lunedì 20 dicembre 2010

Paolo Colombo - 10 idee per la lotta al Cyber Crime

E tre... siamo già arrivati al terzo appuntamento con le "Voci Amiche", ossia i post "esterni" che sono pubblicati sulle pagine di Punto 1. Sono veramente molto contento di ospitare per questo appuntamento un post dell'amico Paolo Colombo che, oltre alle tante iniziative sulla sicurezza che ha portato a termine nella sua attività di consulente, è anche fondatore della Community Italian Security Professional


E ora la parola a Paolo Colombo e alle sue "10 idee per la lotta al Cyber Crime"


"Eccomi qua a scrivere sul blog di Matteo… inutile dire quanto mi senta onorato di aver ricevuto questo invito, anche perché a me tocca il terzo intervento dopo due Guru della security e mantenere alto il livello dell’intervento non è certo cosa facile.

Molti che leggono questo blog già mi conoscono come fondatore della Community Italian Security Professional … Per tutti gli altri, sappiate che sono da sempre principalmente un appassionato di Sicurezza Informatica…

Vorrei sfruttare questo spazio per parlarvi di un tema che reputo centrale per la sicurezza del paese, la produttività delle nostre aziende e la loro capacità di competere sul mercato globale… Tranquilli non ho nessuna intenzione di parlarvi di politica, ma di Cyber Crime & Botnet  e di come, secondo me, questi temi andrebbero affrontati nel nostro paese (dalla politica?).  
Con Italian Security Professional, al Security Summit di Roma, abbiamo provato a dare un’idea di insieme del Cybercrime, provando ad analizzare anche il contesto in cui il cyber crime si può sviluppare come il Blackmarket e il Cyberlaundering.
Provo a sintetizzare per tutti, presenti e non al Summit, i punti di approdo della nostra discussione. 
In linea generale possiamo affermare che:
- la diffusione di malware al fine di creare botnet ha come scopo il guadagno (grazie Paolo se non ci fossi tu…)
- il fenomeno può esistere grazie ad un vero e proprio mercato fatto di canali IRC e forum dedicati alla vendita di ogni genere di informazione/servizio criminale
- il riciclaggio, e in particolare il cyberlaundering, è parte integrante di tutto questo, proprio come per ogni altra attività criminosa

Questo mercato fiorente fa si che i cyber criminali investano sull’efficacia delle loro minacce con veri e propri processi di Quality Assurance sui loro software. Il risultato è che i sistemi di difesa di oggi non sono più sufficienti ad arginare queste minacce. Sono ormai numerosi, ad esempio, i report in circolazione che testimoniano in modo più o meno eclatante, l’inadeguatezza degli antivirus nell’identificazione delle varianti dei bot al momento in cui vengono immessi su internet.
Immagino fino a questo punto di non aver detto molto di nuovo per voi che seguite abitualmente il blog di Matteo. 

Ora, vorrei proporvi un esercizio, che poi è il motivo del mio post, e cioè quello di focalizzare la nostra attenzione su cosa sia possibile fare nell’immediato da un paese come l’Italia per arginare questo tipo di problematica. Com’è nello stile, che condivido, di questo blog questo elenco esprime esclusivamente il mio punto di vista su come si può affrontare l’argomento, siete liberi (o meglio… caldamente invitati) di commentare e integrare la presente lista.

Partiamo dunque:
1. Cybersecurity Policy. Una normativa organica che regolamenti in maniera chiara la tematica. Non sono un legale, ma per darvi un’idea della complessità della materia provate a dare un'occhiata all’assessement eseguito da Melissa Hathaway per gli Stati Uniti
2. Adottare un'organizzazione statale efficace per la protezione delle Infrastrutture Critiche e la lotta al Crimine Informatico. A chi ha detto CNAIPIC consiglio la lettura di questo documento. Per i curiosi a me piace il modello Francese.
3. Istituire un unico CERT nazionale tra le cui attività sarebbe necessario, ad esempio, un monitoraggio attivo dei domini “.it” al fine di identificare eventuali siti compromessi che servono malware (esattamente come da qualche tempo fa il MELANI Svizzero)
4. Istituire un fondo di Venture Capital per la promozione di progetti e tecnologie legati alla Cybersecurity… alla http://www.iqt.org/ avete presente?
5. “Cyberintelligence is the Key”. E’ un mantra che vado ripetendo spesso ultimamente e significa semplicemente che reputo la Cyberintelligence la chiave di volta per combattere in maniera efficace il Cybercrime e le Cyber Threats in genere. Questo perché, essendo le minacce di oggi human-driven, è molto complicato creare un sistema di sicurezza efficiente tanto da riuscire a prevenire o contrastare la maggior parte di queste. La difesa dai Crimini informatici deve dunque essere guidata dall’intelligence per essere effettivamente efficace
6. Adottare nuovi standard come DNSSEC e RPKI. Se è vero che, anche grazie all’ottimo lavoro di Andrea Rigoni con la fondazione GC-SEC, molti di noi stanno iniziando a sentir parlare di DNSSEC è importante secondo me adottare di pari passo anche standard come RPKI per evitare che il traffico internet verso siti legittimi venga “dirottato” verso reti non “volute”
7. Provider di servizi internet, la prima barriera della sicurezza su internet: io opterei per un attivo coinvolgimento dei provider Internet nel ciclo di sicurezza dei propri utenti e clienti. Oltre che un qualcosa di utile alla sicurezza della nazione e dei propri cittadini sarebbe qualcosa di utile al business degli stessi provider
8. Sponsorizzare l’adozione di router broadband con feature di sicurezza integrate.  Se il liet motiv di Bill Gates è stato "un PC in ogni casa", direi che il passo successivo dovrebbe essere un "UTM in ogni casa". Anche in questo caso i provider giocherebbero ovviamente un ruolo fondamentale
9. Promuovere l’adozione di sistemi di sicurezza Reputation Based. Per quanto l’Italia sia uno dei pochi paesi avanzati, ad esempio, a non avere una propria “software house di Antivirus” sarebbe opportuno promuovere l’adozione dei nuovi modelli di antivirus basati su Cloud e Reputation
10. Ultimo ma forse più importante: promuovere un’educazione alla sicurezza informatica fin dalle scuole

...E direi che sarebbe già un buon inizio che ne dite?"

7 commenti:

CRConsultingNet ha detto...

11. Rendere obbligatorio per enti ed aziende adottare un programma continuo di Information Security Awareness da far realizzare a personale qualificato. Gli utenti dovrebbero essere educati ad una maggiore consapevolezza.

Carlo Rossi
CISA, CISM, CGEIT, L.A. ISO IEC 27001

Andrea Zapparoli Manzoni ha detto...

Grazie Paolo e Matteo per gli interessanti spunti, aggiungerei un punto del quale imho troppo poco si parla (forse per poca fiducia nelle istituzioni): occorrono una legislazione nazionale ed internazionale (molto) più severe, ed un enforcement inflessibile delle norme (= pene severe E certezza della pena).

Non solo il "prezzo di accesso" al cybercrime oggi è praticamente nullo, ma anche il rischio connesso con queste attività criminali è estremamente basso, in modo preoccupante. Siamo praticamente al far west, attualmente.

E' necessario innalzare sostanzialmente il rischio per i cattivi, altrimenti tutti i sacrosanti rimedi proposti da Paolo saranno sempre poco efficaci.

Matteo Cavallini ha detto...

Ciao a tutti e grazie davvero per i commenti. Come ormai sapete questo blog nasce proprio con l'idea di condividere i vari punti di vista. Quindi, ogni volta che trovo dei commenti sono particolarmente contento. Grazie ancora.

Veniamo ai commenti
@CRConsultingNet
Ciao Carlo, trovo che l'idea di una collaborazione pubblico/privato su questi temi sia particolarmente intrigante e penso che possa funzionare (in altri paesi funziona). Ho qualche dubbio sull'obbligatorietà, non vorrei che diventasse l'ennesimo obbligo sterile per le aziende che già maldigeriscono quelli su privacy e sicurezza sul lavoro. Forse un approccio più soft, magari sinergico con risorse pubbliche, sarebbe maggiormente funazionale...

@Andrea Zapparoli Manzoni
Ciao Andrea, che piacere risentirti! Sono totalmente d'accordo con te, soprattutto sulla componente internazionale, inoltre aggiungerei che l'attuale condizione di anonimato su Internet rende molto difficile l'individuazione degli autori dei reati. Quindi oltre alla regolamentazione integrata dei reati, probabilmente, sarebbe opportuno affrontare anche questo aspetto. Anche se bisognerà però mantenere fermi alcuni principi a garanzia degli utenti, perché Internet è (e deve rimanere) un grande strumento di libertà.

Saluti a tutti,
Matteo

Cristiano Cafferata ha detto...

Ciao Matteo,
.... il punto 8 è decisamente interessante, soprattutto per un rappresentante di un Vendor di HW di sicurezza ...
Internet DEVE rimanere un canale di ottima comunicazione e condivisione ma tale canale DEVE anche essere gestito nel modo giusto.
Reputation Based analisys sia per Fw che per sistemi mail è una funzione importantissima, condivido.
Mi piacerebbe approfondire.
(ma NON voglio qui nominare brand ...)
A presto e grazie per l'articolo : la cultura sulle strategie difensive non è mai abbastanza !

Matteo Cavallini ha detto...

Ciao Cristiano,
grazie per aver espresso il tuo commento.

Nello specifico, mi associo a Paolo Colombo nel pensare che sia davvero ora che i provider comincino a riflettere sulle opportunità di creare delle condizioni di fornitura che comprendano anche feature e servizi a valore aggiunto di sicurezza.
Questo potrebbe essere un passo fondamentale per la creazione di una rete Internet più sicura e affidabile...

a patto che la ricerca del business sia "responsabile"...

marcello pistilli ha detto...

Carissimi, intervengo nell’interessante commento di carlo per portare il mio modesto contributo. Innanzitutto, come indicato da matteo, già il Garante per la privacy pone al punto19.6. dell’allegato B del D. Lgs. 196/03 - Documento Programmatico sulla Sicurezza (Dps)- la questione della formazione in azienda. Sappiamo che questa è abbastanza disattesa, anche perché non viene sufficientemente analizzata in occasione delle ispezioni da parte degli organi predisposti. Occorrerebbe migliorare l’impatto ispettivo con l’effettiva verifica dell’erogazione, ad esempio con la messa a disposizione del Garante dei risultati di test di analisi comportamentale post formazione.
Inoltre il punto 10 di paolo è secondo me fondamentale, arrivo a dire per la sicurezza dell’infrastruttura informatica del paese Italia. Qui però occorre l’intervento dei politici altrimenti, con la buona volontà dei singoli, si arriverebbe solo a sporadici interventi. Al riguardo mi permetto di suggerire un convegno che prenda in considerazione il punto sulla percezione del rischio informatico sotto vari aspetti (politico, del management aziendale, della dirigenza PA, della scuola, dei singoli cittadini, etc) anche sull’onda emotiva suscitata da wikileaks e della carenza di privacy dei social networks.
Sono altresì convinto che un convegno non risolva la questione, ma certamente solleva l’attenzione.
Ciao marcello

Matteo Cavallini ha detto...

Ciao Marcello, è un piacere vedere un tuo commento su Punto 1!

Sono completamente d'accordo con te sulla valenza della formazione, estesa a tutti i livelli, aziendale, di cittadino e scolastica. Credo però che il requisito minimo per rendere qualsiasi iniziativa efficace passi attraverso l'adozione di una strategia condivisa, ufficialmente adottata da quello strato di decisori politici che attualmente, purtroppo, sono ancora poco attenti (sto imparando a diventare diplomatico... ;-)) )

A livello delle iniziative "dal basso" si distingue un'iniziativa che reputo molto interessante... eccone un estratto dalla newsletter ufficiale del Clusit...

"Il Clusit sta attivando l'iniziativa "Adotta una scuola", che mira a sviluppare un'attività di sensibilizzazione alle problematiche della sicurezza ICT presso le scuole, da parte dei soci. Una volta che l'iniziativa sarà a regime, i soci ci potranno comunicare scuole, presumibilmente della loro area, che sono disposti ad "adottare". A seguito di questa richiesta il Clusit contatterà il preside con una lettera in cui propone l'iniziativa e "accredita" il socio che quindi, se il preside sarà d'accordo, andrà a fare uno o più interventi di sensibilizzazione sul tema della sicurezza ICT presso quella scuola..."

Posta un commento

http://www.wikio.it