltretutto molti di questi messaggi sono pubblicati durante l’orario di lavoro. Abbiamo infatti detto che le persone utilizzano i Social Network e i Social Media durante tutta la giornata e, se estendiamo il tutto all’impresa, questo significa che anche i dipendenti, durante l’orario lavorativo, utilizzeranno questi strumenti per interagire con i propri amici e condividere informazioni. Queste attività non vengono necessariamente fatte tramite computer di lavoro, uno strumento sul quale eventualmente è possibile esercitare una forma di controllo e tutela, ma spesso tramite gli smartphone personali che in un secondo momento vengono collegati al computer o alla rete interna. La consumerizzazione dell IT e le pratiche di BYOD (Bing You Own Device) da questo punto di vista complicano la gestione della sicurezza. La presenza di strumenti personali del dipendente infatti può limitare il controllo (e la protezione) da parte dell’azienda sui propri asset materiali e immateriali. Inoltre possiamo dire che, normalmente, le persone tendono ad attribuire uno scarso valore alle informazioni in loro possesso e, conseguentemente, a condividerle in maniera più facile: così come una password è condivisa più facilmente di un token o di una smart card, allo stesso modo, condividere informazioni con i propri contatti online, non viene percepito come attività rischiosa o dannosa. Questo porta in molti casi ad un approccio ingenuo che può aumentare l’esposizione dell’azienda a dei rischi. Oltre alla condivisione di informazioni, un approccio di tipo ingenuo espone anche a tutta un’altra categoria di rischi: in molti casi infatti gli utenti, convinti che l’ambiente dei Social Media sia sicuro (perché popolato da contenuti prodotti da altri utenti e da materiali condivisi dai propri amici) rischiano di premere con maggior frequenza su link poco sicuri e di immettere malware di vario tipo all’interno della computer aziendali, e, di conseguenza, di compromettere la rete aziendale. Nonostante molti dipendenti non considerino i Social Media come sorgenti di rischio, la loro pericolosità non è sfuggita a coloro che si occupano di sicurezza e di gestione dei Social Media. Se andiamo a prendere i dati di una recente analisi (pubblicata il 9 agosto) condotta da Altimeter6 vediamo che è
6 i dati originali sono disponibili a questo indirizzo http://www.web-strategist.com/blog/2012/08/09/risk-management-guarding-the-gates-altimeter-report/ mentre una loro elaborazione è disponibile al seguente
Piero Tagliapietra - Security Specialist - Project Work
7
inizia a farsi strada una certa consapevolezza.
http://www.emarketer.com/Article.aspx?R=1009309&ecid=a6506033675d47f881651943c21c5ed4&goback=%2Egde_4417941_member_156431387
Piero Tagliapietra - Security Specialist - Project Work
8
Rischio Critico Significativo Moderato Debole Nessuno
Danni di reputazione o all’immagine del brand 35% 31% 23% 4% 6%
Diffusione d’informazioni confidenziali 15% 17% 31% 25% 10%
Perdita di Proprietà Intellettuale (IP) 13% 15% 31% 25% 10%
Problemi di carattere legale o di compliance 13% 17% 25% 27% 15%
Diffusione di dati personali o sensibili 13% 21% 33% 15% 15%
Forto d’identità o Hijacking 12% 13% 29% 22% 21% Interruzione della Business Continuity 10% 12% 29% 21% 27%
Malware 8% 15% 33% 35% 8% Attacchi di Social Engineering 6% 12% 29% 35% 15%
Danni all’infrastruttura informativa 6% 6% 31% 40% 15%
Riduzione della produttività 4% 10% 31% 37% 17%
Diffamazione dei dipendenti 2% 21% 27% 29% 19%
I problemi che possono essere innescati da Social Media sono di diverso tipo e riguardano sia aspetti materiali (come la diffusione di materiale protetto) che immateriali (danni alla reputazione o all’immagine del brand). Se andiamo oltre possiamo osservare come la percezione del rischio cambi anche in funzione delle piattaforme7. Sorgente di Rischio Significativo Moderato Basso Nessuno Facebook 35% 30% 25% 10% Twitter 25% 35% 33% 8% YouTube e altre piattaforme video 15% 28% 43% 15% Blog di altri utenti e commenti 10% 37% 44% 10% Blog aziendale e commenti 8% 15% 43% 31% Linkedin 8% 15% 43% 35% Giudizi e valutazioni su piattaforme dedicate 5% 18% 33% 45%
Pinterest 5% 15% 33% 48% Piattaforme di condivisione delle immagini 3% 25% 38% 35%
7 In questo caso le valutazione delle piattaforme sono soggettive e non parametrate sulla presenza effettiva di rischi, vulnerabilità o exploit noti
Piero Tagliapietra - Security Specialist - Project Work
9
Foursquare 3% 20% 20% 58% Intranet e Social Network Enterprise (es. Yammer) 3% 15% 35% 48%
Google+ 0% 18% 49% 33% YahooAnswer, Quora ed analoghi 0% 13% 43% 45% Da questo primo breve elenco possiamo iniziare a distinguere tra due diverse tipi di attività: da un lato abbiamo dipendenti che, senza distinzione d’orario, pubblicano contenuti su piattaforme esterne (azione attiva) che possono condurre o a danni d’immagine o alla fuoriuscita di informazioni riservate o fungere da supporto per eventuali attacchi di Social Engineering e dall’altro dipendenti che, utilizzando piattaforme esterne durante le ore di lavoro, espongono i computer e la rete aziendali a dei rischi derivanti da attacchi esterni di vario tipo. Uno degli aspetti predominanti che emerge dalle tabelle prese in analisi in precedenza, è come i rischi maggiori (percepiti) siano legati ai danni di reputazione e all’immagine aziendale. Si tratta di timori fondati dal momento che:
• Possono essere causate da una molteplicità di attori (dipendenti o attaccanti)
• La diffusione di queste piattaforme e la naturale viralità dei contenuti che su di esse transitano possono amplificare la portata degli attacchi o dei danni
• Richiedono una gestione attenta (da parte del community manager in molti casi) e una pianificazione accurata (da parte del management e dei responsabili della comunicazione)
• Le persone non distinguono tra utenti e profili ufficiali e quindi, in molti casi, anche gli update personali dei dipendenti possono avere ricadute sulla corporate image.
Piero Tagliapietra - Security Specialist - Project Work
10
Analisi dei rischi nel dettaglio Dopo questo primo e generico elenco necessario approfondire e dettagliare questi elementi in modo da comprendere più a fondo quali siano gli elementi che contraddistinguono i diversi rischi sui Social Media. In modo da semplificare la lettura, alcuni rischi strettamente collegati, sono stati riassunti in un'unica categoria. A livello di rischi possiamo identificare
• Diffusione di Malware • Spam,phishing e frodi • Social Engineering e Spear Phishing • Diffusione o furto di dati sensibili o d’identità • Diffusione d’informazioni riservate o false • Open Source Intelligence da parte dei concorrenti • Diffamazione, Ingiuria, Stalking • Danni d’immagine e di reputazione • Hacktivism e hacking dei profili di comunicazione aziendale • Violazione di reati presupposto (231/01) • Violazione dell’art. 4 L.300/70 • Diminuzione della produttività da parte dei dipendenti
In modo da poter comprendere meglio le tipologie di rischio per ognuna di queste categorie è stata fatto un approfondimento ulteriore e, i vari rischi, sono stati valutati tramite un’analisi qualitativa analizzandone frequenza e impatto e andando a considerare quindi tre macrocategorie (accettabile, grave, inaccettabile). Ovviamente, la valutazione è parziale dal momento che non sono stati selezionati target ed asset specifici da proteggere.
Impatto Basso Minore Moderato Alto Catastrofico Frequenza 1 2 3 4 5 Raro 1 1 2 3 4 5 Improbabile 2 2 4 6 8 10 Possibile 3 3 6 9 12 15 Probabile 4 4 8 12 16 20 Certo 5 5 10 15 20 25 Uno degli aspetti principali da considerare è che questi rischi non sono scollegati tra loro, ma che molto spesso assistiamo a una combinazione di essi.
Diffusione Malware In questo caso si tratta principalmente di rischi la cui frequenza è molto elevata (certa) e il cui impatto può andare da minore ad alto. Si tratta quindi di rischi gravi o inaccettabili a seconda della realtà aziendale. Gli attacchi legati al malware (trojans, worms, rootkit, etc.) sono tutti driven by download e
Piero Tagliapietra - Security Specialist - Project Work
11
prevedono la presenza di un attaccante esterno. Questi attacchi sono particolarmente frequenti e sfruttano principalmente la credibilità,il senso di sicurezza del gruppo e la prova sociale.
Spam, Phishing e frodi In questo caso il rischio è possibile con un impatto moderato-alto a seconda della realtà aziendale. Questi rischi possono essere in preparazione ad attacchi più mirati (ad esempio acquisizione di credenziali o informazioni per attacchi di Social Engineering, OSINT o Spear Phishing)
Social Engineering e Spear Phishing In questo caso il rischio è possibile con un impatto alto-catastrofico. Dato che alla base degli attacchi basati su questi metodi ci sono la ricerca d’informazioni o lo sviluppo di relazioni con la vittima, appare subito evidente che i Social Media rappresentano un terreno particolarmente fertile. In molti casi infatti non sono solo le vittime a rivelare informazioni su di sé, ma sono anche i colleghi e amici. La possibilità di entrare in relazione online facilità molto il compito e le attività degli ingegneri sociali.
Diffusione o furto di dati sensibili o d’identità In questo caso i rischi sono accettabili o gravi a seconda dell’attore coinvolto e della tipologia d’informazioni diffuse. In questo caso infatti possiamo avere due tipologie distinte di attori: da un lato un dipendente che, dando scarso valore alle informazioni e percependo i Social Media come riservati e sicuri, diffonde in maniera involontaria informazioni su di sé, sull’azienda o sui colleghi; dall’altra abbiamo un attaccante (esterno o interno) il cui obiettivo è la diffusione delle informazioni. Possiamo quindi distinguere tra atti passivi (diffusione inconscia) e attivo (distribuzione conscia finalizzata ad uno scopo preciso). A livello di frequenza, il primo rischio descritto (comportamento naïve dei dipendenti) appare come più probabile e frequente.
Diffusione d’informazione riservate o false Questo rischi sono gravi (possibili e con un impatto alto): come nel caso precedente possiamo identificare un comportamento passivo ed uno attivo data la presenza di due attori (dipendente inconsapevole e attaccante). La diffusione di informazioni false rappresenta un elemento particolarmente interessante e significativo dal momento che all’interno dei Social Media la verifica delle fonti e dei contenuti avviene raramente. Se aggiungiamo a questo la viralità delle condivisioni, vediamo che l’impatto di questo rischio è decisamente elevata (soprattutto se vengono sfruttati meccanismi per creare in maniera artificiosa credibilità nelle fonti).
Danni d’immagine o reputazione Come emerso dalla tabella questi rischi sono percepiti come i più probabili e
Piero Tagliapietra - Security Specialist - Project Work
12
con impatto maggiore: date anche le premesse sono da considerarsi come gravi o inaccettabili. In questo caso i Social Media rappresentano uno dei terreni che meglio si prestano a questi rischi: i dipendenti possono infatti pubblicare informazioni false, riservate, sensibili in maniera inconsapevole sui propri profili, sui presidi aziendali ufficiali o sulle pagine dei competitor mentre degli attaccanti possono farlo in maniera consapevole. L’elevato numero di utenti, la scalabilità dei contenuti e la loro persistenza rendono questo rischio inaccettabile.
OSINT Le operazioni di Open Source Intelligence da parte dei concorrenti rappresentano uno dei nuovi grandi rischi introdotti dai Social Media. In passato questo rischio era presente (andando ad analizzare i documenti pubblici ad esempio) ma era un accettabile o grave: con la mole d’informazioni pubbliche condivise dai dipendenti sulle varie piattaforme, possiamo dire che questo rischio oggi è classificabile come grave o inaccettabile a seconda della realtà. In questo caso troviamo una molteplicità di attori coinvolti: da un lato abbiamo infatti i dipendenti che pubblicano in maniera inconsapevole o consapevole le informazioni e dall’altro attaccanti esterni.
Diffamazione, Ingiuria, Stalking Si tratta di rischi al momento accettabili (rari e ad impatto moderato) ma che stanno vedendo nell’ultimo anno una radicale crescita. In molti casi infatti gli utenti non si rendono conto che, tramite i Social Media, comunicano ad un pubblico (qualunque insieme di persone superiore a due secondo la definizione giuridica) e che quindi si espongono facilmente ad una violazione degli art. 594 e 595 c.p. In questo caso il rischio diretto per l’azienda è relativamente basso (dato che la responsabilità penale è soggettiva), ma rischia di avere ripercussioni sull’immagine o di perdere figure chiave all’interno del management o dei progetti.
Hacktivism e cracking dei profili ufficiali In questo caso, a seconda della realtà aziendale, possiamo definire questo rischio come grave (improbabile e con un impatto moderato-alto). Sono ormai diversi i casi in cui presidi ufficiali sono stati obiettivo di minacce da parte di hacktivisti: alcuni casi sono stati diffusi messaggi falsi (a seguito del furto delle credenziali) o notizie potenzialmente diffamatorie o con pesanti ricadute sull’immagine aziendale. In questo caso gli attori prevalenti sono attaccanti esterni. Una delle nuove frontiere di questo fenomeno potrebbe essere il ransomware applicato ai presidi ufficiali.
Violazione dei reati presupposto A seguito della legge 231/01 sono stati individuati diversi reati presupposto molti dei quali possono essere commessi anche tramite Social Media. In
Piero Tagliapietra - Security Specialist - Project Work
13
questo caso, dato che si tratta comunque di piattaforme nuove, possiamo definire questi rischi come gravi o inaccettabili a seconda della realtà aziendale. La frequenza infatti che avvengano violazione dei reati presupposto è possibile (devono infatti essere commessi da figure apicali) ma in casi di aziende con forti legami con le PA l’impatto può essere catastrofico. Così come per la violazione dell’art. 4 l.300/70 in questo caso gli attori principali sono interni all’azienda.
Violazione dell’art. 4 l. 300/70 Nonostante vi sia la necessità di controllo è necessario tener presente di questo rischio che può comunque essere considerato accettabile. Qualora infatti si mettano in campo strumenti di controllo e monitoraggio dei Social Media è necessario infatti procedere con cautela onde evitare di andare oltre i limiti del controllo a distanza del dipendente.
Diminuzione della produttività dei dipendenti Questo rappresenta un rischio accettabile o grave la cui valutazione richiede un’attenta analisi. In molti casi infatti, un’errata lettura può portare ad una maggiore esposizione a rischi: i dipendenti che si vedono privati dell’accesso ai Social Media possono infatti ricorrere a proxy o device personali poco protetti. In questo caso gli attori coinvolti sono esclusivamente interni.
Tabella di sintesi Tipologia Frequenza Impatto Rischio Diffusione Malware Probabile Alto Inaccettabile Spam, Phishing e Frodi Probabile Moderato Grave Social Engineering e Spear Phishing
Possibile Catastrofico Inaccettabile
Diffusione o furto di dati sensibili o d’identità
Probabile Alto Inaccettabile
Diffusione di informazioni riservate o false
Possibile Alto Grave
Danni d’immagine o di reputazione
Probabile Alto Inaccettabile
OSINT Certo Alto Inaccettabile Diffamazione, Ingiuria, Stalking
Raro Moderato Accettabile
Hacktivism e cracking dei profili ufficiali
Improbabile Moderato Grave
Violazione dei reati presupposto
Possibile Alto Grave
Violazione dell’art. 4 l. 300/70
Possibile Alto Grave
Diminuzione della produttività dei dipendenti
Probabile Basso Accettabile
Piero Tagliapietra - Security Specialist - Project Work
14
In base a questa prima analisi siamo in grado di definire una scala dei rischi e decidere eventuali interventi di carattere generale: sarà poi l’analisi sulla singola realtà aziendale (in base a target, contesto e agli altri parametri) a definire con maggior precisione il piano d’azione, le priorità e le modalità di mitigazione. In tutti questi casi ci troviamo davanti a rischi non intrinsechi: utilizzando infatti delle soluzioni di varia natura (sia tecnologiche sia a livello umano) è possibile ridurre i valori legati alla frequenza e in alcuni casi anche l’impatto.
Piero Tagliapietra - Security Specialist - Project Work
15
Aspetti legali La sicurezza dei Social Media comporta inoltre una profonda riflessione dal punto di vista legale dal momento che vanno ad incrociarsi diversi elementi. Prima di tutto il fatto che i dipendenti, sui Social Media, utilizzano i propri account personali e spesso device personali: questo ovviamente limita le possibilità di indirizzo e di controllo da parte dell’azienda. Il datore di lavoro rischia infatti d’incorrere in problematiche legate alla violazione dell’art. 4 l. 300/70 (controllo a distanza del dipendente) qualora monitori in maniera poco trasparente e non dichiarata le attività dei dipendenti esterne all’attività lavorativa. Dal momento che gli account usati dai dipendenti sono personali (e non strumenti lavorativi) e che vengono usati al di fuori dall’orario lavorativo è evidente come le azioni di controllo debbano essere curate ed attente. Tuttavia, per il datore di lavoro, il controllo è un elemento irrinunciabile dal momento che alcuni dei reati presupposto della 231/01 (responsabilità amministrativa dell’azienda). Possono infatti essere commessi i seguenti reati
• Turbata libertà dell’industria e del commercio (art. 513 c.p.) • Illecita concorrenza con minaccia o violenza (art. 513 bis c.p.) • Frode dell’esercizio del commercio (art. 515 c.p.) • Abuso d’informazioni privilegiate (D. Lgs. 24.02.1998, n° 58, art. 184) • Manipolazione del mercato (D. Lgs. 24.02.1998, n° 58, art. 185)
Questi reati possono infatti essere commessi sia da dipendenti che da figure apicali o tramite l’utilizzo di un account personale o tramite l’uso di account fasulli (che in molti casi possono comunque essere ricondotto all’azienda). Oltre a questi elementi (consolidati ormai nella giurisprudenza) è necessario tener presente che le normative legate al mondo digitale sono in rapida evoluzione ed espongono ad ulteriori rischi. Al momento infatti, come recentemente sancito da una sentenza della corte di cassazione (n° 44126) non è configurabile la responsabilità dell’editore per omesso controllo (art. 57 c.p. e 57 bis c.p.) per quanto riguarda i prodotti editoriali digitali. Tuttavia, oggi ogni azienda è potenzialmente configurabile un editore: dopotutto le pagine ufficiali su Facebook possiedono alcune caratteristiche (ad esempio il filtraggio preventivo per alcune parole chiave) che potrebbero far sì che l’azienda risulti sanzionabile per omesso controllo (ovviamente sempre a condizione di una modifica degli art. 57 e 57 bis. C.p.). Diventa però quindi fondamentale un presidio costante sulle evoluzioni normative. Oltre ai reati che possiamo identificare come direttamente collegabili alle attività aziendali è opportuno anche ricordare come nel 2012 ci sia stato un forte aumento delle cause per diffamazione e ingiuria tramite Social Media. Le violazioni degli articoli 594 e 595 c.p. infatti ha visto affermarsi nel nostro
Piero Tagliapietra - Security Specialist - Project Work
16
ordinamento la consuetudine che vuole come foro competente quello in viene reso noto alla vittima il fatto e questo, tramite gli smartphone portato ad una notevole mobilità. Risulta infatti sempre più facile scegliere a priori il foro nel quale si vuole essere giudicati e dichiarare che la notifica è avvenuto in quella sede. La differenza tra diffamazione e ingiuria all’interno dei Social Media è inoltre molto labile dal momento che basta “taggare” la vittima per ricadere nell’ingiuria ed ometterla per ricadere invece nella diffamazione. Oltretutto, essendo luoghi pubblici per definizione, vengono sempre applicate le aggravanti. La componente normativa, oltre che a problemi sul controllo dei dipendenti e nella gestione delle proprie attività, nasconde diverse difficoltà per quanto riguarda la dimensione trans-nazionale dei crimini che possono essere messi in atto. Questa problematica in realtà accomuna tutti i reati informatici e non solamente quelli commessi tramite i Social Media.
Piero Tagliapietra - Security Specialist - Project Work
17
Modellizzazione delle minacce
Elementi del modello Prima di procedere con la modellizzazione è necessario definire gli elementi che verranno utilizzati e lo scopo di tale attività. Per la modellazione verranno quindi definiti termini piuttosto ampi dal momento che non si affronta un caso specifico ma si vuole analizzare un fenomeno generale
• Asset: entità (materiale o immateriale) che hanno valore per l’azienda • Minaccia: circostanza o evento in grado di arrecare dei danni a un
soggetto o ente • Vulnerabilità: debolezza di un sistema che può essere impiegata per un
exploit • Exploit: modalità di attacco che sfrutta una vulnerabilità • Esposizione: vicinanza o contatto con una minaccia • Rischio: in questo caso si considera solamente come prodotto di
frequenza per impatto (incertezza negativa sugli obiettivi) • Contromisura: qualunque sistema, strumento, pratica in grado di ridurre
le vulnerabilità o le minacce di un dato sistema • Attacco: l’atto (o il tentativo) di superare o violare le misure di controllo o
protezione di un determinato sistema
Asset A livello macroscopico di modello possiamo dire che ci sono degli asset che possono essere compromessi da minacce; queste sfruttano degli exploit legati a delle vulnerabilità: l’esposizione alle minacce comporta un rischio che può essere mitigato attraverso delle contromisure. A livello generale possiamo dire che ogni azienda ha degli asset da tutelare e proteggere legati al suo business specifico. L’uso errato o improprio dei Social Media rischia di mettere in pericolo i seguenti asset, la cui distruzione, sottrazione, danno possono impedire all’impresa di raggiungere i suoi obiettivi.
Rimanendo sempre a livello generale, al fine della modellizzazione possiamo identificare i seguenti asset da tutelare:
1. Informazioni private o riservate o sensibili: possono essere rubate,
sottratte o utilizzate contro il legittimo proprietario per realizzare attacchi d’ingegneria sociale e sviluppare ATP (advanced persistent threat)
2. Beni finanziari: possono essere sottratti attraverso delle frodi o essere direttamente collegati a una diminuzione della produttività dei dipendenti
3. Proprietà intellettuale: può essere rubata o sottratta e successivamente diffusa (comportando un danno economico per l’impresa)
Piero Tagliapietra - Security Specialist - Project Work
18
4. Informazioni aziendali riservate: la cui diffusione può portare a perdite economiche, diminuzione della competitività, danni di reputazione e d’immagine
5. Sicurezza fisica: che può essere minacciata da criminali di vario tipo 6. Strumenti aziendali: che possono essere compromessi da malware di
vario tipo e portare a danni economici o a una diminuzione della produttività
7. Reputazione/Immagine personale e aziendale: può essere danneggiata da azioni di vario tipo e risultare irreparabilmente compromessa
8. Identità digitale: che può essere sottratta o manipolata (furto d’identità o identity spoofing)
Possiamo quindi fare alcune distinzioni tra beni (asset) aziendali e personali, tra materiali e immateriali, tra primari e secondari.
Minacce Al fine di realizzare una modellizzazione completa è necessario definire in maniera puntale le minacce legate ai Social Media collegati ai singoli asset
Informazioni private o riservate o sensibili: • Creazione di un Dossier Digitale utilizzando le informazioni pubbliche
diffuse sui Social Media (DD) • Raccolta dati secondari informazioni che l’utente concede alla piattaforma
e che vengono rivendute a sua insaputa DS) • Esposizione dei dati a seguito di una cattiva configurazione dei settaggi di
privacy (Es) • Mancanza di controllo sugli update e sulle informazioni diffuse da altri
utenti (EsS) • Inferenze predittive di dati sensibili basate sui comportamenti dell’utente
e su quelle dei suoi contatti (anche su informazioni non diffuse) (IF) • Identificazione di tutti gli account dell’utente (anche se aperti sotto falso
nome o pseudonimo) usando immagini o email di registrazione associate all’identità reale (ReId)
Asset finanziari • Frodi (FR) • Perdita di produttività a seguito del tempo speso dai dipendenti sui Social
Media (TL)
Proprietà intellettuale • Atto inconsapevole (accidentale) da parte del dipendente (IpAc) • Sottrazione e pubblicazione (deliberata) da parte di un attaccante (IpDb) • Mancanza o perdita di controllo da parte dell’azienda su quello che viene
pubblicato sui Social Media (in alcuni casi dipende da una errata
Piero Tagliapietra - Security Specialist - Project Work
19
valutazione delle policy d’uso e dei Terms of Service della piattaforma) (IpPt)
Segreti industriali • La pubblicazione da parte dei dipendenti d’informazioni sulle procedure e
sulle modalità di lavoro può essere usato da un attaccante per creare un finto profilo aziendale per ottenere l’accesso ai dati e alle informazioni aziendali (FsDb)
• I dipendenti possono pubblicare in maniera accidentale progetti e informazioni confidenziali a causa di un’errata valutazione dell’importanza dei documenti o del livello di confidenzialità dei Social Media (FsAc)
Sicurezza fisica • Diffusione o pubblicazione accidentale d’informazioni che possono
illustrare a un attaccante il numero di persone presenti, le funzioni e gli orari degli uffici (SFac)
• Pubblicazioni di immagini che possono essere usate per inferire informazioni sulle attività lavorative (SFIm)
• Diffusione di informazioni personali che possono essere usati per trovare, identificare e minacciare le persone (SFst)
Risorse informatiche e rete aziendale • Diffusione di malware nella rete aziendale (MW)
Immagine e reputazione personale • Campagne mirate per il danneggiamento della reputazione e
dell’immagine personale (IMs) • Campagne automatizzate per il danneggiamento della reputazione e
dell’immagine personale (IMa) • Un attaccante può entrare in possesso d’informazioni riservate e ricattare
il soggetto (ES.) • Dato che i processi di verifica dell’identità delle piattaforme sono deboli è
possibile che degli attaccanti creino dei profili fasulli con conseguente furto d’identità (FId.)
• Il fatto di non poter dimostrare con sicurezza l’identità della persona rende più complessi e difficili gli atti di repudiation qualora vengano diffuse informazioni false o diffamanti (RP.)
Immagine e reputazione aziendale • Atto inconsapevole (accidentale) da parte del dipendente (IpAc) • Sottrazione o pubblicazione (deliberata) da parte di un attaccante (IpDb) • Mancanza o perdita di controllo da parte dell’azienda su quello che viene
pubblicato sui Social Media (in alcuni casi dipende da un’errata
Piero Tagliapietra - Security Specialist - Project Work
20
valutazione delle policy d’uso e dei Terms of Service della piattaforma o di una mancata policy documentale interna) (IpPt.)
Perdita di proprietà intellettuale • Atto inconsapevole (accidentale) da parte del dipendente (IpAc) • Sottrazione o pubblicazione (deliberata) da parte di un attaccante (IpDb) • Mancanza o perdita di controllo da parte dell’azienda su quello che viene
pubblicato sui Social Media (in alcuni casi dipende da un’errata valutazione delle policy d’uso e dei Terms of Service della piattaforma) (IpPt.)
Vulnerabilità
Estrinseche Si tratta di vulnerabilità sulle quali l’azienda può esercitare un certo grado di controllo e mettere in campo alcune strategie di mitigazione. In questo caso si tratta di vulnerabilità collegate agli elementi direttamente collegati all’azienda (software, hardware, middleware, wetware) inclusi nei vari processi. In questo caso ci concentreremo sul fattore umano (wetware).
Bias cognitivi propri degli esseri umani • Gli attaccanti conoscono bene alcune degli errori cognitivi che inducono le
persone a reputare come credibili o interessanti link, informazioni e update.
Scarsa conoscenza dei mezzi • L’uso dei social media viene vissuto come naturale dagli utenti e
soprattutto, più che come spazi aperti, questi vengono considerati come stanza chiuse e sicure nelle quali è possibile comunicare solo ed esclusivamente con i propri contatti.
Poca consapevolezza degli attacchi • Associato alla scarsa conoscenza dei mezzi gli utenti trascurano spesso i
pericoli legati all’uso della tecnologia e in particolare dei Social Media.
Basso valore delle informazioni • Gli asset intangibili vengono valutati e trattati in maniera molto più
superficiale rispetto ai beni fisici. Il problema principale risiede nel fatto che il valore delle informazioni non dipende dal singolo elemento, ma dalla connessione di tutti i dati diffusi.
Appare evidente la maggior parte delle vulnerabilità è legato a una scarsa conoscenza.
Intrinseche Alcune minacce sono legate non tanto a comportamenti degli utenti ma a problemi delle piattaforme.
Piero Tagliapietra - Security Specialist - Project Work
21
Impossibilità di eliminare i contenuti • A causa dell’eterogeneità delle policy e dei TOS delle varie piattaforme e
della loro continua evoluzione è possibile che, una volta caricato del materiale su un Social Media l’azienda ne perda il controllo rendendo di fatto impossibile la cancellazione. Questo vale anche per le informazioni personali. In molti casi oltretutto, quando una persona estranea condivide il contenuto, la duplicazione rende impossibile sia la cancellazione che l’eliminazione.
Metodi di autenticazione deboli • Le modalità di autenticazione sui Social Media sono estremamente deboli:
a causa del proliferare delle piattaforme gli utenti tendono a replicare le stesse combinazioni nome/mail e password. In molti casi è possibile che per ragioni di semplicità utilizzino la mail di lavoro.
Non validazione delle informazioni • L’unica validazione fatta durante la registrazione riguarda l’email che
deve essere attiva: non vi sono ulteriori processi e questo ovviamente porta alla diffusione di profili falsi.
Diffusione dati di navigazione • I protocolli di comunicazione possono essere usati per ottenere diverse
informazioni che un attaccante può sfruttare per identificare delle potenziali vulnerabilità del sistema usato dal target.
• La “presence” (presenza segnalata dai sistemi di messaggistica istantanea e chat) fornisce informazioni rilevanti a un’attaccante sulle abitudini della vittima e rappresenta un ottimo sistema per sfruttare delle vulnerabilità mentre la vittima è lontana dal computer.
Diffusione dati d’informazioni fatte da terzi • In alcuni casi gli utenti sono attenti alle informazioni che condividono e
alle impostazioni di sicurezza dei propri account sui Social Media, tuttavia non hanno controllo sui propri contatti (amici e follower) che possono condividere informazioni su di essi.
Exploit Dato che si tratta di azioni che vengono innescate da comportamenti degli utenti in questo caso possiamo identificare due metodologie di exploit principali.
Driven by download • In questo caso l’utente scarica (in maniera consapevole o
inavvertitamente) il malware.
Piero Tagliapietra - Security Specialist - Project Work
22
Web Exploit • L’utente naviga su un sito (nella maggior parte cliccando su link malevoli
su mail di phishing) e la vulnerabilità in questo caso sono legati ai browser, ai plugin e alle varie componenti.
In entrambi i casi, l’utente preme su un link (o su un eseguibile) malevolo o ricevuto tramite posta o tramite comunicazione privata o visto su un social media. Nella maggior parte dei casi le APT (advanced persistent threat) iniziano proprio con una mail si spear phishing: secondo una ricerca di TrendMicro questo avviene nel 91% dei casi.8
Modello Prima di passare ad analizzare e sviluppare l’albero dei rischi è stato delineato un modello generale dello scenario di riferimento
In questo caso il modello è stato volutamente lasciato molto generale e con lo scopo di tratteggiare quali sono gli scambi di base soprattutto con i Social Media: le interazioni di dettaglio con la Intranet e con un ipotetico servizio in Cloud Computing per la gestione della posta non è stato approfondito in quanto al momento esterno all’obiettivo di progetto. In questo caso appare evidente come i rischi siano presenti soprattutto nel caso in cui i Social Media vengano utilizzati sulla postazione di lavoro (PC); tuttavia, anche rimuovendo il collegamento diretto tra PC e Social Media, dal momento che la fruizione avviene anche tramite device mobili (smartphone), qualora questi strumenti vengano collegati alle postazioni aziendali il rischio non viene
8 http://www.infosecurity-magazine.com/view/29562/91-of-apt-attacks-start-with-a-spearphishing-email/
Piero Tagliapietra - Security Specialist - Project Work
23
eliminato, ma in alcuni casi parzialmente ridotto o addirittura avviene un incremento (spesso i dispositivi degli utenti sono privi di sistemi di protezione e quindi più esposti ad attacchi). Nel caso in cui si volesse anche rimuovere il collegamento con l’esterno (DMZ o tramite una Dual-‐Zone Arch) questa soluzione non permetterebbe in ogni caso di eliminare i rischi dal momento che gli utenti continuerebbero ad interagire e ad utilizzare all’esterno delle aree protette i Social Media e quindi la loro esposizione rimarrebbe costante. Per la modellazione iniziale è stata scelta la metodologia STRIDE di Microsoft dove l’acronimo identifica sei macro-‐categorie all’interno delle quali possono essere posizionate le minacce identificate:
• Spoofing user identity − si applica al caso in cui un attaccante riesce ad impersonare un altro utente.
• Tampering with data − si riferisce al fatto che un attaccante, con modifiche opportune dei dati, riesca ad attaccare un sistema con lo scopo di scalarne i diritti.
• Repudiation − rappresenta il rischio che una transazione legittimamente svolta non venga riconosciuta da parte di uno degli attori coinvolti.
• Information disclosure − si riferisce al fatto che un attaccante possa guadagnare l’accesso a dati che il legittimo proprietario non vuole esporre.
• DoS Denial of Service − rendere indisponibile una risorsa del sistema. • Escalation of privilege − rappresenta il rischio che un attaccante possa
scalare i privilegi di un sistema e guadagnare maggiori crediti Dato che in questo caso l’analisi è rimasta ad alto livello, anche dal punto di vista della modellazione delle minacce e il ricorso alla metodologia STRIDE gli elementi identificati sono di carattere generale
Piero Tagliapietra - Security Specialist - Project Work
24
In generale la minaccia principale è legata allo Spoofing user identity: i sistemi di autenticazione deboli sui Social Media e le informazioni diffuse sulle varie piattaforme rendono relativamente semplice per un attaccante impersonificare un’altra persona. In molti casi, collegato alla user identity spoofing troviamo l’information disclosure. Abbiamo infatti situazioni in cui la diffusione di informazioni private avviene in maniera inconsapevole (le policy eterogenee e la loro evoluzione continua, la scarsa cura degli utenti nell’impostazione dei livelli di privacy sono le principali cause), ma altre nelle quali l’impersonificazione di un altro utente rappresenta la soluzione di base per raccogliere informazioni sul proprio target. Ovviamente, una volta ottenute informazioni e il contatto con l’utente è possibile usare questa conoscenza (e i privilegi ottenuti) per ridurre la disponibilità di servizi o lanciare attacchi avanzati. A livello generale è necessario considerare anche la Repudiation (collegata con la user identity spoofing): simulando infatti l’identità di una persona è possibile fare in modo che comunicazioni non ufficiali o non legittime vengano ritenute vere o credibili.
Piero Tagliapietra - Security Specialist - Project Work
25
RISK TREE Una volta definiti asset, minacce, modello generale è necessario analizzare i vari elementi per poter comprendere meglio le relazioni esistenti tra di essi e a valutare quali possono essere le soluzioni ottimali al fine di ridurre i rischi individuati. A livello grafico sono stati differenziati i nodi AND (segnalati dalla doppia linea) e i nodi OR (nessun segno grafico) mentre non sono stati differenziati a livello grafico processi, rami e foglie (dato che si tratta di una overview). Al fine dell’analisi, dati gli obiettivi di progetto, gli alberi dei rischi qui disegnati non hanno raggiunto i livelli più bassi (con identificazione di contromisure da implementare a livello tecnologico), ma, come nei precedenti casi, si è mantenuta un’analisi di alto livello.
Creazione di un Dossier Digitale
Il primo elemento da considerare (soprattutto a seguito di quanto emerso durante l’analisi STRIDE) è la costruzione di un dossier digitale da parte di un attaccante dal momento che può rappresentare il punto di partenza per la maggior parte degli attacchi. In questo caso la discriminante principale è rappresentata dalle impostazioni di privacy da parte dell’utente (generalmente l’opposizione è tra profilo aperto e chiuso). A livello preliminare possiamo notare immediatamente che è possibile agire in maniera limitata e solamente su alcune delle cause: essendo gli account personali l’azienda ha scarso potere d’indirizzo (come definito inizialmente nel paragrafo dedicato ai temi legali) e, anche qualora gli utenti agiscano in maniera
Piero Tagliapietra - Security Specialist - Project Work
26
responsabile non possono modificare gli update e i contenuti postati e pubblicati dai propri amici/contatti.
Pubblicazione di documenti
La pubblicazione di documenti riservati distingue principalmente tra due atti: volontari e involontari. In questo caso non c’è distinzione tra atto volontario interno o di un attaccante: qualora infatti un dipendente decida di compiere questo atto in maniera consapevole è da considerarsi come attaccante. A livello generale questo tipo di albero è applicabile anche alla diffusione dei dati o di informazioni sensibili: nella fase di definizione delle minacce abbiamo infatti distinto per diverse di esse la pubblicazione volontaria o involontaria (accidentale). Questo stesso albero può quindi essere considerato valido anche per le minacce legate alla proprietà intellettuale, segreti industriali e più in generale per le informazioni riservate o sensibili.
Piero Tagliapietra - Security Specialist - Project Work
27
Danni d’immagine
A livello generale per quanto riguarda i danni d’immagine o reputazione non è stato ritenuto opportuno distinguere tra comportamenti eseguiti dal singolo tramite account personale o aziendale: la responsabilità penale rimane soggettiva e in ogni caso gli utenti non distinguono tra account personali e aziendali (come citato inizialmente la corporate image è una somma di discorsi formata anche da quello che i dipendenti dicono). A livello generale ritorna un elemento già incontrato nei precedenti alberi: l’errata percezione (o configurazione). In molti casi infatti molti dei comportamenti che espongono a dei rischi sono legati principalmente a una scarsa conoscenza dei mezzi (una sorta di digital divide) e delle conseguenze (legal divide).
Piero Tagliapietra - Security Specialist - Project Work
28
Attacco ai sistemi aziendali
L’attacco a sistemi aziendali (compromissione della postazione del singolo ed eventuale estensione alla rete aziendale) rappresenta l’elemento più interessante e complesso soprattutto se rapportato al modello generale. Emergono chiaramente come le modalità di exploit principali siano quelle driven by download e in generale i web exploit che possono essere impiegati sulle diverse piattaforme. In questo caso l’attacco sui Social Media e sugli Smartphone potrebbe essere ulteriormente approfondito andando ad analizzare le motivazioni (soprattutto cognitive) che spingono un utente a cliccare su un determinato link o a eseguire un determinato programma. Da questo punto di vista la relazione con altri utenti, la creazione di un dossier digitale rappresentano elementi chiave per la concretizzazione di questo attacco. Da un punto di vista delle contromisure da adottare l’attenzione sui nodi AND è quella più promettente anche se può risultare complesso (soprattutto per quanto riguarda gli smartphone e il divieto di attaccarli, anche solo per ricaricarli, ai computer aziendali)
Piero Tagliapietra - Security Specialist - Project Work
29
Interconnessione dei rischi
Ovviamente l’aspetto più interessante è rappresentato dai rapporti che collega i vari alberi sino a qui delineati. Vediamo che in molti casi è possibile identificare degli elementi di base, ma che alcune delle sorgenti non sono strettamente collegate e che soprattutto riguardano il comportamento dell’utente nella sua sfera privata. Appare quindi evidente come solo in alcuni casi sia possibile andare ad agire utilizzando anche soluzioni software ed hardware, ma che nella maggior parte dei casi, per ridurre i rischi sia necessario educare le persone e renderle consapevoli delle minacce e dei rischi.
Piero Tagliapietra - Security Specialist - Project Work
30
DREAD In modo da ordinare le minacce in ordine di priorità è stato scelta come metodologia la DREAD Analysis con la classificazione standard. Nonostante la metodologia DREAD sia in parte deprecata per l’eccessiva soggettività delle valutazioni (che tendono ad essere particolarmente elevate qualora l’analisi venga fatta da un esperto di sicurezza e particolarmente bassa se svolta da persone che conoscono poco la materia) in questo caso rappresenta uno strumento ideale per definire le priorità e quali sono le minacce sulle quali è fondamentale agire. Anche se il Microsoft Security Response Center (MSRC) ha optato per una revisione delle tipologie di impatto (dismettendo la scala a tre valori in favore di una a quattro con critical – important – moderate – low) in questo caso, in modo da facilitare la prioritizzazione si è scelto di usare la scala tradizionale attribuendo diversi punteggi (high 6 – medium 3 – low 1) e di usare la scala a quattro per la classificazione finale (rating) Questa scelta è legata alle modalità di valutazione normalmente eseguite dagli utenti: qualora venga data una scala con un numero elevato di valori si possono osservare alcuni comportamenti standard: da un lato la polarizzazione (verso l’alto o il basso) qualora il numero di soggetti sia basso, dall’altro, qualora il numero di soggetti sia più ampio, si osserva un appiattimento sui valori intermedi rendendo quindi più complesso l’attività di prioritizzazione. Utilizzando una scala composta da tre valori e con punteggi diversi (non trasparenti agli utenti) diminuisce la possibilità di un appiattimento anche qualora l’analisi venga svolta da più soggetti: diventa quindi un modo per ridurre la soggettività dell’analisi e arrivare anche a valutazioni condivise. Rating High (6) Medium (3) Low (1)
D Damage potential
L’attaccante è in grado di modificare il sistema di sicurezza; ottiene tutte le autorizzazioni; agisce come amministratore di sistema; carica contenuti;
Diffusione di informazioni confidenziali
Diffusione di informazioni di basso livello
R Reproducibility L’attacco può essere eseguito in qualunque momento senza una
L’attacco può essere replicato ma solo qualora si verifichino
L’attacco è molto difficile da riprodurre, anche
Piero Tagliapietra - Security Specialist - Project Work
31
preparazione specifica o che si verifichino condizioni particolari
determinate condizioni
conoscendo eventuali falle del sistema di sicurezza
E Exploitability Un programmatore con competenze di base sarebbe in grado di effettuare l’attacco.
Un programmatore competente sarebbe in grado di effettuare l’attacco e ripeterlo
L’attacco sarebbe possibile solo da parte di persone con competenze estremamente elevate
A Affected users Tutti gli utenti con configurazione di base
Alcuni utenti con una configurazione personalizzata
Una minima parte degli utenti
D Discoverability Sono disponibili pubblicamente informazioni sull’attacco. Le vulnerabilità sono presenti negli strumenti usati quotidianamaente ed è verificabile
La vulnerabilità è collegata solamente a una feture poco usata dagli utenti. Sono necessarie alcune riflessioni per capire come sfruttare tali vulnerabilità
Il baco di sicurezza è sconosciuto ed è improbabile che un utente scopra in che modo sfruttarlo
Piero Tagliapietra - Security Specialist - Project Work
32
Tenendo presente quanto definito in precedenza andiamo ora ad attribuire un punteggio alle varie minacce. Minaccia D R E A D Totale Rating Informazioni personali
Creazione di un dossier digitale
6 6 6 3 6 27 Critical
Raccolta di dati secondari
6 3 3 6 6 24 Important
Cattiva configurazione privacy
6 3 6 3 6 24 Important
Diffusione informazioni da terzi
1 3 6 6 3 19
Inferenze predittive sui dati sensibili
6 1 1 3 3 14 Moderate
Riconciliation Account 3 6 6 6 6 27 Critical Furto d’identità 6 1 3 1 3 14
Finanziari Frodi 6 1 2 3 1 13 Moderate Perdita di produttività 1 1 1 3 1 7 Low
Proprietà intellettuale
Pubblicazione accidentale di documenti
1 3 1 1 1 7 Low
Pubblicazione volontaria di documenti
6 1 6 1 3 17 Important
Pubblicazione volontaria di immagini
1 3 6 3 3 16
Pubblicazione accidentale di SI
6 6 6 3 3 24
Pubblicazione volontaria di SI
6 1 3 1 1 12
Diffusione involontaria di informazioni
1 1 3 1 6 12 Moderate
Infrastrutture Diffusione di malware 6 1 6 1 3 17 Important Immagine Campagna mirata per
il danneggiamento della reputazione
3 3 3 3 3 15 Moderate
Campagna automatizzata per il danneggiamento della reputazione
6 1 6 1 3 17 Important
Ricatto 6 1 6 1 1 15 Moderate Repudiation 3 1 3 1 3 11 Low
Legali Violazione di leggi o regolamenti
6 1 6 1 1 15
Tipologia Frequenza Impatto Rischio Diffusione Malware Probabile Alto Inaccettabile Spam, Phishing e Frodi Probabile Moderato Grave Social Engineering e Spear Possibile Catastrofico Inaccettabile
Piero Tagliapietra - Security Specialist - Project Work
33
Phishing Diffusione o furto di dati sensibili o d’identità
Probabile Alto Inaccettabile
Diffusione di informazioni riservate o false
Possibile Alto Grave
Danni d’immagine o di reputazione
Probabile Alto Inaccettabile
OSINT Certo Alto Inaccettabile Diffamazione, Ingiuria, Stalking
Raro Moderato Accettabile
Hacktivism e cracking dei profili ufficiali
Improbabile Moderato Grave
Violazione dei reati presupposto
Possibile Alto Grave
Violazione dell’art. 4 l. 300/70
Possibile Alto Grave
Diminuzione della produttività dei dipendenti
Probabile Basso Accettabile
Andiamo ora ad ordinare le varie minacce in modo da definire all’interno dei sistemi di mitigazione quali saranno le contromisure principali.
• Creazione di un dossier digitale – 27 – critical • Identificazione di tutti gli account dell’utente – 27 – critical • Raccolta dati secondari – 24 – important • Esposizione su Social Media per cattiva configurazione – 24 – important • Pubblicazione volontaria dei documenti – 17 – important • Diffusione di Malware – 17 – important • Campagne automatizzate per il danneggiamento della reputazione – 17 –
important • Campagna mirata per il danneggiamento della reputazione – 15 -‐
moderate • Ricatto -‐ 15 – moderate • Inferenze sui dati sensibili – 14 – moderate • Frodi – 13 – moderate • Diffusione involontaria di informazioni – 12 – moderate • Repudiation – 11 – low • Perdita di produttività – 7 – low • Pubblicazione accidentale di documenti – 7 –low • Analisi non solo esterna ma anche interna sui processi e sull’uso dei Social
Media
Piero Tagliapietra - Security Specialist - Project Work
34
Mitigazione I Social Media, in base a quanto analizzato in precedenza, rappresentano un‘importante fonte di rischio per le aziende e, collegati ad essi, abbiamo individuato alcuni rischi, minacce e vulnerabilità. In questo caso l’analisi condotta è legata principalmente a un uso passivo di questi strumenti, ma non bisogna dimenticare che sempre più le aziende usano questi strumenti per condurre le proprie attività (Social Business). A livello generale dobbiamo infatti rilevare che parlare di Social Media impatta sempre più l’organizzazione nel suo insieme e diventa sempre più complesso delineare chiaramente un singolo uso o una dimensione specifica nell’uso dei Social Media. Possiamo infatti distinguere quattro vettori di comunicazione che possono essere sviluppati da un’azienda attraverso queste piattaforme:
• Interno – interno: strumenti di collaborazione tra i dipendenti (ad esempio i Social Network Aziendali)
• Interno – Esterno: comunicazione con l’esterno per dare visibilità alle iniziative ad ai progetti (principalmente Personal Branding, Marketing e Comunicazione)
• Esterno – Interno: raccolta di informazioni sui prodotti, sui servizi e sul brand (attività di intelligence e monitoraggio)
• Esterno – Esterno: discussioni tra gli utenti che avvengono al di fuori dei presidi aziendali (monitoraggio)
Viste le premesse (e che, a livello generale, un incidente è una questione di tempo) è critico implementare alcune soluzioni che permettano di ridurre i rischi mitigando le vulnerabilità. Risulta fondamentale, da questo punto di vista, adottare un approccio integrato ed armonizzato che coinvolga varie funzioni. I vari ambiti aziendali devono necessariamente coinvolti dal momento che i rischi trovati non riguardano esclusivamente un ambito singolo, ma principalmente l’ambito legale (e di compliance), operativi e reputazionali. I quindi i Social media non sono un problema solamente IT e di pertinenza esclusiva dell’area comunicazione e marketing. Per riuscire quindi a prevenire, mitigare e rispondere in maniera efficace è fondamentale una collaborazione tra Marketing, IT, Legal, HR e IT in modo da valutare in maniera completa e integrata le attività. La multidisciplinarietà del team è fondamentale poiché quello che abbiamo delineato è uno scenario ibrido che riguarda sia le pratiche interne dell’azienda (principalmente uso attivo dei Social Media) sia le pratiche esterne (attività del singolo al di fuori degli spazi aziendali): diventa quindi fondamentale integrare strumenti tecnologici, formazione, policy e guidelines.
Piero Tagliapietra - Security Specialist - Project Work
35
Formazione Dato che uno dei problemi rilevanti nell’analisi è legato alla scarsa consapevolezza da parte degli utenti dei rischi e del funzionamento dei Social Media è opportuno predisporre delle sessioni di formazione. A seconda del livello e del ruolo è importante sottolineare quali sono gli aspetti da tenere in considerazione e quali possono essere i rischi principali. I due elementi principali da illustrare sono collegati agli aspetti normativi /legali e al funzionamento/minacce. Qualora in azienda venga fatto un uso attivo dei Social Media è fondamentale predisporre una sorta di certificazione interna in modo da essere sicuri le persone che gestiscono la presenza dell’azienda abbiano ben chiari i limiti e i rischi delle piattaforme che utilizzano. Un ulteriore elemento, più semplice da implementare all’interno dell’azienda, è una raccolta di domande frequenti che illustrino funzionamento, tematiche principali e rischi connessi con i Social Media. Sia nelle attività di formazione che nelle FAQ dovranno essere illustrate con precisione i rischi legati alla diffusione di informazioni personali spiegando come, un attaccante, potrebbe usare anche informazioni apparentemente innocue per compiere altre tipologie di attacchi. A livello di formazione è possibile anche misurare in parte i risultati conseguiti dall’attività valutando il numero di utenti che partecipano alle sessioni (qualora siano facoltative), il tasso di successo (o la media) all’interno della certificazione interna sull’uso dei Social Media, il numero di views (rapportate agli utenti unici e di ritorno) della pagina delle FAQ.
Policy Uno dei principali strumenti per la mitigazione dei rischi è rappresentato dalle Policy. Questa è l’unico strumento para-‐giuridico che permette al datore di lavoro di disciplinare le attività aziendali e indirizzare le azioni svolte con strumenti di lavoro. Diversamente dalle linee guida le policy hanno alcune caratteristiche specifiche. Si tratta infatti di un documento che deve essere:
• Specifico • Chiuso • Prescrittivo • Non Interpretabile
Oltre a questi punti nella policy devono essere definite delle sanzioni e, soprattutto deve essere previsto un controllo che le misure definite nelle policy vengano realmente rispettate.
Piero Tagliapietra - Security Specialist - Project Work
36
L’aspetto di controllo è quello più delicato da gestire: all’interno dei paragrafi introduttivi (aspetti legali) il tema del controllo a distanza del lavoratore (art. 4 l. 300/70) emerge con forza per quanto riguarda il monitoraggio. Tuttavia senza monitoraggio si corre il rischio di svuotare la policy di significato e di venire meno ad alcune delle prescrizione del dlgs 231/01 (funzione di controllo). A seconda poi della realtà aziendale dovranno poi essere sviluppate delle policy specifiche: all’interno di questa analisi abbiamo definito un caso generico, ma questo documento deve essere calato sulla singola realtà aziendale. A seconda infatti dell’azienda cambiano il contesto, gli asset e i rischi. Oltre alla Social Media Policy dovranno essere presenti all’interno dell’azienda anche altri documenti che regolamentino altre aspetti (ad esempio mail policy, policy documentale, password policy) e che i vari documenti siano collegati tra loro con diversi rimandi.
Elementi cardine A livello generale è possibile individuare i seguenti elementi che dovranno essere presenti in ogni policy che voglia regolamentare l’uso dei Social Media in azienda:
• Semplicità: dato che tutti i dipendenti utilizzano questi strumenti è necessario redigere un documento che venga letto e compreso da tutti e che illustri nell’introduzione lo scopo di adozione della policy e i rischi per i dipendenti e per l’azienda. Nell’introduzione può esserci spazio anche per spiegare ai dipendenti il fatto che anche informazioni apparentemente innocenti o banali possono essere usati da un terzi per sviluppare attacchi informatici più pericolosi (sia per il singolo che per l’azienda).
• Disciplina sull’uso dei Social Media sui computer aziendali: a seconda dell’azienda specifica dovrà essere definito se i dipendenti possono o meno utilizzare i Social Media sulle postazioni di lavoro. È fondamentale illustrare rapidamente quali sono i rischi principali e le minacce che possono derivare dall’uso dei Social Media (con alcune case history per dare maggior forza alla narrazione)
• Disciplina sull’uso e collegamento dei device personali ai computer aziendali: dal momento che le persone utilizzano i Social Media soprattutto dai propri device mobili è importante considerare questo aspetto durante la redazione della policy. Qualora infatti si decida di impedire completamente l’accesso dalla postazione personale è possibile che gli utenti accedano attraverso i propri device. Questi strumenti, come sottolineato in precedenza, sono maggiormente esposti e per questo è necessario definire con chiarezza se tali strumenti possono essere collegati alle postazioni e alla rete aziendale.
• Trade off tra esigenze personali e lavorative: dato che l’uso dei Social Media rappresenta un elemento della quotidianità di molti utenti,
Piero Tagliapietra - Security Specialist - Project Work
37
impedirne completamente l’uso per incentivare la produttività potrebbe essere controproducente (verrebbero utilizzati device personali o gli utenti investirebbero le loro energie o il loro tempo per tentare di superare le contromisure adottate dall’azienda).
• Integrazione con altre policy e codici interni: è necessario specificare che qualora i dipendenti non tengano separate attività personali da quelle professionali possono applicarsi ai loro account le policy già vigenti in azienda. Qualora infatti il dipendente entri in relazione con colleghi, dirigenti, fornitori, clienti devono essere rispettate le disposizioni già in essere (ad esempio il Codice Eitco aziendale). Un ulteriore elemento da sottolineare (qualora non sia presente una mail policy) è il fatto che la mail aziendale non può e non deve essere utilizzata per registrarsi su piattaforme di Social Networking e in generale ai Social Media e che devono essere usate anche password diverse da quelle in uso per il proprio account aziendale.
• Disclaimer: anche se privi di valore legale è necessario predisporre dei disclaimer che i dipendenti devono utilizzare qualora abbiano dei blog o commentino servizi o prodotti dell’azienda (in modo da evitare accuse di astroturfing). Oltre alla tutela per pubblicità ingannevole, l’uso del disclaimer svolge anche una funzione di awareness dal momento che il solo fatto di utilizzarlo costringe gli utenti a prendere consapevolezza delle proprie responsabilità.
• Condivisione di informazioni lavorative e di documenti: salvo casi specifici (qualora ad esempio vengano sviluppate attività di comunicazione sui Social Media) deve essere ribadito che materiali, progetti e documenti non devono essere pubblicati, condivisi o scambiati attraverso piattaforme terze. Uno degli elementi fondamentali da associare a questo punto è una corretta policy documentale: in questo modo gli utenti possono comprendere un maniera immediata gli usi che possono essere fatti di determinate informazioni. Deve comunque essere ribadito il fatto che le informazioni riservate non possono e non devono essere condivise sui Social Media: diventa quindi importante ribadire un concetto fondamentale, ovvero che all’interno dei Social Media la privacy è un concetto quasi del tutto assente e che quello che viene condiviso deve ritenersi sempre diffuso e pubblico.
• Riferimento a sistemi di monitoraggio attivi: onde evitare la violazione dello statuto dei lavoratori è necessario informare i dipendenti qualora si usino strumenti di monitoraggio. Il monitoraggio non deve essere fatto sui singoli utenti, ma sul brand e su keyword generiche e non deve essere legato a comunicazioni private. Possono essere monitorate e controllate le discussioni e gli update diffusi pubblicamente e indicizzati dai motori di ricerca.
• Uso dei loghi e del nome dell’azienda: in modo da limitare i danni di reputazione e d’immagine dell’azienda è fondamentale definire in quali casi può essere usato il logo o il nome dell’azienda e quali possono essere le eccezioni. Vietare completamente l’uso del nome o del logo può infatti porre al riparo da alcuni rischi ma ridurre le opportunità aziendali dato che avverrebbe un azzeramento delle attività e delle iniziative di personal
Piero Tagliapietra - Security Specialist - Project Work
38
branding verso l’esterno e di conseguenza dell’attrattività e della visibilità dell’azienda.
• Segnalazione di elementi sospetti: qualora si ricevano richieste particolari sul proprio lavoro da parte di contatti sui Social Media è obbligatorio segnalare ogni elemento al reparto IT o Sicurezza in modo da verificare che non si tratti di tentativi di Social Engineering.
Qualora l’uso dei Social Media sia passivo da parte dell’azienda è possibile redigere una sola policy mentre qualora questi strumenti vengano utilizzati anche in maniera attiva per progetti di comunicazione, marketing e da altre funzioni è necessario predisporre varie policy e nel dettaglio si parla di:
• Program policy • Program framework policy • Issue specific policy • System specific policy
L’uso dei Social Media come canali attivi richiede una maggior cura e un’attenzione superiore: se consideriamo ad esempio l’uso della mail per l’utilizzo di tali piattaforme è necessario valutare l’uso della mail aziendale per la creazione degli account. Nella maggior parte dei casi infatti i TOS delle piattaforme prevedono che gli account e i follower siano legati all’email: qualora il dipendente usi la propria mail personale per registrare l’account è possibile che in caso di cessazione del rapporto, egli non sia tenuto a restituire l’account aziendale. Qualora l’azienda sia presente attivamente sui Social Media all’interno della policy è necessario stilare un elenco dei presidi attivi, degli utenti che gestiscono tali entità e delle regole di pubblicazione per tutti i dipendenti.
Guidelines Unito alle policy le linee guida rappresentano un ulteriore elemento necessario da sviluppare all’interno dell’azienda. Dal momento che sugli account personali non è possibile applicare le policy (in quanto non sono strumenti aziendali) definire quali possono essere gli usi, i rischi e le conseguenze di un cattiva gestione dei propri account personali è fondamentale. Diversamente dalle policy infatti le guidelines sono generiche, hanno un certo margine d’interpretazione, non prevedono strumenti di controllo e monitoraggio e non prevedono sanzioni. Rappresentano quindi dei consigli e degli esempi virtuosi ai quali i dipendenti dovrebbero attenersi (o astenersi nel caso di esempi negativi). Questa attività rientra nelle attività di awareness, un elemento importantissimo dal momento che nell’analisi precedentemente svolta, la scarsa consapevolezza degli utenti dei rischi era uno delle minacce principali. È possibile sviluppare diversi documenti di questo tipo ma principalmente possiamo distinguere tra
Piero Tagliapietra - Security Specialist - Project Work
39
• Linee guida generali: contenente la carta dei diritti sui Social Media dei dipendenti, le best practice, i rischi e comportamenti da evitare
• Linee guida specifiche: a seconda delle singole piattaforme da considerare è possibile predisporre delle linee guida specifiche per aiutare i dipendenti nella gestione dei propri account sui Social Media.
Elementi cardine A livello generale è possibile individuare i seguenti elementi che dovranno preferibilmente essere presenti nelle linee guida aziendali legati ai social media: Area generale e legale
• I diritti dei dipendenti sui Social Media: per prevenire critiche e risentimento da parte dei dipendenti è opportuno stilare una carta che illustri quali sono i diritti dei dipendenti e il valore che l’azienda riconosce ai Social Media
• Normative di riferimento: dal momento che in molti casi il legal divide è alla base di comportamenti potenzialmente pericolosi, è opportuni fornire ai dipendenti un inquadramento generale
• Diffamazione e ingiuria: poiché si tratta dei due reati che negli ultimi anni stanno avendo la maggior diffusione (soprattutto perché gli utenti considerano i Social Media come privati e non pubblici) è fondamentale illustrare brevemente gli articoli 594 c.p. e 595 c.p
Principi di sicurezza
• Usare una password diversa per ognuno dei propri account • Usare password complesse • Utilizzare passphrase e non password • Prestare attenzione ai messaggi anche se provenienti da amici e
contatti: dato che uno degli elementi identificati riguarda l’Id Spoofing è necessario fare in modo che gli utenti prestino attenzione ad eventuali richieste di contatto da parte di utenti che non conoscono direttamente.
Privacy
• Impostare correttamente i livelli di riservatezza sulla piattaforma • Ridurre il numero di informazioni disponibili a tutti • Fare attenzione alle persone con le quali si entra in contatto • Non fare affidamento sull’anonimato o al nickname: in alcuni casi gli
utenti si sentono protetti dal fatto di utilizzare pseudonimi, ma è necessario illustrate come sia relativamente semplice identificare l’utente che si nasconde dietro un nome finto (ad esempio attraverso la riconciliazione tra diversi account)
• Prestare attenzione alla geolocalizzazione • Prestare attenzione al collegamento tra i vari account: in diversi casi
gli utenti, per gestire al meglio la loro presenza, collegano i propri account sui Social Media. Tuttavia in alcuni casi è possibile che le piattaforme
Piero Tagliapietra - Security Specialist - Project Work
40
abbiano impostazioni di privacy diverse e che quindi gli utenti condividano in maniera inconsapevole alcune informazioni pur essendo convinti di aver configurato correttamente le impostazioni di sicurezza.
• Prestare attenzione ai tool di automazione • Verificare regolarmente la propria esposizione tramite egosurfing:
in modo da controllare che non siano avvenuti furti d’identità è possibile consigliare agli utenti di usare i motori di ricerca (o alcune piattaforme selezionate) per fare analisi sul proprio nome, cognome e nickname. Oltre a prevenire eventuali furti d’identità può essere un sistema per rendere consapevoli gli utenti del numero di informazioni che condividono online.
Strumenti tecnologici Dal momento che l’analisi condotta è ad alto livello e non è calata su una realtà specifica, le contromisure tecnologiche verranno tratteggiate
Piattaforme di monitoraggio In modo da evitare danni di reputazione o d’immagine è fondamentale che l’azienda attivi dei sistemi di analisi dei contenuti diffusi online. A livello generale è opportuno impostare come chiavi di ricerca il nome dell’azienda o del brand, nomi di progetti o documenti particolarmente sensibili, i nomi delle figure apicali. In questo caso ovviamente non si elimina il rischio, ma attraverso un sistema di alert, l’intervento tempestivo (nelle prime ore dall’eventuale inizio della crisi) permette di evitare l’escalation e di contenere il focolaio o di predisporre contromisure per limitare i danni. L’uso di queste piattaforme consente anche di rispondere a quanto definito dal dlgs 231/01
Piattaforme di gestione dei Social Media Qualora l’azienda decida di usare attivamente i Social Media è necessario prevedere l’adozione di uno strumento di gestione. In questo modo risulta infatti più facile organizzare le attività, verificare le responsabilità misurare i risultati conseguiti attraverso tali attività.
IDS e DLP È necessario prestare attenzione non solamente a ciò che cerca di entrare all’interno della rete aziendale, ma dato che nell’analisi è emerso come rischio la diffusione di informazioni e documenti aziendali è necessario indirizzare lo sguardo anche su quello che potrebbe essere portato all’esterno. Ovviamente per implementare questa soluzione è necessario prevedere un sistema di gestione degli accessi e dei permessi.
Piero Tagliapietra - Security Specialist - Project Work
41
Backup e data retention In modo da prevenire la perdita dei dati a seguito della compromissione della postazione o della rete aziendale è opportuno prevedere anche un sistema di backup e di conservazione dei dati. Questo non dovrà dipendere dall’utente ma essere automatizzato in modo da garantire che il salvataggio dei dati avvenga in maniera corretta.
Monitoraggio del traffico Soluzioni che impediscano la navigazione verso determinati siti può rappresentare una soluzione ottimale per ridurre l’esposizione all’interno dell’azienda (efficace soprattutto per ridurre i rischi legati al phishing e allo spear phishing). A seconda dell’attività sui Social Media è possibile optare per una soluzione in whitelistin o in blacklisting (tenendo presente i vincoli delle due soluzioni e le necessità operative aziendali)
Aggiornamenti automatici Una delle cause individuate che poteva condurre a una compromissione della postazione dell’utente era la combinazione tra minaccia nota e software non aggiornati. Da questo punto di vista, l’obbligatorietà degli aggiornamenti o la centralizzazione di questo processo sarebbe funzionale.
Piero Tagliapietra - Security Specialist - Project Work
42
Bibliografia Berlingieri Elvira, “Evitare i rischi legali dei Social Media”, Apogeo, 2012 (Kinde edition) Cialdini Robert, “Le Armi della persuasione”, Giunti, 2010 (kindle edition) Gruppo di sviluppo M5, “Sicurezza Informatica”, Mc Graw Hill, 2003 Mitnik Kevin, “L’arte dell’inganno”, Feltrinelli, 2003 Volli Ugo, “Semiotica della pubblicità”, Laterza 2005 Weinshenk M. Susan, “Neuro we bdesign. L’inconscio ci guida nel web”, Apogeo, 2010