poste italiane

Security Summit 2011: opinioni, riflessioni e tendenze #securitysummit2011

giu 16th, 2011

Dopo il live twitting della seconda giornata del Security Summit 2011 (#SecuritySummit2011) a Roma in molti mi hanno chiesto opinioni, pareri, sensazioni e tendenze in ambito sicurezza.

Questa volta non voglio entrare nei dettagli dei contenuti della conferenza ma vorrei fornire una chiave di lettura di un po’ più alto respiro possibilmente utile a chi non ha potuto partecipare e per chi ha voglia di confrontare le opinioni.

Gli argomenti trattati, come al solito in questa maratona di due giorni che è giunta alla terza edizione capitolina, sono stati tanti e spaziano dalla privacy ai proof of concept di attacchi 0-day, dalla mobilità e dalle botnet di dispositivi mobili ai sistemi documentali il tutto chiaramente nell’ottica del mantenimento della sicurezza informativa.

Anche a seguito di confronti informali e tavole rotonde con ex-colleghi, addetti ai lavori ed i tanti amici relatori e soci clusit sono emersi alcuni fili conduttori in entrambe le giornate: governance, intelligence e commitment.

Anche se i nomi di Sony, di RSA e di Poste Italiane non sono mai stati fatti ufficialmente difatto tutti gli interventi sottolineavano aspetti riconducibili alle tre debacle del momento.

Se da una parte si sente l’esigenza di monitorare con più assiduità e proattività le nuove minacce (cybercrime, APT e Information Leakage) dall’altra sembra che non sempre ci siano dei processi di governance che raccordino e governino nella loro interezza e ramificazioni tutti i processi afferenti la sicurezza informativa in azienda.

Inoltre in molti casi, nonostante il livello d’attenzione riconosciuto come necessario, è stato evidenziato anche un periodo in controtendenza rispetto agli investimenti ed al commitment sulla sicurezza delle informazioni in azienda (cfr. Return On Security Investments, ROSI, pdf v2).

La sensazione diffusa anche “a microfoni spenti” è che siamo di fronte ad un periodo di stasi interlocutoria, di attesa che, chiaramente, non trova analogia nei ritmi di crescita ed affinamento degli attacchi da parte del cybercrime.

Questo sbilanciamento potrebbe creare un gap di contromisure tecnologiche e, soprattutto, organizzative.

Forse, dovremmo rivedere gli investimenti nel settore sicurezza concentrandoli sulla pianificazione strategica e sul governo dei processi perché puntare solamente sugli end-point trasferisce il rischio su un fornitore, su un contratto ma il rischio vero ti resta ancora all’interno, proprio a ridosso del core business dell’azienda.

_____
Clusit

Phishing? Cronaca di una truffa su un conto Bancoposta

giu 23rd, 2010

by ArMyZ.

2 comments

Sono stato invitato ad un convegno sul cyber crime in Consip.

Con me tra i relatori, oltre Matteo Cavallini, esperto di sicurezza, Stefano Chiccarelli e Andrea Monti (gli autori di “Spaghetti Hacker“, documento storico della telematica italiana).

Ho scelto di presentare un case study, un caso reale di un ammanco da un conto bancoposta.

I termini Phishing e Poste Italiane negli ultimi anni sono purtroppo sempre più correlati visti i numerosi tentativi di attacchi che gli utenti si vedono recapitare via mail (e gli attacchi andati a buon fine su siti delle Poste, ndr).

Uno scenario complesso dunque.

La presentazione parte dalla contestualizzazione del fenomeno phishing, dalle sue dinamiche e dagli interessi economici sottesi, dalle sue componenti sociali e tecnologiche per poi sfociare nell’analisi e nelle considerazioni di un caso reale.

Dagli alert alle denunce: il caso di Poste Italiane

Interessanti le riflessioni finali:

ma l’utente è realmente tutelato?

le misure di sicurezza poste in essere dall’istituto sono sufficienti nello scenario bancario italiano del 2010?

P.S.: puoi vedere qui il proof-of-concept del tabnapping (il video era troppo pesante per slideshare)

Attenzione al phishing antiphishing di poste italiane

feb 3rd, 2010

by ArMyZ.

2 comments

Di sicuro non manca l’astuzia. L’ennesimo attacco di phishing ai danni di Poste Italiane ne è la riprova:

Phishing Antiphishing di Poste Italiane

Italiano corretto, testo probabile e pertinente: si attacca la (debole) consapevolezza degli utenti.

Da notare le immagini volutamente bloccate e non scaricate (ho oscurato il destinatario della mail ma è nominativa, non in copia nascosta).

Stralcio delle intestazioni del messaggio di cui sopra:

“…Tue, 2 Feb 2010 18:32:16 +0100 (CET)
Received: from unknown (HELO jcsunlimited.vpscustomer.com) ([64.186.152.124])…”

Nome: jcsunlimited.vpscustomer.com
Address: 64.186.152.124

Attenzione quindi ai falsi antiphishing!

Frode online bancoposta: poste italiane risponde

gen 25th, 2010

by ArMyZ.

17 comments

Un saldo drasticamente basso, il controllo della lista dei movimenti e scatta il panico: le frodi online sono dolorose, fanno male e si ha la sensazione di combattere un nemico invisibile.

Non riconoscendo gli addebiti si punta immediatamente a denunciare l’accaduto alle autorità e ad interpellare la propria banca sull’accaduto.

Vale la pena, a mio avviso, soffermarsi sulla risposta che è stata fornita dall’ufficio reclami di BancoPosta ad un amico, vittima della frode. Impeccabile, trasparente e corretta anche da un punto di vista tecnico. Riassumo e stralcio.

Gentile Cliente,

con riferimento alla sua richiesta d’informazioni riguardante le operazioni online diposte dal conto corrente a Lei intestato, Le facciamo presente che dalle verifiche effettuate dette transazioni risultano eseguite con il corretto inserimento dei codici di accesso segreti per il riconoscimento del titolare.

Leggi “non ci sono errori tecnici o contabili a noi imputabili: le transazioni sono avvenute nel rispetto delle modalità previste“.

Possiamo perciò supporre che i fatti da Lei segnalati siano riconducibili ad un caso di frode informatica. Come Le sarà certamente noto, le modalità mediante le quali può essere realizzato in furto d’identità online può essere vario.

Leggi “Sei in buona fede e credo perfettamente alla tua versione dei fatti. E ti aiuto anche a capire come può essere successo tanto…“.

Può ad esempio accadere che sia lo stesso cliente a digitare inconsapevolmente i propri codici d’accesso in un sito che solo apparentemente risulta essere quello del proprio istituto di credito al quale si è collegato direttamente da un link ricevuto via posta elettronica.

Leggi “Lo sai che non devi MAI accedere alla banca tramite link ricevuti in posta? Lo sai quante mail di phishing del nostro istituto girano giornalmente?“

Può anche verificarsi che sul personal computer non adeguatamente protetto vengano installati all’insaputa dell’utente “programmi spia”, in grado cioè di raccogliere informazioni dal computer e di trasmetterle via rete.

Leggi “Il personal computer è un problema tuo, non della tua banca: dovevi “proteggerti adeguatamente” “

Una volta carpiti i dati personali sono utilizzati fraudolentemente a danno degli ignari utenti. Deve, perciò, essere cura di chi utilizza strumenti informatici adottare tutte le cautele necessarie per garantire la riservatezza dei propri dati.

Chiusura con applauso: in altre parole, è colpa tua quindi Poste non può fare nulla a riguardo.

Per la massima correttezza e trasparenza, nel caso in questione gli ammanchi erano riconducibili a transazioni online che prevedevano, oltre ad utente e password anche l’inserimento di un pin dispositivo. Anche la comunicazione agli utenti è stata chiara e costante, come segnalato anche nella lettera stessa al cliente.

Nella fattispecie, le probabili cause sono entrambe altamente verosimili.

Volendo escludere che sia stato carpito qualche dato di troppo nell’ultimo attacco ai server di posteitaliane, così come ci piace sperare che non sia andato a buon fine uno dei tanti tentativi di phishing ai danni di Poste Italiane e dei suoi clienti, resta altamente probabile la presenza sul personal computer dell’utente di qualche malware e/o rootkit e/o keylogger.

Per una volta mi voglio togliere dai panni di chi i sistemi di sicurezza li disegna e governa e voglio mettermi nei panni dell’utente che si avvicina timidamente al cosiddetto home banking.

Oggettivamente gli interrogativi esistono.
Siamo sicuri che in questo scenario l’istituto di credito abbia messo in campo tutte le possibili accortezze per eliminare, abbattere o semplicemente mitigare a sufficienza il rischio che una frode possa andare a buon fine?
A questo punto, l’ignaro utente truffato come può essere tutelato?
Le associazioni di consumatori possono essere d’aiuto in questi casi?
Non è pensabile dotarsi di una copertura assicurativa per il trasferimento del rischio residuo (come mi risulta succeda in altri istituti di credito)?
Perchè non adottare una notifica diretta dell’imminente transazione (telefono, mail, sms)?
Perchè non dotare i propri clienti di un certificato digitale per il riconoscimento?
Perchè non verificare la presenza a bordo del dispositivo client di un antivirus/malware aggiornato prima di garantire l’accesso alle operazioni online?

Possibile che bastino informative, disclaimer e bacheche per demandare completamente all’utente la verifica della auspicata “adeguata protezione” ?

Forse qualche attenzione in più sull’offerta ai clienti è lecito ipotizzarla.
Riflettere e condividere come sempre mi sembra la strada maestra.

_____
Clusit

Polimi e il phishing “accademico” di poste italiane

nov 3rd, 2009

by ArMyZ.

7 comments

Ennesima ondata di phishing del sito di poste italiane.

Questo il messaggio:

Il messaggio incriminato

Indubbiamente è scritto in un italiano sempre migliore rispetto ai primi rudimentali tentativi di anni fa. Continuano a non capire che la lingua italiana prevede dei caratteri accentati che non riescono a riprodurre probabilmente per via del set di caratteri impiegato.

Quello che lascia perplesso è invece il link che viene realmente raggiunto se l’incauto utente clicca sul collegamento consigliato nel messaggio:

Da notare l'indirizzo nella status bar

Stralcio del sorgente HTML della mail:

Per permetterti di effettuare le tue operazioni online in
<strong>assoluta sicurezza</strong>, BancoPosta ha creato
per te Il servizio SMS che ti permette di tenere sempre sotto
controllo il tuo Conto BancoPosta o la tua Postepay, ovunque
ti trovi. <br /> <br /> Se sei titolare di Conto BancoPosta o
di una carta Postepay e vuoi tenerne sempre sotto controllo
il saldo e l'operativita attraverso il tuo cellulare, puoi attivar
gratuitamente <strong>SIMply, l'innovativo servizio SMS di Poste
Italiane.</strong><br /><strong>Come funziona</strong>
<br>Controllare il tuo saldo, i movimenti del tuo conto BancoPosta
o della tua carta Postepay da oggi e ancora piu facile grazie a
SIMply, il servizio SMS di Poste Italiane che permette di essere
sempre informati circa l'operativita del conto grazie ad un
<strong>sistema di avvisi via SMS.</strong> Il servizio e attivo
tutti i giorni, festivi compresi.<br><strong>Come attivare il
servizio</strong><br> Richiederlo collegandoti al sito
<a href="http://www.isf.polimi.it/poste.php"><strong></strong>
https://www.poste.it/SIMplyBANCOPOSTA/</a>
 </br>

Dal “Chi siamo” di www.isf.polimi.it, Ingegneria Senza Frontiere del Politecnico di Milano:

Ingegneria senza frontiere (ISF-MI) nasce nel 2004 per volontà di alcuni ex studenti di diversa provenienza universitaria (Politecnico di Milano, Università Bocconi e Università degli Studi di Milano), accomunati da importanti esperienze di cooperazione e sviluppo, avvenute in diversi contesti: Università, Associazioni di Volontariato, Organizzazioni Non Governative, Imprese.
Oggi, ISF-MI è un organismo non-profit ed ha avviato le pratiche per il riconoscimento dello stato di ONG: l’associazione fonda le proprie radici nella partnership inter-generazionale costituita da professionisti e giovani di matrice culturale scientifica, impegnati a favorire la realizzazione di uno sviluppo sostenibile.

Per fortuna, il sito per cui l’url http://www.isf.polimi.it/poste.php fa da ponte (e cioè http://www.poste.it.server-pt.in/online/personale.login-home/TYPE=33554433&REALMOID=/index.php ) è già identificata come sito contraffatto.

Sito reale di destinazione: già identificato come contraffatto

Pericoli quindi contenuti per l’utente attento ma viene da chiedersi come mai questi impostori sono liberi di usare impunemente una pagina ospitata su una rete d’eccellenza come quella del Politecnico di Milano.

Come hanno fatto ad inserirla? Come mai nella struttura Polimi non si sono accorti di questo ponte? Da quanto esiste? Se il sito è stato manomesso per inserire questo codice php e non se ne sono accorti, cos’altro non hanno notato?

_____
Clusit

L	M	M	G	V	S	D
« apr
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31

poste italiane

Security Summit 2011: opinioni, riflessioni e tendenze #securitysummit2011

Attenzione al phishing antiphishing di poste italiane

Frode online bancoposta: poste italiane risponde

Polimi e il phishing “accademico” di poste italiane

Gli ultimi post

Gli ultimi commenti

Cerca

Categorie

Archivi

Meta

SETI@Home Stats

Io in rete