Home Articoli Smart Working e Cyber Security nell’emergenza Covid-19, intervista ad Alessandro Vannini

Smart Working e Cyber Security nell’emergenza Covid-19, intervista ad Alessandro Vannini

995

In questo periodo d’emergenza lavorare in Smart Working è diventata un’esigenza, tra aziende che stanno cercando di digitalizzarsi il più possibile, fino alle PA che si stanno adeguando in tal senso. Segnalo l’iniziativa partita dal ‘Ministro per l’Innovazione tecnologica e la Digitalizzazione’ che sta raccogliendo le varie attività di solidarietà promosse da molte organizzazioni e fruibili gratuitamente da cittadini e imprese. Ciò è stato pensato per agevolare il lavoro a distanza, lo studio online e la fruibilità di contenuti in streaming, attività a cui moltissime aziende e associazioni stanno partecipando. Potete consultare l’intero elenco sul seguente sito.

Inoltre il 17 marzo l’AgID, in collaborazione con il Cert-PA, ha emanato anche alcune linee guida standard da seguire per lavorare in modo sicuro da casa, consultabili qui.

Proprio la sicurezza informatica sta diventando ancor di più un tema caldo e di attualità, con molti dipendenti che si sono ritrovati a lavorare in modalità nuove e dapprima sconosciute. Quindi diventa una necessità approfondire le opportune misure di sicurezza per evitare il più possibile la perdita di dati sensibili e attacchi informatici. Un eventuale attaccante potrebbe sfruttare la situazione per colpire una determinata azienda, sfruttando delle vulnerabilità presenti nella sicurezza di un ignaro dipendente. Inoltre, segnalo di fare attenzione alle varie campagne di Phishing sul tema Covid-19 che proprio in questo periodo stanno girando in maniera frequente.

Per aiutare la sensibilizzazione in tal senso, ho voluto intervistare per ANSSAIF l’esperto di sicurezza informatica Alessandro Vannini. Founder di una società di Cyber Security, Sysadmin con esperienza ventennale, pentester e 35 certificazioni ottenute tra Security, Sistemi Operativi e Networking. Attualmente docente su Udemy “and last but not least” moderatore Microsoft (premiato per 6 anni consecutivi con l’MVP Award).

 Ciao Alessandro, innanzitutto grazie per l’intervista. In base alla tua esperienza, quanto ritieni realmente possibile digitalizzare concretamente il lavoro in smart working per le Aziende Italiane e PA? A che punto siamo in Italia?
Con la mia azienda lavoriamo poco con le PA, accadono spesso modifiche in corso e la burocrazia è tanta. Il mio lavoro è orientato nel 99% dei casi su aziende private di dimensioni medio\piccole (fino a 200 clients). Nonostante la piccola dimensione, le aziende che seguiamo noi erano tutte attrezzate per questa emergenza. Chi più e chi meno, avevano firewall che consentivano vpn, computer portatili, accessi limitati ai dati. Lo smart working quindi per loro è stato semplice, hanno solo dovuto imparare a lanciare un client vpn prima di accedere ai loro server. Vedendo però la quantità di thread arrivati sui forum Technet Microsoft che modero, per molti non è stato così. Dipende tantissimo da chi e come ha gestito le strutture, questa variabile è data da una somma di competenza dei syadmin + risorse messe a loro disposizione. Se invece la valutiamo in percentuale direi che guardando i numeri forse un 50% delle aziende era pronto. Per l’altro 50% inizia un calvario sia economico che professionale perché ora operare a livello infrastrutturale è davvero difficoltoso. Come il Backup, lo smart working era quella cosa che andava fatta prima.

• Quali sono i principali rischi a cui va incontro chi lavora in smart working?
E’ semplice rispondere: il rischio è che i pc che si usano, aziendali o personali, possano portare all’interno della rete aziendale virus, trojan e problemi di altra natura.
Le persone che non sono abituate a lavorare da casa o a non essere “sotto controllo” (passatemi il termine), sono molto più soggette a distrarsi, abbassare la produttività e la soglia di attenzione. A mio avviso non siamo ancora pronti, come popolo, a lavorare Smart. E non basterà un mese per abituarci se non l’abbiamo mai fatto. Serviranno anni.

• Tra le varie tecniche di attacco che potrebbe utilizzare un cracker, quali sono a tuo avviso quelle più insidiose per le vittime ignare?
Phishing, Man in the middle ed in alcuni casi Session Hijacking la faranno da padrone, ma il problema maggiore è l’apertura di porte sulle strutture causa mancanza di cognizione di causa o necessità di “fare in fretta”. Solo nella prima settimana di quarantena sono state rilevate dal motore Shodan 30.000 porte RDP in più aperte. Queste 30.000 aziende sono tutte in pericolo. Non è stata una mossa oculata. I pirati prolifereranno e sarà difficile accorgersi del danno. Ma non è una problematica legata al Covid-19 e nemmeno a chi cracca le RDP, c’è un problema di base relativo alla poca accortezza nelle misure preventive.

• Sembrerebbe che ai danni di aziende strutturate le tecniche di Social Engineering siano attualmente quelle più pericolose e utilizzate. Confermi? Ci racconteresti brevemente qualche esperienza?
Il Social Engineering è l’arma più potente ad oggi per entrare in una rete o in un dato. Il momento in cui craccavi una rete di forza bruta è finito da almeno 5 anni. I dispositivi oggi, se ben configurati, bloccano tutto. Le persone sono l’unica cosa che non bloccano, quindi devi agire su quelle. Nella mia esperienza di pentester, le cose che sono contate di più per me, che faccio infrastruttura, quindi cerco in ogni modo di entrare (autorizzato) nell’azienda in cui mi assoldano, sono senza dubbio l’email col gattino col cappello di Babbo Natale inviata alle impiegate (se siamo vicino a Natale) o col coniglietto di Pasqua visto che siamo in periodo. Su 100 mail mandate, almeno 30 vengono aperte ed almeno 15 cliccano sul link, in cui ovviamente all’interno c’è solo un alert del tipo “non dovresti aver cliccato.. perché l’hai fatto?” Basta saper sfruttare le vulnerabilità delle persone. Un altro aneddoto è stato il titolare di un’azienda in cui ero a fare il primo giorno di pentest e casualmente ero capitato mentre erano presenti elettricisti di ENEL che, siccome indosso una maglia arancione fosforescente con la scritta CEH simile al giubbetto degli operai dell’ENEL, mi ha scambiato per uno di loro e mi ha gentilmente accompagnato nel suo ufficio per sistemargli la presa di corrente e se n’è andato lasciandomi lì da solo col notebook sbloccato sulla scrivania. Coincidenze letali. Quando poi sono tornato giù, dopo 1 oretta mi ha guardato, ha sorriso e poi mi ha detto “ma lei non è l’elettricista!!” “ehm no..” ma oramai il danno era già fatto.

• Ad ogni modo che contromisure minime di sicurezza consiglieresti a qualsiasi dipendente che debba lavorare da remoto o in smart working?
Un buon antivirus con un’analisi del comportamento e di mantenere l’attenzione alta ai tentativi di phishing o social engineering, soprattutto con le avvertenze fake sul coronavirus, diritti dei lavoratori, mail bancarie, rimborsi ecc. Sono i rischi attuali maggiori.

• Esulando un po’ dal discorso di cyber security, è notizia recente la richiesta da parte del MID, alle varie organizzazioni interessate, sulla realizzazione di una tecnologia di ‘Contact Tracing’. In sostanza un’app, che dovrà tracciare gli spostamenti dei cittadini come forma di contenimento al Covid-19, che sia tramite gps, celle telefoniche o anche bluetooth. Quanto la ritieni praticabile e sostenibile a livello tecnico come misura?
Insostenibile, totalmente. Con le infrastrutture attuali, dove fino a ieri parlavi di 25-30.000 intercettazioni telefoniche, riuscire a tracciare anche solo a livello GPS 5-10 milioni di dispositivi è impossibile. Come avere spazio sufficiente per loggare poi gli spostamenti. Nel nostro territorio nazionale non abbiamo ancora nemmeno infrastrutture ADSL in alcuni luoghi.

• L’EDPB (European Data Protection Board) ha già dato il suo consenso agli Stati membri per l’uso di dati di localizzazione per mezzo di dispositivi mobili, nel rispetto di alcune condizioni inderogabili. Seppur dettata dall’emergenza, a livello di privacy e libertà individuale, questa tracciabilità la ritieni uno standard da scongiurare o misura necessaria?
Non sono mai stato un “allarmista”, lavorando nel campo è sempre stato chiaro che la privacy non esisteva. Le persone si sentono monitorate e non vogliono, poi ogni 5 minuti postano su Facebook dove sono e cosa stanno mangiando. C’è una percezione molto strana della libertà. La libertà individuale oggi si ottiene solo in un modo: spegni il telefono, il notebook e li lasci sulla scrivania, poi vai dove vuoi. Potete farlo? Potete andare in ferie come si faceva una volta senza essere rintracciati perché non avevate dispositivi? Se la risposta è SI, siete liberi.

• Infine, come sai, Anssaif sta promuovendo dei corsi di introduzione alla Cyber Security gratuiti e fruibili sulla piattaforma di Cisco Networking Academy. Sia per sensibilizzazione che per formazione. Che percorso o consiglio ti sentiresti di dare ad un ‘curioso’ che vorrebbe lavorare nel settore?
Nel nostro mondo e sempre più in futuro serviranno a mio avviso 3 figure essenziali: chi protegge, chi implementa e chi prova a vedere se è tutto a posto. Il percorso base è lo stesso. Reti, una buona parte di sistemi operativi Linux e Microsoft, script dei linguaggi base come powershell e python. Poi da lì ci si specializza a seconda della scelta che si vuole intraprendere. Hanno molta importanza le certificazioni tecniche, ma come traguardo, non come base di partenza.

di Stefano Paravani