Archivi tag: awareness

Tutto ciò che può aiutare a diffondere la consapevolezza delle problematiche e dei rischi legati alla sicurezza informatica.

Le password sono una cosa seria!

Del Harvey è la responsabile della divisione Trust and Safety di Twitter. Dico subito che trovo il nome del gruppo sicurezza di Twitter fantastico. Rende perfettamente l’idea di un team di persone che lavorano per garantire all’utente (e all’azienda) la migliore e più sicura esperienza possibile. E Twitter del resto non è immune da problemi, anzi

Del ha scritto sul suo blog un articolo molto ben realizzato sull’importanza di avere password sicure e su alcuni consigli. Ho chiesto a Del il permesso di usare e tradurre il suo articolo, con la condizione di dire che ovviamente non è una guida esaustiva e che dovete sempre fare riferimento all’articolo originale per eventuali cambiamenti. E che, aggiungerei io, anche se vi sembrano cose dette e ridette fa sempre bene leggerle.

Parliamo quindi di password.

La sicurezza delle password è super-importante! Questo perché gran parte degli account vengono “craccati” anche perché gli utenti mettono password semplici, e magari usano sempre la stessa per un gran numero di account diversi (12345 anyone?). Qui di seguito proviamo ad elencare una piccola lista di consigli e best practice

NON condividete le vostre password con altre persone. Non importa quanto sia sicura una password: se qualcuno la conosce non lo è più. Se due persone usano lo stesso account, che sia di un servizio web o di un computer, è sbagliato. Fate account diversi.

NON usate una parola che si può trovare in un dizionario (e non usate nemmeno una cosa tipo 123456!!). Usare password complesse può voler dire problemi, ok, ma ci sono prodotti come 1Password o LastPass che le gestiranno per voi. Dategli un’occhiata, dovrete solo ricordarvi una password master. Anche il semplice gestore di password di Firefox può aiutarvi in tal senso, magari con Firefox Sync.

NON usate il nome del partner, o di vostro figlio, o del cane. Sono informazioni reperibili in un attimo sui social network, quindi sono password molto a rischio.

NON inserite le credenziali dopo aver cliccato su link sospetti, magari da email. Controllate sempre le fonti, potrebbero essere phishing. Controllate che il sito sia veramente quello, nel dubbio non entrate, ma usate quello che avete già inserito nei bookmark o scrivetelo voi.

NON usate la stessa password per più siti diversi. Lo so, è molto comodo, ma vuol dire che se viene compromessa quella password, rischiate di perdere tutti i vostri account.

RICORDATE che le domande di sicurezza possono essere una vulnerabilità! Se qualcuno sta cercando di entrare nei vostri account, non sarà un problema per lui sapere in che città siete nati o qual è la vostra squadra del cuore. Per una sicurezza extra mentite nelle domande di sicurezza: siete della Roma? Dite che siete laziali! Magari se usate 1Password o LastPass potete segnarvi qual’era la vostra bugia. Se invece avete la possibilità di scrivervi le vostre domande di sicurezza: siate creativi! Con una ricerca ormai si trova tutto.

SAPPIATE che se utilizzate algoritmi per le vostre password, con una parte fissa e una che cambia a seconda del sito, tipo Google123 o Facebook123, non siete propriamente al sicuro. Perché molto spesso se viene compromessa una password, questa verrà usata anche per entrare su altri siti, provando le opportune modifiche (non è poi così difficile). E poi vi chiederete perché non ho usato password diverse?.

SIGH… dopo tutte queste parole state ancora utilizzando la stessa password su più siti vero? Se proprio non vi va di usare una password diversa per ogni sito, almeno provate a differenziare in base al rischio. Usate la stessa password per siti non importanti per voi, una molto più sicura per i siti che vi interessano e password complesse e diverse per i siti fondamentali: banca, email, facebook, ecc. Ricordate che quelli più importanti non sono solo quelli con i vostri soldi, ma anche quelli con la vostra identità.

SUGGERIMENTO: volete un aiuto su una password non presente in un dizionario ma non volete usare un password manager? Provate un testo di una canzone, prendete le prime iniziali di ogni parola e contraete il tutto. Esempio: Acqua azzura, acqua chiara, con le mani posso finalmente bere! può diventare “Aa,ac,clmpfb!” Ricordate che le maiuscole e i segni di interpunzione possono aumentare di molto la sicurezza di una password. E a volte anche gli spazi bianchi aiutano tantissimo!

Tanto per riepilogare il tutto, Twitter da parecchi consigli su quanto detto, vale la pena leggerli. Per il resto, come sempre nella sicurezza, cercate sempre di usare il buonsenso. E se avete dei dubbi, controllate sempre prima di fare qualsiasi cosa, molto spesso i dubbi sono fondati.

Se volete parlarne, sono qui.

Bye!

Phishingn nelle

Spiegare la sicurezza al top mangement

Questo articolo fa parte della serie Spiegare la sicurezza.

Un articolo uscito sull’ultimo numero di (IN)SECURE Magazine, webzine gratuita e interessante, anche se con troppe pubblicità, mi offre lo spunto per parlare delle relazioni con gli alti dirigenti aziendali.

Ho sempre trovato l’argomento di elevato interesse, anche perché è uno dei cardini principali su cui gira l’efficacia delle attività di sicurezza informatica in azienda. La problematica è che molto spesso il cardine si ferma, per tutta una serie di incomprensioni, oppure accelera vorticosamente in seguito a un fortissimo commitment che viene dall’alto (e di questo ne riparlerò meglio in un prossimo post).

L’articolo in questione è Managers are from Mars, information security professionals are from Venus, scritto da Brian Honan. Brian è un esperto di sicurezza irlandese fondatore del primo CERT/CSIRT dell’isola di smeraldo. Avendo a che fare con rappresentanti governativi, immagino l’esperienza di Brian in termini di relazioni tra  strutture operative e dirigenza (e anche io ne so qualcosa). Il suo punto di vista mi sembra quindi sia da considerare.

Un passaggio chiave da cui iniziare è questo:

Senior Management does not care about technology. Their focus is on the core functions of the business to ensure the business survives, meets its goals and also on being accountable to the stakeholders.

Questo punto di vista spesso non è ben compreso da un esperto di sicurezza ICT, anzi è visto come un segno di ignoranza del manager, di scarsa considerazione del valore del proprio lavoro.

In realtà le cose non stanno così, il focus di un C-Level executive resta quello dell’erogazione del business, comunque vada. Questo va compreso da parte di chi si occupa della sicurezza, perché comprendendo questa necessità (non derogabile né modificabile) ci si può porre in modo diverso. Si dovrebbe offrire al top manager un prospetto sullo stato della sicurezza per quel determinato progetto e/o servizio, aiutandolo a capire come possono eventuali problemi influire sull’erogazione del servizio stesso. Nel frattempo, altra cosa fondamentale, bisogna fornire dati che servono al manager a riferire agli stakeholders. Perché, non dobbiamo scordarlo, tutti abbiamo un superiore.

Questo non succede perché spesso i tecnici della sicurezza si basano sul paradigma del “pezzo di ferro”, ovvero: tecnologia tecnologia tecnologia. Scrive sagge parole Honan:

Information security is not all about firewalls, Intrusion Detection Systems, anti-virus software or whatever the latest shiny gadget is. It is also about ensuring the proper policies and procedures are in place and that people are trained and educated properly to understand their role and responsibilities in securing the information they deal with on a daily basis.

Gli alti dirigenti non ne sanno nulla di tecnologia e non ne vogliono (né devono, non è il loro lavoro) saperne. Parlare solo di tecnologia, e costi a essa associata, confonde le acque e crea ostilità da entrambi i fronti. I dirigenti pensano che la sicurezza sia solo un costo e gli esperti di sicurezza tornano in ufficio frustrati, pensando di avere come capi una mandria di imbecilli che non comprendono quanto importante sia il loro lavoro.
Ma il problema è che si stanno semplicemente parlando due lingue diverse.

Ma come facciamo noi che lavoriamo nella sicurezza ICT a portare correttamente il nostro messaggio ai vertici aziendali? Dobbiamo studiare come funziona l’azienda. Dobbiamo capire quali sono le priorità del top management e proporre contributi e soluzioni (procedure, policy, rischi reali). È inutile fornire parole complicate (zero-day, SQL injection, ecc.) ma bisogna parlare di analisi dei rischi, di governance, proporre piani di rientro e fornire numeri e dati verificabili. Questo perché

Management understands and speaks about issues relating to the business in terms of risk. Learning to understand risk and how to present it to the management will enable them to appreciate and better understand what you are trying to achieve.

Loro necessitano di informazioni, numeri, analisi su come ridurre i costi (fa sempre effetto) e di come ottenere un ROI anche sulla sicurezza. La finalità deve essere far comprendere i rischi riguardo l’erogazione del servizio, ed eventuali conseguenze che l’azienda potrebbe subire nel caso insorga un problema di sicurezza. Bisogna essere propositivi, portare all’attenzione dei dirigenti le analisi, i rischi e le contromisure. Ma va fatto tutto prima che succeda qualcosa, non andarsi a lamentare di aver fatto la Cassandra e tutto è andato male.

Perché potreste essere incolpati voi di non aver fatto qualcosa…

Questo vuol dire anche evitare assolutamente di ricorrere al terrorismo (fear, uncertainty and doubt), perché questo può essere sì un modo per ottenere subito ascolto, soprattutto se il dirigente è realmente un imbecille, ma poi, quando si faranno i conti e si scoprirà che era tutta fuffa, chi pagherà non sarà certo il manager…

When the dreaded event you warned the business about never happens you then become the “boy who cried wolf”.

E allora poi, davvero, non vi ascolterà più nessuno…