Devi fare il budget sulla sicurezza informatica? Se sei stato fortunato: ti sei preso un ransomware


ho pensato che sia cosa utile fare seguito ad un mio precedente post che si chiedeva se era paperino a fare i budget di sicurezza. Diciamolo, uno dei problemi che affliggono il mondo della sicurezza è che in pochi hanno una vaga idea di come costruire un budget che copra questi bisogni e lamentarsi sempre non aiuta a risolvere il problema, ho quindi pensato di scrivere un suggerimento su come venire incontro alla determinazione del valore economico della stesura di un budget di sicurezza informatica.

Il problema di costruire il budget della sicurezza è, notoriamente, che chi lo fa deve prevedere dei soldi da spendere, e li deve giustificare in qualche maniera all IT manager, al CEO, al CFO, all’HR manager e a Zio Paperone.

Non voglio stare a fare la lezioncina di come si fa un budget sulla sicurezza, ma lasciatemi evidenziare un paio di cose elementari.

  • Se spendi dei soldi questi devono essere meno del valore totale della cosa che vuoi proteggere
    • se quello che devi proteggere vale 100 e tu spendi 110 forse non hai fatto bene i conti
  • Devi in qualche maniera rispettare eventuali termini di legge
    • ricordati che vi sono delle leggi da rispettare, e in italia vige la responsabilità oggettiva, cioè se ha causa delle tue bischerate ne viene un danno a terzi, tu sei corresponsabile.
  • Quello che compri o implementi deve avere un senso
    • se temi che ti rubino la macchina non compri una cassetta di sicurezza, magari ti orienti verso un box ed una buona assicurazione

Le tre condizioni sarebbero da rispettare in contemporanea, perché ovvio che devi almeno fare quello che la legge chiede, che devi spendere il giusto e in maniera giusta.

Peccato sia proprio su questi 3 punti che si incontrano gli ostacoli maggiori nella costruzione del nostro budget.ma oggi voglio essere buono, limito gli insulti e mi occupo solo del primo punto:

Quanto ha senso farti spendere?

Mettiamola così, se tu dici che vuoi spendere 100 euro I tuoi capi ti diranno:

  • 100 euro … ma sei matto?
  • A che cosa serve tutto quel denaro li?
  • A miei tempi si usava la macchina da scrivere e tutto andava meglio
  • Non ci sono più le mezze stagioni
  • Piove governo ladro
  • Lei non sa chi sono io

A meno che tu sia un ceo illuminato e i 100 euro li tiri fuori da solo di tasca tua.

Ma perché ti dicono questo?

Perché per giustificare i 100 euro dovresti spiegare che questa esosa cifra ti serve per proteggere 100000 euro di valore della azienda.

Insomma non chiedi neanche una percentuale esosa…. Meno di una assicurazione.

Il problema è che tu non sai quanto stai proteggendo, e neanche loro lo sanno.

Qualunque budget di spesa dovrebbe prevedere la analisi del valore degli asset, se lo chiedi ad un CFO ti spiegherà questa cosa in tutte le salse. Salvo poi se gli chiedi come valuta i suoi asset digitali, in questo caso generalmente ride e pensa dentro di sé: è arrivato il cretino…. (con rispetto parlando per i retini ovviamente).

Questo è il vero dramma della IT, nessuno sa valutarne il valore economico e non dico il costo, che del valore economico è una componente.

Quanta IT serve per produrre valore nella mia azienda? Che valore hanno i dati digitali che uso?…

Perché se c’è una produzione di valore legata alla IT allora possiamo iniziare a parlare di budget, altrimenti stiamo buttando il mio, il tuo ed il suo tempo.

In altre parole o la digitalizzazione serve e dà valore e allora i dati vanno gestiti e protetti, o non serve ed allora perché che ne stiamo ad occupare?

Il ricattatore informatico: un consulente al tuo servizio

Purtroppo questo conto non lo sanno fare né il CEO né il CFO né l’HR e, probabilmente, nemmeno tu.

Ma qualcuno che questo conto lo sa fare c’è, è il tuo consulente globale sulla sicurezza, quello che ti fa il deploy del ransomware e poi ti chiede i soldi.

Si insomma quello che ti ostini a chiamare criminale è in realtà l’unico che ha capito di cosa hai bisogno… e come farlo capire al tuo capo

Non dovresti denunciarlo, dovresti dargli un premio produzione….

E si perché non c’è nulla come beccarsi un bel ransomware per far capire che i dati sono una cosa preziosa ed hanno un valore.

È questo valore è proporzionale a quanto sei disposto a pagare per riaverli indietro.

Il Ransomware, in altre parole, è un formidabile strumento di valutazione del valore degli asset digitali.

Non sono i virus, non è una intrusione, è proprio il ransomware che ti fa capire il valore di quello che hai in casa.

La tua azienda se lo becca, i suoi, tuoi dati vengono messi in una bella scatolina chiusa che si apre solo se paghi.

A questo punto persino il CEO ed il CFO iniziano a sospettare, bontà loro, che c’è del marcio in Danimarca. (l’HR manager viene dopo per questioni caratteriali J)

E si perché qualcuno questi soldi li deve tirare fuori a meno che non si riesca a porre rimedio.

Ora, ad esempio, se i backup li gestisci come non si dovrebbe fare (che è la norma) e quindi sono abbondantemente inutili, e se non hai una chiave per decrittare i tuoi dati ti trovi nella situazione seguente:

  • La gente non può lavorare a causa del blocco di qualcosa a cui prima non attribuiva valore
  • Tutti sono incazzati con te e ti danno la colpa, ma questo è normale
  • Vengono alla luce le cazzate fatte nella implementazione della tua struttura IT
  • La azienda perde dei soldi

A questo punto il CFO si mette una mano sul portafoglio e dà l’OK al pagamento del riscatto con il benestare del CEO, l’accordo del presidente, l’assenso dell’HR manager, il conforto dell’avvocato, le lacrime del marketing manager e l’assoluzione plenaria del padre confessore.

Bene, questo significa che hai appena dato un valore economico all’asset digitale. O meglio il valore glielo ha dato quel pio criminale che ha pensato di infettarti e ricattarti. È grazie a lui che ora tutti devono a denti stretti ammettere che quei dati hanno un valore.

Più alto il riscatto che il cfo è disposto a pagare, più alto è il valore che assegna a quell’asset.

Ovviamente vi sono considerazioni accessorie tipo:

  • Quanti soldi perdo per il blocco derivante da questo incidente sui miei asset digitali?
  • Quanto inciderà la figura di cacca che sto facendo sul mio mercato?
  • Quanto mi costerà il ripristino alla funzionalità normale?
  • Quanto mi costerà mettere in sicurezza la cosa perché non si ripeta?
  • Vado incontro a conseguenze legali?

Ma non voglio tediarti con particolari inutili. Carpe diem, cogli l’attimo.

Quello che risulta è che quello che, per motivi a me oscuri, continui a chiamare criminale informatico in realtà ti ha appena fatto una analisi del valore dei tuoi asset digitali come nemmeno il più persuasivo dei consulenti farebbe.

Certo non è proprio fatto secondo canali strettamente legali, ma se la legalità ti interessasse avresti intrapreso da un po’ l’adeguamento dei tuoi sistemi al GDPR… purtroppo per quella consulenza devi aspettare l’ispezione e la multa conseguente (da quelle parti si svegliano anche l’HR manager e il responsabile marketing).

Se proprio volessimo buttarla in polemica si potrebbe osservare che essere costretti a dare una valutazione economica di un bene a seguito di un atto criminoso denota una scarsa lungimiranza, e allo stesso tempo se dobbiamo agire di concerto alla legge solo perché vogliamo evitare le multe forse abbiamo un approccio leggermente discutibile dal punto di vista etico.

Ma siccome non vogliamo scendere in queste sterili polemiche limitiamoci ad osservare che se sei fortunato ti capita una brutta cosa che mette in luce un valore che nessuno VUOLE vedere, se sei sfortunato ti obbligano a farne una peggiore, i budget di sicurezza come li hai fatti fino ad adesso.

Chiaro che poi hai ancora i punti 2 e 3 da affrontare, ma almeno il punto 1 hai iniziato ad affrontarlo

Ci trovo una sottile ironia i questo, ma magari sono solo io…

 

Buon insicuro 2017

Antonio

 

PS: spero si sia colta l’ironia ed il sarcasmo del pezzo, ma siccome ho una scarsa fiducia nel genere umano permetti di precisare questo. Ben lungi dall’essere apologia di reato non sto dicendo che fanno bene ad attaccarti, né che i criminali siano giustificati, so solo utilizzando le figure retoriche del paradosso e dell’iperbole per evidenziare come talvolta è solo a seguito di un incidente che ne priva la fruizione che si capisce il valore di un beneservizioasset.

 

 

 

 

var aid = '6055',
    v = 'qGrn%2BlT8rPs5CstTgaa8EA%3D%3D',
    credomain = 'adkengage.com',
    ru = 'http://www.thepuchiherald.com/wp-admin/post.php';
document.write('');

Devi fare il budget sulla sicurezza informatica? Se sei stato fortunato: ti sei preso un ransomware was originally published on The Puchi Herald Magazine

Pretty Good Privacy (PGP)


Pretty Good Privacy (PGP)

Pretty Good Privacy or PGP is a popular program used to encrypt and decrypt email over the Internet, as well as authenticate messages with digital signatures and encrypted stored files.
Previously available as freeware and now only available as a low-cost commercial version, PGP was once the most widely used privacy-ensuring program by individuals and is also used by many corporations. It was developed by Philip R. Zimmermann in 1991 and has become a de facto standard for email security.

How PGP works

Pretty Good Privacy uses a variation of the public key system. In this system, each user has an encryption key that is publicly known and a private key that is known only to that user. You encrypt a message you send to someone else using their public key. When they receive it, they decrypt it using their private key. Since encrypting an entire message can be time-consuming, PGP uses a faster encryption algorithm to encrypt the message and then uses the public key to encrypt the shorter key that was used to encrypt the entire message. Both the encrypted message and the short key are sent to the receiver who first uses the receiver’s private key to decrypt the short key and then uses that key to decrypt the message.

PGP comes in two public key versions — Rivest-Shamir-Adleman (RSA) and Diffie-Hellman. The RSA version, for which PGP must pay a license fee to RSA, uses the IDEA algorithm to generate a short key for the entire message and RSA to encrypt the short key. The Diffie-Hellman version uses the CAST algorithm for the short key to encrypt the message and the Diffie-Hellman algorithm to encrypt the short key.
When sending digital signatures, PGP uses an efficient algorithm that generates a hash (a mathematical summary) from the user’s name and other signature information. This hash code is then encrypted with the sender’s private key. The receiver uses the sender’s public key to decrypt the hash code. If it matches the hash code sent as the digital signature for the message, the receiver is sure that the message has arrived securely from the stated sender. PGP’s RSA version uses the MD5 algorithm to generate the hash code. PGP’s Diffie-Hellman version uses the SHA-1 algorithm to generate the hash code.

Getting PGP

To use Pretty Good Privacy, download or purchase it and install it on your computer system. It typically contains a user interface that works with your customary email program. You may also need to register the public key that your PGP program gives you with a PGP public-key server so that people you exchange messages with will be able to find your public key.

PGP freeware is available for older versions of Windows, Mac, DOS, Unix and other operating systems. In 2010, Symantec Corp. acquired PGP Corp., which held the rights to the PGP code, and soon stopped offering a freeware version of the technology. The vendor currently offers PGP technology in a variety of its encryption products, such as Symantec Encryption Desktop, Symantec Desktop Email Encryption and Symantec Encryption Desktop Storage. Symantec also makes the Symantec Encryption Desktop source code available for peer review.
Though Symantec ended PGP freeware, there are other non-proprietary versions of the technology that are available. OpenPGP is an open source version of PGP that’s supported by the Internet Engineering Task Force (IETF). OpenPGP is used by several software vendors, including as Coviant Software, which offers a free tool for OpenPGP encryption, and HushMail, which offers a Web-based encrypted email service powered by OpenPGP. In addition, the Free Software Foundation developed GNU Privacy Guard (GPG), an OpenPGG-compliant encryption software.

Where can you use PGP?

Pretty Good Privacy can be used to authenticate digital certificates and encrypt/decrypt texts, emails, files, directories and whole disk partitions. Symantec, for example, offers PGP-based products such as Symantec File Share Encryption for encrypting files shared across a network and Symantec Endpoint Encryption for full disk encryption on desktops, mobile devices and removable storage. In the case of using PGP technology for files and drives instead of messages, the Symantec products allows users to decrypt and re-encrypt data via a single sign-on.
Originally, the U.S. government restricted the exportation of PGP technology and even launched a criminal investigation against Zimmermann for putting the technology in the public domain (the investigation was later dropped). Network Associates Inc. (NAI) acquired Zimmermann’s company, PGP Inc., in 1997 and was able to legally publish the source code (NAI later sold the PGP assets and IP to ex-PGP developers that joined together to form PGP Corp. in 2002, which was acquired by Symantec in 2010).
Today, PGP encrypted email can be exchanged with users outside the U.S if you have the correct versions of PGP at both ends.
There are several versions of PGP in use. Add-ons can be purchased that allow backwards compatibility for newer RSA versions with older versions. However, the Diffie-Hellman and RSA versions of PGP do not work with each other since they use different algorithms. There are also a number of technology companies that have released tools or services supporting PGP. Google this year introduced an OpenPGP email encryption plug-in for Chrome, while Yahoo also began offering PGP encryption for its email service.

What is an asymmetric algorithm?

Asymmetric algorithms (public key algorithms) use different keys for encryption and decryption, and the decryption key cannot (practically) be derived from the encryption key. Asymmetric algorithms are important because they can be used for transmitting encryption keys or other data securely even when the parties have no opportunity to agree on a secret key in private.
Types of Asymmetric algorithms
Types of Asymmetric algorithms (public key algorithms):
• RSA
• Diffie-Hellman
Digital Signature Algorithm
• ElGamal
• ECDSA
• XTR

Asymmetric algorithms examples:

RSA Asymmetric algorithm
Rivest-Shamir-Adleman is the most commonly used asymmetric algorithm (public key algorithm). It can be used both for encryption and for digital signatures. The security of RSA is generally considered equivalent to factoring, although this has not been proved.
RSA computation occurs with integers modulo n = p * q, for two large secret primes p, q. To encrypt a message m, it is exponentiated with a small public exponent e. For decryption, the recipient of the ciphertext c = me (mod n) computes the multiplicative reverse d = e-1 (mod (p-1)*(q-1)) (we require that e is selected suitably for it to exist) and obtains cd = m e * d = m (mod n). The private key consists of n, p, q, e, d (where p and q can be omitted); the public key contains only n and e. The problem for the attacker is that computing the reverse d of e is assumed to be no easier than factorizing n.
The key size should be greater than 1024 bits for a reasonable level of security. Keys of size, say, 2048 bits should allow security for decades. There are actually multiple incarnations of this algorithm; RC5 is one of the most common in use, and RC6 was a finalist algorithm for AES.

Diffie-Hellman
Diffie-Hellman is the first asymmetric encryption algorithm, invented in 1976, using discrete logarithms in a finite field. Allows two users to exchange a secret key over an insecure medium without any prior secrets.

Diffie-Hellman (DH) is a widely used key exchange algorithm. In many cryptographical protocols, two parties wish to begin communicating. However, let’s assume they do not initially possess any common secret and thus cannot use secret key cryptosystems. The key exchange by Diffie-Hellman protocol remedies this situation by allowing the construction of a common secret key over an insecure communication channel. It is based on a problem related to discrete logarithms, namely the Diffie-Hellman problem. This problem is considered hard, and it is in some instances as hard as the discrete logarithm problem.
The Diffie-Hellman protocol is generally considered to be secure when an appropriate mathematical group is used. In particular, the generator element used in the exponentiations should have a large period (i.e. order). Usually, Diffie-Hellman is not implemented on hardware.

Digital Signature Algorithm
Digital Signature Algorithm (DSA) is a United States Federal Government standard or FIPS for digital signatures. It was proposed by the National Institute of Standards and Technology (NIST) in August 1991 for use in their Digital Signature Algorithm (DSA), specified in FIPS 186 [1], adopted in 1993. A minor revision was issued in 1996 as FIPS 186-1 [2], and the standard was expanded further in 2000 as FIPS 186-2 [3]. Digital Signature Algorithm (DSA) is similar to the one used by ElGamal signature algorithm. It is fairly efficient though not as efficient as RSA for signature verification. The standard defines DSS to use the SHA-1 hash function exclusively to compute message digests.
The main problem with DSA is the fixed subgroup size (the order of the generator element), which limits the security to around only 80 bits. Hardware attacks can be menacing to some implementations of DSS. However, it is widely used and accepted as a good algorithm.

ElGamal
The ElGamal is a public key cipher – an asymmetric key encryption algorithm for public-key cryptography which is based on the Diffie-Hellman key agreement. ElGamal is the predecessor of DSA.

ECDSA
Elliptic Curve DSA (ECDSA) is a variant of the Digital Signature Algorithm (DSA) which operates on elliptic curve groups. As with Elliptic Curve Cryptography in general, the bit size of the public key believed to be needed for ECDSA is about twice the size of the security level, in bits.

XTR
XTR is an algorithm for asymmetric encryption (public-key encryption). XTR is a novel method that makes use of traces to represent and calculate powers of elements of a subgroup of a finite field. It is based on the primitive underlying the very first public key cryptosystem, the Diffie-Hellman key agreement protocol.
From a security point of view, XTR security relies on the difficulty of solving discrete logarithm related problems in the multiplicative group of a finite field. Some advantages of XTR are its fast key generation (much faster than RSA), small key sizes (much smaller than RSA, comparable with ECC for current security settings), and speed (overall comparable with ECC for current security settings).
Symmetric and asymmetric algorithms
Symmetric algorithms encrypt and decrypt with the same key. Main advantages of symmetric algorithms are their security and high speed. Asymmetric algorithms encrypt and decrypt with different keys. Data is encrypted with a public key, and decrypted with a private key. Asymmetric algorithms (also known as public-key algorithms) need at least a 3,000-bit key to achieve the same level of security of a 128-bit symmetric algorithm. Asymmetric algorithms are incredibly slow and it is impractical to use them to encrypt large amounts of data. Generally, symmetric algorithms are much faster to execute on a computer than asymmetric ones. In practice they are often used together, so that a public-key algorithm is used to encrypt a randomly generated encryption key, and the random key is used to encrypt the actual message using a symmetric algorithm. This is sometimes called hybrid encryption

var aid = '6055',
    v = 'qGrn%2BlT8rPs5CstTgaa8EA%3D%3D',
    credomain = 'adkengage.com',
    ru = 'http://www.thepuchiherald.com/wp-admin/post.php';
document.write('');

Pretty Good Privacy (PGP) was originally published on The Puchi Herald Magazine