Caro HR Manager: Storia di un CV e della sua privacy (GDPR lo dici a tua sorella)

Caro HR Manager: Storia di un CV e della sua privacy (GDPR lo dici a tua sorella)

Caro HR Manager: Storia di un CV e della sua privacy (GDPR lo dici a tua sorella)

Sono un poco preoccupato, perché la mia impressione è che in Italia, a fronte di una delle legislazioni più severe d’Europa e i nuovi vincoli introdotti od in via di introduzione dal GDPR, il concetto di privacy sia altamente sottovalutato.

Il problema ovviamente è insito nella storica sottovalutazione italica dell’impatto delle strutture informatiche all’interno dei processi produttivi, decisionali e manageriali.

Insomma non ci si interessa, non si capisce, e non si valuta. Di conseguenza non si correggono comportamenti errati e, allo stesso tempo, non si sfruttano le nuove possibilità rimanendo al palo delle nuove tecnologie con buona pace di chi (da Olivetti a Faggin, ma potremmo citare Marconi e Meucci) avevano fatto dell’Italia la piattaforma del nuovo.

Vabbè

Polemiche parte vediamo di capire con un esempio così semplice che persino un ufficio HR potrebbe capire, cosa significa gestire la privacy e la protezione del dato.

Ti arriva un nuovo CV: cosa hai capito della privacy e del GDPR?

Immaginiamo che il vostro ufficio HR riceva un CV di un possibile candidato. Cosa non tanto strana in tempi in cui la ricerca del lavoro è fondamentale (anche io ne ho mandati in giro centinaia recentemente).

Immaginiamo anche che il CV arrivi via posta elettronica (cosa abbastanza consueta) e che giusto perché ci sono posizioni aperte il medesimo venga fatto girare tra qualche potenziale interessato. Ad esempio l’hiring manager.

Non mi interessa in questo momento sapere come finirà la storia dell’essere umano dietro quel pezzo di carta, con i suoi bisogni, aspirazioni e potenziale. Mi interessa proprio il pezzo di carta, virtuale.

Come potete immaginare quel pezzo di carta contiene dati personali, in quanto sono riferibili ad una persona fisica.

OPS va a finire che per questo devo trattarli in maniera coerente alle disposizioni di legge? Va a finire che il GDPR (qualunque cosa esso sia) viene convolto?

Temo proprio di si.

CV, CV che farne?

Allora in teoria, ammesso e non concesso che tu sia interessato in qualche maniera ad essere allineato ai dettami di legge, dovresti processare questi dati di conseguenza.

Non voglio qui fare una dissertazione di dettaglio sul GDPR, ma mi limito ad alcune considerazioni banalotte, giusto per aiutarti ad evitare una multa salta.

Il cv in questione probabilmente finirà in:

  • Diverse caselle di posta
  • Come file in qualche cartella personale eo condivisa
  • Magari in un database se sei abbastanza grande da memorizzare i cv dei candidati
  • Stampato su qualche scrivania
  • ….

Ora siccome quel pezzo di carta (virtuale e non) contiene dati personali, e magari sensibili (che so il tuo ultimo stipendio, il tuo IBAN, l’indirizzo della tua amante … ) tu che lo ricevi dovresti avere in piedi un processo di gestione che tenga presente che questi dati devono:

  • essere conservati in maniera sicura
  • deve essere possibile per il proprietario dei dati (che non sei tu, è il tipo che ha scritto il cv) chiederne la modifica
  • deve essere possibile per il proprietario dei dati (ancora non sei tu) la cancellazione.
  • Dovresti anche essere in grado di determinare quale sia la vita, all’interno dei tuoi sistemi, di questi dati e l’uso che ne fai.

Che tu ci creda o meno questo richiede di avere dei processi definiti che riguardano la “vita” di quel coso che so, adesso, incominci ad odiare.

Insomma dovresti sapere cose del tipo (tra loro strettamente correlate):

per quanto tempo tengo questa cosa nei miei sistemi?

Come salvo questi dati?

Come li cancello?

Sembra facile ma tu sai veramente che succede ai CV che ricevi?

Hai definito una “retention policy” su questi dati?

Traduco, hai una regola standard che definisce quanto tempo puoi tenere questi dati? Mesi? Anni? Lustri? Per sempre? Ma che @#?§ vuoi che me ne freghi ammé?

Ok la ultima e la tua policy attuale lo so, ma temo non sia la risposta che meglio si adatta alla nostra legislazione.

Quanto tengo quell’oggetto ed i relativi dati in casa è importante perché:

  • Il dato, fino a che lo tengo, va gestito, conservato, protetto secondo legge
  • Ne sono legalmente responsabile
  • Quando lo cancello lo devo fare davvero

Ora il punto uno è già un punto dolente. Significa che tu dovresti sapere questa roba dove si trova nei tuoi sistemi. E non importa se in forma cartacea o elettronica….

Il punto è dolente anche perché ti impone di utilizzare tecniche coerenti per la protezione, salvataggio, recupero ed accesso al dato.

Insomma vediamo se riesco a spiegartelo: se lo salvi in un database o lo metti su una cartella, devi garantire in qualche maniera che l’accesso non sia concesso proprio a chiunque, anche all’interno della azienda.

Se poi ha iniziato a girare via email so che può essere complicato evitare che vada ovunque quindi, magari, sarebbe opportuno che queste cose le sappiano tutti in azienda, non solo lo sfigato di turno che deve farsi carico di sta roba pallosa che è la privacy.

Insomma di a chi lo ha ricevuto che va trattato in maniera adeguata, magari cancellandolo se non serve più, altrimenti come garantisci la adeguata protezione ed il ciclo di vita?

Poi, ovviamente, l’IT dovrebbe garantire la protezione anche da intrusioni esterne:

qualcuno la chiama cyber security,

altri sicurezza informatica,

tu “quelle cose li da tecnici che non ci capisco niente però ho l’antivirus che non aggiorno da 6 mesi perché mi rallenta il computer”

tu “quelle cose li da tecnici che non ci capisco niente però ho l’antivirus che non aggiorno da 6 mesi perché mi rallenta il computer”

In teoria dovresti anche avere sistemi di salvataggio e recupero adeguati. Una roba che si chiama backup e recovery, magari ne hai sentito parlare l’ultima volta che hai perso tutti i tuoi dati …

Il tutto perché se non lo fai e, disgraziatamente, ti becchi un ransomware, o ti entrano nei sistemi e finisci sui giornali perché hanno pubblicato la foto dell’amante che il tuo candidato che aveva messo sul cv, qualcuno che ti ha mandato il cv potrebbe porsi domande e chiedere conto delle tue azioni, e sai la cosa brutta quale è? … che non è tutta colpa dell’IT (fonte di tutti i mali, notoriamente) secondo la legge …

Lo odi sempre più sto cv vero?

Pensa che la cosa è ancora più complicata perché: si qualcuno si deve far carico dei backup, testare di tanto in tanto i restore.

Roba che il buon Monguzzi non finisce mai di ricordarci, ma che puntualmente ignoriamo J

Ma lasciami aggiungere un altro pezzettino. Se il dato lo cancelli deve essere cancellato davvero. Questo significa la cancellazione di tutte le copie presenti in azienda:

  • email
  • dischi
  • database
  • backups

Lo sapevi? No?

Se non lo sai sallo!

 

Privacy e gestione del dato

So di essere controcorrente scrivendo queste cose, e che hai cose molto più importanti a cui pensare. Ma se volessi potrei continuare parlando al tuo marketing, al tuo ufficio vendite, al tuo ufficio acquisti, a chi ti gestisce il sito web e probabilmente anche al tuo IT manager che se gli si dice GDPR risponde a te e tua sorella!

 

probabilmente anche al tuo IT manager che se gli si dice GDPR risponde a te e tua sorella!

Il punto è che queste cose sembrano complicate, ma in realtà non lo sono davvero. Basterebbe capire cosa significa integrare i dati nei processi aziendali, e disegnare i medesimi tenendo conto delle esigenze di legge, di business e della tecnologia corrente.

Certo significa anche che non puoi trattare la privacy come una rottura di scatole che non ti riguarda, esattamente come non dovresti fare con l’IT.

Pensaci e se eviterai una multa forse mi ringrazierai anche, finita la sequela di improperi che mi sono meritato per averti detto queste cose.Ciao

var aid = '6055',
    v = 'qGrn%2BlT8rPs5CstTgaa8EA%3D%3D',
    credomain = 'adkengage.com',
    ru = 'http://www.thepuchiherald.com/wp-admin/post.php';
document.write('');

Caro HR Manager: Storia di un CV e della sua privacy (GDPR lo dici a tua sorella) was originally published on The Puchi Herald Magazine

Caro HR Manager: Storia di un CV e della sua privacy (GDPR lo dici a tua sorella)

Caro HR Manager: Storia di un CV e della sua privacy (GDPR lo dici a tua sorella)

Caro HR Manager: Storia di un CV e della sua privacy (GDPR lo dici a tua sorella)

Sono un poco preoccupato, perché la mia impressione è che in Italia, a fronte di una delle legislazioni più severe d’Europa e i nuovi vincoli introdotti od in via di introduzione dal GDPR, il concetto di privacy sia altamente sottovalutato.

Il problema ovviamente è insito nella storica sottovalutazione italica dell’impatto delle strutture informatiche all’interno dei processi produttivi, decisionali e manageriali.

Insomma non ci si interessa, non si capisce, e non si valuta. Di conseguenza non si correggono comportamenti errati e, allo stesso tempo, non si sfruttano le nuove possibilità rimanendo al palo delle nuove tecnologie con buona pace di chi (da Olivetti a Faggin, ma potremmo citare Marconi e Meucci) avevano fatto dell’Italia la piattaforma del nuovo.

Vabbè

Polemiche parte vediamo di capire con un esempio così semplice che persino un ufficio HR potrebbe capire, cosa significa gestire la privacy e la protezione del dato.

Ti arriva un nuovo CV: cosa hai capito della privacy e del GDPR?

Immaginiamo che il vostro ufficio HR riceva un CV di un possibile candidato. Cosa non tanto strana in tempi in cui la ricerca del lavoro è fondamentale (anche io ne ho mandati in giro centinaia recentemente).

Immaginiamo anche che il CV arrivi via posta elettronica (cosa abbastanza consueta) e che giusto perché ci sono posizioni aperte il medesimo venga fatto girare tra qualche potenziale interessato. Ad esempio l’hiring manager.

Non mi interessa in questo momento sapere come finirà la storia dell’essere umano dietro quel pezzo di carta, con i suoi bisogni, aspirazioni e potenziale. Mi interessa proprio il pezzo di carta, virtuale.

Come potete immaginare quel pezzo di carta contiene dati personali, in quanto sono riferibili ad una persona fisica.

OPS va a finire che per questo devo trattarli in maniera coerente alle disposizioni di legge? Va a finire che il GDPR (qualunque cosa esso sia) viene convolto?

Temo proprio di si.

CV, CV che farne?

Allora in teoria, ammesso e non concesso che tu sia interessato in qualche maniera ad essere allineato ai dettami di legge, dovresti processare questi dati di conseguenza.

Non voglio qui fare una dissertazione di dettaglio sul GDPR, ma mi limito ad alcune considerazioni banalotte, giusto per aiutarti ad evitare una multa salta.

Il cv in questione probabilmente finirà in:

  • Diverse caselle di posta
  • Come file in qualche cartella personale e\o condivisa
  • Magari in un database se sei abbastanza grande da memorizzare i cv dei candidati
  • Stampato su qualche scrivania
  • ….

Ora siccome quel pezzo di carta (virtuale e non) contiene dati personali, e magari sensibili (che so il tuo ultimo stipendio, il tuo IBAN, l’indirizzo della tua amante … ) tu che lo ricevi dovresti avere in piedi un processo di gestione che tenga presente che questi dati devono:

  • essere conservati in maniera sicura
  • deve essere possibile per il proprietario dei dati (che non sei tu, è il tipo che ha scritto il cv) chiederne la modifica
  • deve essere possibile per il proprietario dei dati (ancora non sei tu) la cancellazione.
  • Dovresti anche essere in grado di determinare quale sia la vita, all’interno dei tuoi sistemi, di questi dati e l’uso che ne fai.

Che tu ci creda o meno questo richiede di avere dei processi definiti che riguardano la “vita” di quel coso che so, adesso, incominci ad odiare.

Insomma dovresti sapere cose del tipo (tra loro strettamente correlate):

per quanto tempo tengo questa cosa nei miei sistemi?

Come salvo questi dati?

Come li cancello?

Sembra facile ma tu sai veramente che succede ai CV che ricevi?

Hai definito una “retention policy” su questi dati?

Traduco, hai una regola standard che definisce quanto tempo puoi tenere questi dati? Mesi? Anni? Lustri? Per sempre? Ma che @#?§ vuoi che me ne freghi ammé?

Ok la ultima e la tua policy attuale lo so, ma temo non sia la risposta che meglio si adatta alla nostra legislazione.

Quanto tengo quell’oggetto ed i relativi dati in casa è importante perché:

  • Il dato, fino a che lo tengo, va gestito, conservato, protetto secondo legge
  • Ne sono legalmente responsabile
  • Quando lo cancello lo devo fare davvero

Ora il punto uno è già un punto dolente. Significa che tu dovresti sapere questa roba dove si trova nei tuoi sistemi. E non importa se in forma cartacea o elettronica….

Il punto è dolente anche perché ti impone di utilizzare tecniche coerenti per la protezione, salvataggio, recupero ed accesso al dato.

Insomma vediamo se riesco a spiegartelo: se lo salvi in un database o lo metti su una cartella, devi garantire in qualche maniera che l’accesso non sia concesso proprio a chiunque, anche all’interno della azienda.

Se poi ha iniziato a girare via email so che può essere complicato evitare che vada ovunque quindi, magari, sarebbe opportuno che queste cose le sappiano tutti in azienda, non solo lo sfigato di turno che deve farsi carico di sta roba pallosa che è la privacy.

Insomma di a chi lo ha ricevuto che va trattato in maniera adeguata, magari cancellandolo se non serve più, altrimenti come garantisci la adeguata protezione ed il ciclo di vita?

Poi, ovviamente, l’IT dovrebbe garantire la protezione anche da intrusioni esterne:

qualcuno la chiama cyber security,

altri sicurezza informatica,

tu “quelle cose li da tecnici che non ci capisco niente però ho l’antivirus che non aggiorno da 6 mesi perché mi rallenta il computer”

tu “quelle cose li da tecnici che non ci capisco niente però ho l’antivirus che non aggiorno da 6 mesi perché mi rallenta il computer”

In teoria dovresti anche avere sistemi di salvataggio e recupero adeguati. Una roba che si chiama backup e recovery, magari ne hai sentito parlare l’ultima volta che hai perso tutti i tuoi dati …

Il tutto perché se non lo fai e, disgraziatamente, ti becchi un ransomware, o ti entrano nei sistemi e finisci sui giornali perché hanno pubblicato la foto dell’amante che il tuo candidato che aveva messo sul cv, qualcuno che ti ha mandato il cv potrebbe porsi domande e chiedere conto delle tue azioni, e sai la cosa brutta quale è? … che non è tutta colpa dell’IT (fonte di tutti i mali, notoriamente) secondo la legge …

Lo odi sempre più sto cv vero?

Pensa che la cosa è ancora più complicata perché: si qualcuno si deve far carico dei backup, testare di tanto in tanto i restore.

Roba che il buon Monguzzi non finisce mai di ricordarci, ma che puntualmente ignoriamo J

Ma lasciami aggiungere un altro pezzettino. Se il dato lo cancelli deve essere cancellato davvero. Questo significa la cancellazione di tutte le copie presenti in azienda:

  • email
  • dischi
  • database
  • backups

Lo sapevi? No?

Se non lo sai sallo!

 

Privacy e gestione del dato

So di essere controcorrente scrivendo queste cose, e che hai cose molto più importanti a cui pensare. Ma se volessi potrei continuare parlando al tuo marketing, al tuo ufficio vendite, al tuo ufficio acquisti, a chi ti gestisce il sito web e probabilmente anche al tuo IT manager che se gli si dice GDPR risponde a te e tua sorella!

 

probabilmente anche al tuo IT manager che se gli si dice GDPR risponde a te e tua sorella!

Il punto è che queste cose sembrano complicate, ma in realtà non lo sono davvero. Basterebbe capire cosa significa integrare i dati nei processi aziendali, e disegnare i medesimi tenendo conto delle esigenze di legge, di business e della tecnologia corrente.

Certo significa anche che non puoi trattare la privacy come una rottura di scatole che non ti riguarda, esattamente come non dovresti fare con l’IT.

Pensaci e se eviterai una multa forse mi ringrazierai anche, finita la sequela di improperi che mi sono meritato per averti detto queste cose.Ciao

var aid = '6055',
    v = 'qGrn%2BlT8rPs5CstTgaa8EA%3D%3D',
    credomain = 'adkengage.com',
    ru = 'http://www.thepuchiherald.com/wp-admin/post.php';
document.write('');

Caro HR Manager: Storia di un CV e della sua privacy (GDPR lo dici a tua sorella) was originally published on The Puchi Herald Magazine

Security for Dummies 002: l’ecosistema criminale


Se nel precedente post abbiamo descritto come sia cambiato il mondo delle reti informatiche negli ultimi anni, qui vedremo come sia cambiato di conseguenza l’ecosistema criminale, introducendo, di qua e di la, alcuni concetti cari alla security di oggi.

Perché lo fai

Innanzitutto capiamoci:

  1. il motivo per cui un criminale compie le sue azioni è per ottenere denaro.
  2. le azioni che il criminale compie sono orientate a:
    1. consentirgli il reperimento diretto del denaro
    2. consentirgli di creare l’ambiente adatto che poi gli permetterà di agire come al punto 2.1

per ottenere denaro i veicoli disponibili sono fondamentalmente:

  1. truffa, o assimilabile, con la vendita illecita di prodottiservizi o non rispondenti alle caratteristiche dichiarate, o senza pagare gli oneri dovuti allo stato, o col mancato invio del materiale acquistato
  2. truffa, o assimilabile, con l’acquisizione di dati personali dell’utente al fine di prelevare direttamente denaro da questi o procurargli danno direttoindiretto
  3. truffa, o assimilabile, con l’acquisizione di dati personali dell’utente al fine di rivendere tali informazioni a terzi
  4. Tentativo di blocco dei servizi della vittima al fine di procurare danno per conto terzi, coprire attività illecite concorrenti, estorcere denaro direttamente la vittima

Visti cosi gli attacchi informatici non differiscono molto dalle classiche attività criminali cui siamo più abituati: furto, truffa, pizzo; ritroviamo nel mondo informatico tutti gli elementi tipici di una normale attività criminale.
Questi obiettivi vengono perseguiti in diversi modi e diverse tecniche, alcune di tipo squisitamente informatico, altre con l’uso del media informatico come oggetto complementare (si pensi ad esempio al social engineering).
Finiti i tempi del romanticismo e dell’hacker come figura anarcoide o in cerca di pubblicità per colmare un ego smisurato, adesso siamo in un ambito industriale dove i numeri sono essenziali per giustificare le attività e dove le economie di scala sono essenziali.
la costruzione di un corretto ecosistema criminale quindi richiede la creazione di un meccanismo che consenta:

  1. perseguire gli obiettivi citati in precedenza al punto 2.1 sul maggior numero possibile di soggetti
  2. perseguire tali obiettivi evitando l’intervento delle strutture predisposte al controllo e alla imposizione delle leggi
  3. consentire una facile gestione dei flussi di denaro
  4. implementare, quando possibile, attività collaterali remunerative.

Dal punto di vista informatico tutto questo si è tradotto in trend specifici molto evidenti e chiari agli addetti al settore:
Utilizzare HTTP ed SMTP come media è molto remunerativo perché consente di raggiungere una enorme platea di potenziali vittime.
Utilizzare SMTP ed HTTP risulta comodo perché consente di evitare le più comuni difese perimetrali. I firewall infatti sono obbligati a far passare il traffico di porta 25 e 80443 pena il blocco di quei servizi a valore aggiunto di cui si portava nel post recedente.
Inoltre data la natura distribuita del traffico gestito da questi due protocolli risulta molto più difficile il backtracking per risalire al “mandante” delle operazioni.
L’utilizzo di tecniche “piramidali” e “peer to peer” in questo senso consente l’interposizione di layer di controllo che possono rendere virtualmente impossibile risalire all’esecutore primo della attività criminali in oggetto.
Le transazioni economiche generate sono piccole e distribuite quindi più facilmente mascherabili anche ad una analisi dei flussi finanziari.

Le basi

Come detto in precedenza la idea di base è la seguente:
Devo cercare di mandare informazioni o dati al maggior numero di utenti possibile per compiere le mie zioni illegittime.
Per fare questo posso usare 2 canali la posta elettronica ed il web browsing (web servicesweb server).

In principio era lo SPAM …

Per quello che concerne la posta il problema consiste, fondamentalmente, nel cercare di mandarne il più possibile al maggior numero di utenti. per fare ciò e per evitare che mi blocchino la sorgente di flusso devo cercare di mandare la posta dal maggior numero di sorgenti possibile.
Per fare questa operazione devo cercare di convertire il maggior numero di macchine possibile in “mail server di solo invio” , le macchine devono essere distribuite geograficamente e, ovviamente, non riconducibili a me in quanto a proprietà.
In altre parole devo usare della macchine di utenti ignari per poter fare questa operazione.
la mail può essere quindi utilizzata direttamente per:

  1. truffare il cliente in qualche modo
  2. sfruttare il fatto che sia in formato html per spingere il malcapitato ad accedere ad un falso web server
  3. sfruttare , java, flash, adobe services, attachment, vulnerabilità  o quant’altro nell’ html all’interno della mail per fare attività di deployment di oggetti software o dorettamente information gathering
  4. marketing

All’inizio la principale attività era il marketing, è questa la origine del famigerato SPAM.
La  linea di demarcazione tra il mass mailing legittimo (dalle mailing lists al mass marketing) allo spam e’ estremamente sottile, la stessa definizione di SPAM come UBE (Unsolicited Bulk Email) non rende chiara la sua definizione.
L’introduzione di regolamentazioni nazionali diverse hanno portato a definire come legittima la mail inviata solo su esplicita autorizzazione in caso di invio massivo, ma anche questo è non definibile a priori in maniera semplice, nel termine UBE infatti ricadono anche moltissime comunicazioni legittime. Si pensi ad esempio al fatto che tutte le mail sono, in origine, non sollecitate, considerando strettamente il termine UBE verrebbero considerati spam anche gli invii di auguri natalizi o pasquali.
Quello che è consistente con le attività criminali è il fatto che tali invii devono provenire da sorgenti non rintracciabili.
Ora dato che la sorgente IP di una transazione smtp è, in realtà, relativamente facile da rintracciare la idea di base è quella di effettuare gli invii da macchine insospettabili e tenere l’invio per brevi periodi di tempo (nell’ordine di poche decine di minuti) per poi far ritornare queste macchine silenti.
Lo SPAM come attività si è quindi evoluto in canale di diffusione di virus (doom, I love you e via dicendo), attività di information gathering o truffa (phishing, scam) e, quindi, in canale di diffusione di malware.
Per far questo la pagina html che contiene il messaggio spesso è linkata a web services, web server contraffatti o web server compromessi.

…ed adesso abbiamo il web

interfacciandoci al web abbiamo alcune caratteristiche interessanti nella creazione di un ecosistema criminale corretto: la possibilità di utilizzare diverse tecniche di contraffazione delle url mi permettono di mascherare gli indirizzi presentando un sito in guisa di un altro.
I protocolli che uso possono essere inseriti all’interno del flusso httphttps.
Posso sfruttare vulnerabilità indipendenti dal sistema operativo in uso ma legate ai browser più diffusi o ai servizi quali flash, adobe, java  e cosi via supportati da qualsiasi browser.
Anche in questo caso, associando magari ad azioni quali il dns poisoning o a protocolli masterslave o peer to peer, posso distribuire le mie risorse ovunque, su qualsiasi macchina ospite opportunamente compromessa in maniera trasparente all’utente. tanto ci pensa l;HTML a rappresentare il tutto poi come una pagina legittima e coerente.
esiste a questo punto un uovo di colombo che ha garantito la creazione di ecosistemi efficienti ed efficaci, la creazione del concetto di botnet.
Affronteremo questo oggetto misterioso nel prossimo post di “Security for Dummies 003: BOTNET”
ciao
A

Enhanced by Zemanta

Security for Dummies 002: l’ecosistema criminale was originally published on The Puchi Herald Magazine

Security for Dummies 002: l’ecosistema criminale


Se nel precedente post abbiamo descritto come sia cambiato il mondo delle reti informatiche negli ultimi anni, qui vedremo come sia cambiato di conseguenza l’ecosistema criminale, introducendo, di qua e di la, alcuni concetti cari alla security di oggi.

Perché lo fai

Innanzitutto capiamoci:

  1. il motivo per cui un criminale compie le sue azioni è per ottenere denaro.
  2. le azioni che il criminale compie sono orientate a:
    1. consentirgli il reperimento diretto del denaro
    2. consentirgli di creare l’ambiente adatto che poi gli permetterà di agire come al punto 2.1

per ottenere denaro i veicoli disponibili sono fondamentalmente:

  1. truffa, o assimilabile, con la vendita illecita di prodottiservizi o non rispondenti alle caratteristiche dichiarate, o senza pagare gli oneri dovuti allo stato, o col mancato invio del materiale acquistato
  2. truffa, o assimilabile, con l’acquisizione di dati personali dell’utente al fine di prelevare direttamente denaro da questi o procurargli danno direttoindiretto
  3. truffa, o assimilabile, con l’acquisizione di dati personali dell’utente al fine di rivendere tali informazioni a terzi
  4. Tentativo di blocco dei servizi della vittima al fine di procurare danno per conto terzi, coprire attività illecite concorrenti, estorcere denaro direttamente la vittima

Visti cosi gli attacchi informatici non differiscono molto dalle classiche attività criminali cui siamo più abituati: furto, truffa, pizzo; ritroviamo nel mondo informatico tutti gli elementi tipici di una normale attività criminale.
Questi obiettivi vengono perseguiti in diversi modi e diverse tecniche, alcune di tipo squisitamente informatico, altre con l’uso del media informatico come oggetto complementare (si pensi ad esempio al social engineering).
Finiti i tempi del romanticismo e dell’hacker come figura anarcoide o in cerca di pubblicità per colmare un ego smisurato, adesso siamo in un ambito industriale dove i numeri sono essenziali per giustificare le attività e dove le economie di scala sono essenziali.
la costruzione di un corretto ecosistema criminale quindi richiede la creazione di un meccanismo che consenta:

  1. perseguire gli obiettivi citati in precedenza al punto 2.1 sul maggior numero possibile di soggetti
  2. perseguire tali obiettivi evitando l’intervento delle strutture predisposte al controllo e alla imposizione delle leggi
  3. consentire una facile gestione dei flussi di denaro
  4. implementare, quando possibile, attività collaterali remunerative.

Dal punto di vista informatico tutto questo si è tradotto in trend specifici molto evidenti e chiari agli addetti al settore:
Utilizzare HTTP ed SMTP come media è molto remunerativo perché consente di raggiungere una enorme platea di potenziali vittime.
Utilizzare SMTP ed HTTP risulta comodo perché consente di evitare le più comuni difese perimetrali. I firewall infatti sono obbligati a far passare il traffico di porta 25 e 80443 pena il blocco di quei servizi a valore aggiunto di cui si portava nel post recedente.
Inoltre data la natura distribuita del traffico gestito da questi due protocolli risulta molto più difficile il backtracking per risalire al “mandante” delle operazioni.
L’utilizzo di tecniche “piramidali” e “peer to peer” in questo senso consente l’interposizione di layer di controllo che possono rendere virtualmente impossibile risalire all’esecutore primo della attività criminali in oggetto.
Le transazioni economiche generate sono piccole e distribuite quindi più facilmente mascherabili anche ad una analisi dei flussi finanziari.

Le basi

Come detto in precedenza la idea di base è la seguente:
Devo cercare di mandare informazioni o dati al maggior numero di utenti possibile per compiere le mie zioni illegittime.
Per fare questo posso usare 2 canali la posta elettronica ed il web browsing (web servicesweb server).

In principio era lo SPAM …

Per quello che concerne la posta il problema consiste, fondamentalmente, nel cercare di mandarne il più possibile al maggior numero di utenti. per fare ciò e per evitare che mi blocchino la sorgente di flusso devo cercare di mandare la posta dal maggior numero di sorgenti possibile.
Per fare questa operazione devo cercare di convertire il maggior numero di macchine possibile in “mail server di solo invio” , le macchine devono essere distribuite geograficamente e, ovviamente, non riconducibili a me in quanto a proprietà.
In altre parole devo usare della macchine di utenti ignari per poter fare questa operazione.
la mail può essere quindi utilizzata direttamente per:

  1. truffare il cliente in qualche modo
  2. sfruttare il fatto che sia in formato html per spingere il malcapitato ad accedere ad un falso web server
  3. sfruttare , java, flash, adobe services, attachment, vulnerabilità  o quant’altro nell’ html all’interno della mail per fare attività di deployment di oggetti software o dorettamente information gathering
  4. marketing

All’inizio la principale attività era il marketing, è questa la origine del famigerato SPAM.
La  linea di demarcazione tra il mass mailing legittimo (dalle mailing lists al mass marketing) allo spam e’ estremamente sottile, la stessa definizione di SPAM come UBE (Unsolicited Bulk Email) non rende chiara la sua definizione.
L’introduzione di regolamentazioni nazionali diverse hanno portato a definire come legittima la mail inviata solo su esplicita autorizzazione in caso di invio massivo, ma anche questo è non definibile a priori in maniera semplice, nel termine UBE infatti ricadono anche moltissime comunicazioni legittime. Si pensi ad esempio al fatto che tutte le mail sono, in origine, non sollecitate, considerando strettamente il termine UBE verrebbero considerati spam anche gli invii di auguri natalizi o pasquali.
Quello che è consistente con le attività criminali è il fatto che tali invii devono provenire da sorgenti non rintracciabili.
Ora dato che la sorgente IP di una transazione smtp è, in realtà, relativamente facile da rintracciare la idea di base è quella di effettuare gli invii da macchine insospettabili e tenere l’invio per brevi periodi di tempo (nell’ordine di poche decine di minuti) per poi far ritornare queste macchine silenti.
Lo SPAM come attività si è quindi evoluto in canale di diffusione di virus (doom, I love you e via dicendo), attività di information gathering o truffa (phishing, scam) e, quindi, in canale di diffusione di malware.
Per far questo la pagina html che contiene il messaggio spesso è linkata a web services, web server contraffatti o web server compromessi.

…ed adesso abbiamo il web

interfacciandoci al web abbiamo alcune caratteristiche interessanti nella creazione di un ecosistema criminale corretto: la possibilità di utilizzare diverse tecniche di contraffazione delle url mi permettono di mascherare gli indirizzi presentando un sito in guisa di un altro.
I protocolli che uso possono essere inseriti all’interno del flusso httphttps.
Posso sfruttare vulnerabilità indipendenti dal sistema operativo in uso ma legate ai browser più diffusi o ai servizi quali flash, adobe, java  e cosi via supportati da qualsiasi browser.
Anche in questo caso, associando magari ad azioni quali il dns poisoning o a protocolli masterslave o peer to peer, posso distribuire le mie risorse ovunque, su qualsiasi macchina ospite opportunamente compromessa in maniera trasparente all’utente. tanto ci pensa l;HTML a rappresentare il tutto poi come una pagina legittima e coerente.
esiste a questo punto un uovo di colombo che ha garantito la creazione di ecosistemi efficienti ed efficaci, la creazione del concetto di botnet.
Affronteremo questo oggetto misterioso nel prossimo post di “Security for Dummies 003: BOTNET”
ciao
A

Enhanced by Zemanta

Security for Dummies 002: l’ecosistema criminale was originally published on The Puchi Herald Magazine

Security for Dummies 002: l’ecosistema criminale


Se nel precedente post abbiamo descritto come sia cambiato il mondo delle reti informatiche negli ultimi anni, qui vedremo come sia cambiato di conseguenza l’ecosistema criminale, introducendo, di qua e di la, alcuni concetti cari alla security di oggi.

Perché lo fai

Innanzitutto capiamoci:

  1. il motivo per cui un criminale compie le sue azioni è per ottenere denaro.
  2. le azioni che il criminale compie sono orientate a:
    1. consentirgli il reperimento diretto del denaro
    2. consentirgli di creare l’ambiente adatto che poi gli permetterà di agire come al punto 2.1

per ottenere denaro i veicoli disponibili sono fondamentalmente:

  1. truffa, o assimilabile, con la vendita illecita di prodottiservizi o non rispondenti alle caratteristiche dichiarate, o senza pagare gli oneri dovuti allo stato, o col mancato invio del materiale acquistato
  2. truffa, o assimilabile, con l’acquisizione di dati personali dell’utente al fine di prelevare direttamente denaro da questi o procurargli danno direttoindiretto
  3. truffa, o assimilabile, con l’acquisizione di dati personali dell’utente al fine di rivendere tali informazioni a terzi
  4. Tentativo di blocco dei servizi della vittima al fine di procurare danno per conto terzi, coprire attività illecite concorrenti, estorcere denaro direttamente la vittima

Visti cosi gli attacchi informatici non differiscono molto dalle classiche attività criminali cui siamo più abituati: furto, truffa, pizzo; ritroviamo nel mondo informatico tutti gli elementi tipici di una normale attività criminale.
Questi obiettivi vengono perseguiti in diversi modi e diverse tecniche, alcune di tipo squisitamente informatico, altre con l’uso del media informatico come oggetto complementare (si pensi ad esempio al social engineering).
Finiti i tempi del romanticismo e dell’hacker come figura anarcoide o in cerca di pubblicità per colmare un ego smisurato, adesso siamo in un ambito industriale dove i numeri sono essenziali per giustificare le attività e dove le economie di scala sono essenziali.
la costruzione di un corretto ecosistema criminale quindi richiede la creazione di un meccanismo che consenta:

  1. perseguire gli obiettivi citati in precedenza al punto 2.1 sul maggior numero possibile di soggetti
  2. perseguire tali obiettivi evitando l’intervento delle strutture predisposte al controllo e alla imposizione delle leggi
  3. consentire una facile gestione dei flussi di denaro
  4. implementare, quando possibile, attività collaterali remunerative.

Dal punto di vista informatico tutto questo si è tradotto in trend specifici molto evidenti e chiari agli addetti al settore:
Utilizzare HTTP ed SMTP come media è molto remunerativo perché consente di raggiungere una enorme platea di potenziali vittime.
Utilizzare SMTP ed HTTP risulta comodo perché consente di evitare le più comuni difese perimetrali. I firewall infatti sono obbligati a far passare il traffico di porta 25 e 80443 pena il blocco di quei servizi a valore aggiunto di cui si portava nel post recedente.
Inoltre data la natura distribuita del traffico gestito da questi due protocolli risulta molto più difficile il backtracking per risalire al “mandante” delle operazioni.
L’utilizzo di tecniche “piramidali” e “peer to peer” in questo senso consente l’interposizione di layer di controllo che possono rendere virtualmente impossibile risalire all’esecutore primo della attività criminali in oggetto.
Le transazioni economiche generate sono piccole e distribuite quindi più facilmente mascherabili anche ad una analisi dei flussi finanziari.

Le basi

Come detto in precedenza la idea di base è la seguente:
Devo cercare di mandare informazioni o dati al maggior numero di utenti possibile per compiere le mie zioni illegittime.
Per fare questo posso usare 2 canali la posta elettronica ed il web browsing (web servicesweb server).

In principio era lo SPAM …

Per quello che concerne la posta il problema consiste, fondamentalmente, nel cercare di mandarne il più possibile al maggior numero di utenti. per fare ciò e per evitare che mi blocchino la sorgente di flusso devo cercare di mandare la posta dal maggior numero di sorgenti possibile.
Per fare questa operazione devo cercare di convertire il maggior numero di macchine possibile in “mail server di solo invio” , le macchine devono essere distribuite geograficamente e, ovviamente, non riconducibili a me in quanto a proprietà.
In altre parole devo usare della macchine di utenti ignari per poter fare questa operazione.
la mail può essere quindi utilizzata direttamente per:

  1. truffare il cliente in qualche modo
  2. sfruttare il fatto che sia in formato html per spingere il malcapitato ad accedere ad un falso web server
  3. sfruttare , java, flash, adobe services, attachment, vulnerabilità  o quant’altro nell’ html all’interno della mail per fare attività di deployment di oggetti software o dorettamente information gathering
  4. marketing

All’inizio la principale attività era il marketing, è questa la origine del famigerato SPAM.
La  linea di demarcazione tra il mass mailing legittimo (dalle mailing lists al mass marketing) allo spam e’ estremamente sottile, la stessa definizione di SPAM come UBE (Unsolicited Bulk Email) non rende chiara la sua definizione.
L’introduzione di regolamentazioni nazionali diverse hanno portato a definire come legittima la mail inviata solo su esplicita autorizzazione in caso di invio massivo, ma anche questo è non definibile a priori in maniera semplice, nel termine UBE infatti ricadono anche moltissime comunicazioni legittime. Si pensi ad esempio al fatto che tutte le mail sono, in origine, non sollecitate, considerando strettamente il termine UBE verrebbero considerati spam anche gli invii di auguri natalizi o pasquali.
Quello che è consistente con le attività criminali è il fatto che tali invii devono provenire da sorgenti non rintracciabili.
Ora dato che la sorgente IP di una transazione smtp è, in realtà, relativamente facile da rintracciare la idea di base è quella di effettuare gli invii da macchine insospettabili e tenere l’invio per brevi periodi di tempo (nell’ordine di poche decine di minuti) per poi far ritornare queste macchine silenti.
Lo SPAM come attività si è quindi evoluto in canale di diffusione di virus (doom, I love you e via dicendo), attività di information gathering o truffa (phishing, scam) e, quindi, in canale di diffusione di malware.
Per far questo la pagina html che contiene il messaggio spesso è linkata a web services, web server contraffatti o web server compromessi.

…ed adesso abbiamo il web

interfacciandoci al web abbiamo alcune caratteristiche interessanti nella creazione di un ecosistema criminale corretto: la possibilità di utilizzare diverse tecniche di contraffazione delle url mi permettono di mascherare gli indirizzi presentando un sito in guisa di un altro.
I protocolli che uso possono essere inseriti all’interno del flusso httphttps.
Posso sfruttare vulnerabilità indipendenti dal sistema operativo in uso ma legate ai browser più diffusi o ai servizi quali flash, adobe, java  e cosi via supportati da qualsiasi browser.
Anche in questo caso, associando magari ad azioni quali il dns poisoning o a protocolli masterslave o peer to peer, posso distribuire le mie risorse ovunque, su qualsiasi macchina ospite opportunamente compromessa in maniera trasparente all’utente. tanto ci pensa l;HTML a rappresentare il tutto poi come una pagina legittima e coerente.
esiste a questo punto un uovo di colombo che ha garantito la creazione di ecosistemi efficienti ed efficaci, la creazione del concetto di botnet.
Affronteremo questo oggetto misterioso nel prossimo post di “Security for Dummies 003: BOTNET”
ciao
A

Enhanced by Zemanta

Security for Dummies 002: l’ecosistema criminale was originally published on The Puchi Herald Magazine

Security for Dummies 002: l’ecosistema criminale


Se nel precedente post abbiamo descritto come sia cambiato il mondo delle reti informatiche negli ultimi anni, qui vedremo come sia cambiato di conseguenza l’ecosistema criminale, introducendo, di qua e di la, alcuni concetti cari alla security di oggi.

Perché lo fai

Innanzitutto capiamoci:

  1. il motivo per cui un criminale compie le sue azioni è per ottenere denaro.
  2. le azioni che il criminale compie sono orientate a:
    1. consentirgli il reperimento diretto del denaro
    2. consentirgli di creare l’ambiente adatto che poi gli permetterà di agire come al punto 2.1

per ottenere denaro i veicoli disponibili sono fondamentalmente:

  1. truffa, o assimilabile, con la vendita illecita di prodottiservizi o non rispondenti alle caratteristiche dichiarate, o senza pagare gli oneri dovuti allo stato, o col mancato invio del materiale acquistato
  2. truffa, o assimilabile, con l’acquisizione di dati personali dell’utente al fine di prelevare direttamente denaro da questi o procurargli danno direttoindiretto
  3. truffa, o assimilabile, con l’acquisizione di dati personali dell’utente al fine di rivendere tali informazioni a terzi
  4. Tentativo di blocco dei servizi della vittima al fine di procurare danno per conto terzi, coprire attività illecite concorrenti, estorcere denaro direttamente la vittima

Visti cosi gli attacchi informatici non differiscono molto dalle classiche attività criminali cui siamo più abituati: furto, truffa, pizzo; ritroviamo nel mondo informatico tutti gli elementi tipici di una normale attività criminale.
Questi obiettivi vengono perseguiti in diversi modi e diverse tecniche, alcune di tipo squisitamente informatico, altre con l’uso del media informatico come oggetto complementare (si pensi ad esempio al social engineering).
Finiti i tempi del romanticismo e dell’hacker come figura anarcoide o in cerca di pubblicità per colmare un ego smisurato, adesso siamo in un ambito industriale dove i numeri sono essenziali per giustificare le attività e dove le economie di scala sono essenziali.
la costruzione di un corretto ecosistema criminale quindi richiede la creazione di un meccanismo che consenta:

  1. perseguire gli obiettivi citati in precedenza al punto 2.1 sul maggior numero possibile di soggetti
  2. perseguire tali obiettivi evitando l’intervento delle strutture predisposte al controllo e alla imposizione delle leggi
  3. consentire una facile gestione dei flussi di denaro
  4. implementare, quando possibile, attività collaterali remunerative.

Dal punto di vista informatico tutto questo si è tradotto in trend specifici molto evidenti e chiari agli addetti al settore:
Utilizzare HTTP ed SMTP come media è molto remunerativo perché consente di raggiungere una enorme platea di potenziali vittime.
Utilizzare SMTP ed HTTP risulta comodo perché consente di evitare le più comuni difese perimetrali. I firewall infatti sono obbligati a far passare il traffico di porta 25 e 80443 pena il blocco di quei servizi a valore aggiunto di cui si portava nel post recedente.
Inoltre data la natura distribuita del traffico gestito da questi due protocolli risulta molto più difficile il backtracking per risalire al “mandante” delle operazioni.
L’utilizzo di tecniche “piramidali” e “peer to peer” in questo senso consente l’interposizione di layer di controllo che possono rendere virtualmente impossibile risalire all’esecutore primo della attività criminali in oggetto.
Le transazioni economiche generate sono piccole e distribuite quindi più facilmente mascherabili anche ad una analisi dei flussi finanziari.

Le basi

Come detto in precedenza la idea di base è la seguente:
Devo cercare di mandare informazioni o dati al maggior numero di utenti possibile per compiere le mie zioni illegittime.
Per fare questo posso usare 2 canali la posta elettronica ed il web browsing (web servicesweb server).

In principio era lo SPAM …

Per quello che concerne la posta il problema consiste, fondamentalmente, nel cercare di mandarne il più possibile al maggior numero di utenti. per fare ciò e per evitare che mi blocchino la sorgente di flusso devo cercare di mandare la posta dal maggior numero di sorgenti possibile.
Per fare questa operazione devo cercare di convertire il maggior numero di macchine possibile in “mail server di solo invio” , le macchine devono essere distribuite geograficamente e, ovviamente, non riconducibili a me in quanto a proprietà.
In altre parole devo usare della macchine di utenti ignari per poter fare questa operazione.
la mail può essere quindi utilizzata direttamente per:

  1. truffare il cliente in qualche modo
  2. sfruttare il fatto che sia in formato html per spingere il malcapitato ad accedere ad un falso web server
  3. sfruttare , java, flash, adobe services, attachment, vulnerabilità  o quant’altro nell’ html all’interno della mail per fare attività di deployment di oggetti software o dorettamente information gathering
  4. marketing

All’inizio la principale attività era il marketing, è questa la origine del famigerato SPAM.
La  linea di demarcazione tra il mass mailing legittimo (dalle mailing lists al mass marketing) allo spam e’ estremamente sottile, la stessa definizione di SPAM come UBE (Unsolicited Bulk Email) non rende chiara la sua definizione.
L’introduzione di regolamentazioni nazionali diverse hanno portato a definire come legittima la mail inviata solo su esplicita autorizzazione in caso di invio massivo, ma anche questo è non definibile a priori in maniera semplice, nel termine UBE infatti ricadono anche moltissime comunicazioni legittime. Si pensi ad esempio al fatto che tutte le mail sono, in origine, non sollecitate, considerando strettamente il termine UBE verrebbero considerati spam anche gli invii di auguri natalizi o pasquali.
Quello che è consistente con le attività criminali è il fatto che tali invii devono provenire da sorgenti non rintracciabili.
Ora dato che la sorgente IP di una transazione smtp è, in realtà, relativamente facile da rintracciare la idea di base è quella di effettuare gli invii da macchine insospettabili e tenere l’invio per brevi periodi di tempo (nell’ordine di poche decine di minuti) per poi far ritornare queste macchine silenti.
Lo SPAM come attività si è quindi evoluto in canale di diffusione di virus (doom, I love you e via dicendo), attività di information gathering o truffa (phishing, scam) e, quindi, in canale di diffusione di malware.
Per far questo la pagina html che contiene il messaggio spesso è linkata a web services, web server contraffatti o web server compromessi.

…ed adesso abbiamo il web

interfacciandoci al web abbiamo alcune caratteristiche interessanti nella creazione di un ecosistema criminale corretto: la possibilità di utilizzare diverse tecniche di contraffazione delle url mi permettono di mascherare gli indirizzi presentando un sito in guisa di un altro.
I protocolli che uso possono essere inseriti all’interno del flusso httphttps.
Posso sfruttare vulnerabilità indipendenti dal sistema operativo in uso ma legate ai browser più diffusi o ai servizi quali flash, adobe, java  e cosi via supportati da qualsiasi browser.
Anche in questo caso, associando magari ad azioni quali il dns poisoning o a protocolli masterslave o peer to peer, posso distribuire le mie risorse ovunque, su qualsiasi macchina ospite opportunamente compromessa in maniera trasparente all’utente. tanto ci pensa l;HTML a rappresentare il tutto poi come una pagina legittima e coerente.
esiste a questo punto un uovo di colombo che ha garantito la creazione di ecosistemi efficienti ed efficaci, la creazione del concetto di botnet.
Affronteremo questo oggetto misterioso nel prossimo post di “Security for Dummies 003: BOTNET”
ciao
A

Enhanced by Zemanta

Security for Dummies 002: l’ecosistema criminale was originally published on The Puchi Herald Magazine

Security for Dummies 002: l’ecosistema criminale


Se nel precedente post abbiamo descritto come sia cambiato il mondo delle reti informatiche negli ultimi anni, qui vedremo come sia cambiato di conseguenza l’ecosistema criminale, introducendo, di qua e di la, alcuni concetti cari alla security di oggi.

Perché lo fai

Innanzitutto capiamoci:

  1. il motivo per cui un criminale compie le sue azioni è per ottenere denaro.
  2. le azioni che il criminale compie sono orientate a:
    1. consentirgli il reperimento diretto del denaro
    2. consentirgli di creare l’ambiente adatto che poi gli permetterà di agire come al punto 2.1

per ottenere denaro i veicoli disponibili sono fondamentalmente:

  1. truffa, o assimilabile, con la vendita illecita di prodottiservizi o non rispondenti alle caratteristiche dichiarate, o senza pagare gli oneri dovuti allo stato, o col mancato invio del materiale acquistato
  2. truffa, o assimilabile, con l’acquisizione di dati personali dell’utente al fine di prelevare direttamente denaro da questi o procurargli danno direttoindiretto
  3. truffa, o assimilabile, con l’acquisizione di dati personali dell’utente al fine di rivendere tali informazioni a terzi
  4. Tentativo di blocco dei servizi della vittima al fine di procurare danno per conto terzi, coprire attività illecite concorrenti, estorcere denaro direttamente la vittima

Visti cosi gli attacchi informatici non differiscono molto dalle classiche attività criminali cui siamo più abituati: furto, truffa, pizzo; ritroviamo nel mondo informatico tutti gli elementi tipici di una normale attività criminale.
Questi obiettivi vengono perseguiti in diversi modi e diverse tecniche, alcune di tipo squisitamente informatico, altre con l’uso del media informatico come oggetto complementare (si pensi ad esempio al social engineering).
Finiti i tempi del romanticismo e dell’hacker come figura anarcoide o in cerca di pubblicità per colmare un ego smisurato, adesso siamo in un ambito industriale dove i numeri sono essenziali per giustificare le attività e dove le economie di scala sono essenziali.
la costruzione di un corretto ecosistema criminale quindi richiede la creazione di un meccanismo che consenta:

  1. perseguire gli obiettivi citati in precedenza al punto 2.1 sul maggior numero possibile di soggetti
  2. perseguire tali obiettivi evitando l’intervento delle strutture predisposte al controllo e alla imposizione delle leggi
  3. consentire una facile gestione dei flussi di denaro
  4. implementare, quando possibile, attività collaterali remunerative.

Dal punto di vista informatico tutto questo si è tradotto in trend specifici molto evidenti e chiari agli addetti al settore:
Utilizzare HTTP ed SMTP come media è molto remunerativo perché consente di raggiungere una enorme platea di potenziali vittime.
Utilizzare SMTP ed HTTP risulta comodo perché consente di evitare le più comuni difese perimetrali. I firewall infatti sono obbligati a far passare il traffico di porta 25 e 80443 pena il blocco di quei servizi a valore aggiunto di cui si portava nel post recedente.
Inoltre data la natura distribuita del traffico gestito da questi due protocolli risulta molto più difficile il backtracking per risalire al “mandante” delle operazioni.
L’utilizzo di tecniche “piramidali” e “peer to peer” in questo senso consente l’interposizione di layer di controllo che possono rendere virtualmente impossibile risalire all’esecutore primo della attività criminali in oggetto.
Le transazioni economiche generate sono piccole e distribuite quindi più facilmente mascherabili anche ad una analisi dei flussi finanziari.

Le basi

Come detto in precedenza la idea di base è la seguente:
Devo cercare di mandare informazioni o dati al maggior numero di utenti possibile per compiere le mie zioni illegittime.
Per fare questo posso usare 2 canali la posta elettronica ed il web browsing (web servicesweb server).

In principio era lo SPAM …

Per quello che concerne la posta il problema consiste, fondamentalmente, nel cercare di mandarne il più possibile al maggior numero di utenti. per fare ciò e per evitare che mi blocchino la sorgente di flusso devo cercare di mandare la posta dal maggior numero di sorgenti possibile.
Per fare questa operazione devo cercare di convertire il maggior numero di macchine possibile in “mail server di solo invio” , le macchine devono essere distribuite geograficamente e, ovviamente, non riconducibili a me in quanto a proprietà.
In altre parole devo usare della macchine di utenti ignari per poter fare questa operazione.
la mail può essere quindi utilizzata direttamente per:

  1. truffare il cliente in qualche modo
  2. sfruttare il fatto che sia in formato html per spingere il malcapitato ad accedere ad un falso web server
  3. sfruttare , java, flash, adobe services, attachment, vulnerabilità  o quant’altro nell’ html all’interno della mail per fare attività di deployment di oggetti software o dorettamente information gathering
  4. marketing

All’inizio la principale attività era il marketing, è questa la origine del famigerato SPAM.
La  linea di demarcazione tra il mass mailing legittimo (dalle mailing lists al mass marketing) allo spam e’ estremamente sottile, la stessa definizione di SPAM come UBE (Unsolicited Bulk Email) non rende chiara la sua definizione.
L’introduzione di regolamentazioni nazionali diverse hanno portato a definire come legittima la mail inviata solo su esplicita autorizzazione in caso di invio massivo, ma anche questo è non definibile a priori in maniera semplice, nel termine UBE infatti ricadono anche moltissime comunicazioni legittime. Si pensi ad esempio al fatto che tutte le mail sono, in origine, non sollecitate, considerando strettamente il termine UBE verrebbero considerati spam anche gli invii di auguri natalizi o pasquali.
Quello che è consistente con le attività criminali è il fatto che tali invii devono provenire da sorgenti non rintracciabili.
Ora dato che la sorgente IP di una transazione smtp è, in realtà, relativamente facile da rintracciare la idea di base è quella di effettuare gli invii da macchine insospettabili e tenere l’invio per brevi periodi di tempo (nell’ordine di poche decine di minuti) per poi far ritornare queste macchine silenti.
Lo SPAM come attività si è quindi evoluto in canale di diffusione di virus (doom, I love you e via dicendo), attività di information gathering o truffa (phishing, scam) e, quindi, in canale di diffusione di malware.
Per far questo la pagina html che contiene il messaggio spesso è linkata a web services, web server contraffatti o web server compromessi.

…ed adesso abbiamo il web

interfacciandoci al web abbiamo alcune caratteristiche interessanti nella creazione di un ecosistema criminale corretto: la possibilità di utilizzare diverse tecniche di contraffazione delle url mi permettono di mascherare gli indirizzi presentando un sito in guisa di un altro.
I protocolli che uso possono essere inseriti all’interno del flusso httphttps.
Posso sfruttare vulnerabilità indipendenti dal sistema operativo in uso ma legate ai browser più diffusi o ai servizi quali flash, adobe, java  e cosi via supportati da qualsiasi browser.
Anche in questo caso, associando magari ad azioni quali il dns poisoning o a protocolli masterslave o peer to peer, posso distribuire le mie risorse ovunque, su qualsiasi macchina ospite opportunamente compromessa in maniera trasparente all’utente. tanto ci pensa l;HTML a rappresentare il tutto poi come una pagina legittima e coerente.
esiste a questo punto un uovo di colombo che ha garantito la creazione di ecosistemi efficienti ed efficaci, la creazione del concetto di botnet.
Affronteremo questo oggetto misterioso nel prossimo post di “Security for Dummies 003: BOTNET”
ciao
A

Enhanced by Zemanta

Security for Dummies 002: l’ecosistema criminale was originally published on The Puchi Herald Magazine