fbpx

cyber security

  • Altro allarme cyber security stile wannacry...

    Altro giro altra corsa sull'ottovolante della cyber insicurezza, per la serie continuiamo a rincorrere i problemi e non ad affrontarli strutturalmente vediamo quanti danni farà l'ennesimo ramsoware stile wannacry....
     
     
     
     
  • Coffee cApp, Insecurity by default & by design?

    coffeecapp
    Coffee cApp, un'App............

    ...insecurity by default & by design

     

     

     

    Prendere il caffè con una App è chiaramente molto comodo: non hai bisogno di spiccioli, non hai il problema di perdere la chiavetta e se finisce il credito ricarichi rapidamente magari con Paypall Nell'usare una di queste App, Coffe cApp, salta subito agli occhi che, come qualche anno fa, bisogna registrarsi e non è possibile utilizzare la propria utenza Google o Facebook.
    Usare le api di autenticazione di Google, Facebook etc... può non piacere ad alcuni programmatori e agli integralisti della privacy ma certamente ci aspettiamo che queste API siano abbastanza sicure.
    Implementare un procedimento di registrazione non è complesso ma si rischia di scivolare su delle bucce di banana. Proprio riguardo a quest'App abbiamo trovato un articolo molto interessante.
    https://medium.com/@fs0c131y/nothing-is-safe-in-a-hacker-conference-not-even-the-coffee-machine-8501bf14f41a. Dall'articolo risulta chiaramente che username e password passano in chiaro, no hash di nessun tipo, che è possibile fare brute force e gussing sul PIN, insomma quanto di peggio si possa immaginare dal punto di vista della sicurezza. L'autore non lo ha scritto ma personalmente sono convinto che sia abbastanza agevole dire alla macchinetta del caffè che mi merito un caffè grautito....occhio la stessa App viene usata anche per i distributori di merendine, certamente più costose del caffè:-)

    il rischio non è solo per l'esercente che potrebbe vedere vuoti i distributori senza incassare un euro, e già questo sarebbe grave, ma c'è un rischio alto anche per l'utenza di questi distributori automatici, senza adeguati meccanismi di protezione e salvaguardia delle credenziali ignoti potrebbero consumare caffè e bibite a nostre spese... e questo per la reputation di quest'azienda sarebbe ben peggiore del primo rischio.

    A oltre un anno dall'entrata in vigore del GDPR siamo all'assurdo di dover constatare l'applicazione del principio Insecurity By Default & by Design, c'è ancora molta strada da fare, nel 2019 non si può vedere passare le password in chiaro, mancano le basi e la sensibilità ai temi della sicurezza dei dati.

    Bheè viene da domandarsi se è stato fatto almento effettuato un test di sicurezza, un vulnerability assessment o un penetratin test, prima di mettere in produzione una tale infrastruttura

     

    in ogni caso se state per portare in produzione un'App o un altra soluzione tecnogica consultatici per una verifica di sicurezza: verifica codice sicuro, web application test, IP Penetration test

     

  • Cyber Security

    Consulenza e servizi cyber security

    Il dott. Alessandro Fiorenzi si occupa attivamente di sicurezza informatica dalla fine degli anni 90.

    Lo studio ha maturato una significativa esperienza nella gestione delle problematiche di tipo cyber security sia in abito bancario che industriale, attraverso competenze di livello enterprise per la gestione e mitigazione dei rischi IT

    La nostra consulenza è rivolta principalmente ai seguenti ambiti della cyber security

    • Security Management
    • Risk Management
    • Incident Handling & Response
    • Security Monitoring
    • Log Management & SIEM
    • Vulnerability Assessment & Penetration Test
    • Business Continuity & Disaster Recovery
    • IT Compliance (ISO27001, PCI-DSS, Sarban Oxley etc..)

    Spesso è consigliare approcciare la tematica della Cyber Security con un intervento di due diligence che permetta di acquisire una istantanea dello stato della sicurezza di dati  e sistemi, al fine di definire un target e poter avviare le procedure di remediation

    contattci      preventivio
  • Dott. Alessandro Fiorenzi

    Via Daniele Manin, 50
  • Forensics Readiness

    Consulenza e progettazione soluzioni di Forensics Readiness

    Forensics Readiness si applica a un contesto aziendale e significa avere un appropriato livello preparazione a poter preservare, raccogliere, proteggere e analizzare le digital evidence così che queste evidenze possono essere effettivamente usate: in qualunque contesto legale, nelle investigazioni digitali in provvedimenti disciplinari, in un contenzioso giuslavoristico in tribunale o in giudizio.

    Un'indagine di tipo Digital Forensics è comunemente avviata come una risposta, ex post, a un grave incidente di sicurezza informatica; si tratta di una scelta che presenta costi e complessità alte.
    Un'Azienda potrebbe risultare più competitiva organizzando ex-ante i propri strumenti, processi e procedure anche in funzione di della gestione di un incidente informatico e della raccolta e conservazione delle prove digitali e svolgere tempestivamente una indagine informatica e relativa perizia informatica forense

    Forensics Readiness è quindi la capacità di un'Azienda o Ente di massimizzare il suo potenziale di utilizzare prove digitali riducendo al minimo i costi di un'indagine.

    Forensics Readiness è un servizio con cui insieme a voi decidiamo il livello di "readiness" che vuole raggiungere, progettiamo e implementiamo le soluzione tecnologiche necessarie e scriviamo insieme a voi le policy di Forensics Readiness

    Alcuni punti che una Policy di Forensics Rediness dovrebbe considerare:
     
    - Raccogliere prove ammissibili legalmente e senza interferire con i processi di business
    - Raccogliere le prove scegliendo i target più potenziali e le controversie che potrebbero avere un forte impatto organizzativo e reputazionale
    - Consentire un'indagine dai costi proporzionati all'incidente
    - Ridurre al minimo l'interruzione del business per fini investigativi
    - Garantire che le prove possano essere accettate senza riserve in qualsiasi azione legale, al fine di garantire la prosecuzione di tutte le altre attività di business

     Un approccio forensics readiness permette di raccogliere costantemente con metodlogia forense le fonti di prova, in caso di danneggiamento, data brech, il consulente informatico forense può intervenire tempestivamente anche da remoto e collezionare tutti i dati necessari all'analisi forense e alla stesura di una perizia informatica forense che verrà usata per denuncia contro aggressori, per la notifica al Garante - GDPR, o per la notifica all'assicurazione se si è fatta la polizia rischio cyber.

     

     

    contattci      preventivio
  • in crescita le vulnerabilità dei prodotti IT

    Cyber Security & Forensics Readiness per gestire rischi e incidenti

    bugs.jpg

     

     

     

     

     

     

     

     

     

     

     



      

    Verrebbe da dire "Chi è senza bug scagli la prima pietra"  vedendo questa slide di vulnerabilità per vendor.

    Il time to market, la disponibilità di tool per il pentet e una community moldo ampia fa si che il numero di vulnerabilità scoperte sia in continua crescita, non c'è prodotto, non c'è brand che non abbia avuto problemi di sicurezza. 

    Con questa crescita non si può pensare di affrontare questo problema con gli strumenti tradizionali, che certo non devono essere rimossi,.Il patching di sistemi e applicazioni è importantissimo e determinante dovrebbe essere  più tempestivo di quanto non lo sia già ma non è sufficiente a stare sicuri, orma non c'àè azienda che cosciente o meno, non abbia subito un data breach, allora come fare?

    la risposta è in una parola "readiness", readiness in cyber security e readiness in incident response & digital forensics. 

    Readiness significa farsi trovare pronti, ovvero adottare tutte quelle soluzioni tecnologiche, organizzative e umane che permettano di ridurre il rischio in ambito cyber e in ambito incident response permettano di ricostrure con assoluta certezza, forensically sound,  modalità, responsabilità e tempistiche di un incidente informatico che si tratti di un sabotaggio, di un acesso abusivo o un di data breach.

    Spesso le aziende che non si occupano di informatica non hanno a disposizione il personale per gesetire questa complessità, in questi casi è importante non trascurare qeuesto aspetto e magari trasferirne la gestione e complessità ad un outsourcer dotato di strumenti e competenze per garantire servizi di alto livello. 

    Readiness, ovvero facciamoci trovare pronti! 

  • IoT: too much trust in devices! Domani potrebbe succedere a te...

    La tecnologia ci sta coccolando e chiaramente questo ci piace e così ci riempiamo di dispositivi che in una qualche maniere pensiamo ci possano essere utili, possano assecondare e migliorare la quotidianità e la qualità della vita, e anche renderci più alla moda, più trendy più fighi.

    Così, a casa, a lavoro, in macchina, per la strada, ci circondiamo di "apparecchi" tutti o quasi plug & play, di ogni genere a partire da smart watch, smart tv, frigo intelligenti, sistemi di video sorveglianza connessi e contrattabili dall'App del telefono, fino ad arrivare a sistemi di allarme collegati ad Internet, o impianti di climatizzazione che possiamo gestire da remoto. chi l'avrebbe detto solo 5 anni fa che saremmo arrivati a questi punti... ed è solo l'inizio.
    Stiamo creando un mondo fighissimo che dovrebbe, almeno nelle intenzioni, migliorare la qualità dalla vita di ognuno, qualcuno addirittura sta già pensando al robot domestico, non il puli-pavimenti che conosciamo oggi, ma un vero robot, che quando non ci sei in casa o mentre dormi, spazza, lava, pulisce i vetri, e ti prepara il pranzo, cena, colazione... . Naturalmente sarà connesso e coordinerà tutti i dispositivi demotici del suo padrone per migliorargli la vita... ma a che costo? oggi ci stiamo circondando di tutti questi dispositivi fidandoci ciecamente del fatto che non potranno nuocerci mai...., del resto come potrebbe nuocerci il frigo? o l'impianti di climatizzazione? o l'apertura elettrica della serratura del portone di casa o delle imposte?
    o la smart tv?... "loro" possono diventare gli occhi, gli orecchi, le braccia di chiunque sia motivato a impossessarsi di casa nostra. Attraverso questi innocui gioielli di tecnologia avventori motivati possono vedere, ascoltare, intervenire nella nostra vita controllare quello che facciamo, decidere dove dobbiamo stare cosa possiamo fare. qualcuno sicuramente pensa che stia esagerando... bhè allora guardatevi questo video....


    Questo video della F-Secure, più di molti altri che ho visto, fa prendere coscienza dei rischi; certo c'è della fiction nel modo di esporre la questione e nella gestione dei tempi, è chiaro non potrebbe essere diverso; ma i rischi sono reali, concreti già oggi. Se avete qualche dubbio pensate all'ultimo leak di wikileaks su CIA e Smartphone e Samrt tv. Quel leak è la dimostrazione di come già qualche anno fa fosse possibile ascoltare, vedere cosa accadeva oltre il telefono, oltre la smart tv.

    Approcciamo la tecnologica con un assoluto senso di fiducia, i social ne sono la prima grande dimostrazione, ormai la gente ci mette tutto senza alcun limite di pudore. Invece dovremmo essere più attenti ad un uso consapevole dei nuovi strumenti che la tecnologia ci mette a disposizione.
    Il fatto che siano facili da usare e che spesso siano anche oggetti di design, non significa che siano altrettanto sicuri. In un futuro molto prossimo dovremo iniziare a pensare alle nostre case, alle nostre automobili, ai nostri dispositivi connessi ad Internet come ad aree da protegge con Firewall e IPS, come se fossero un'azienda. A meno che non vogliamo lasciare che qualcuno si faccia i fatti nostri e poi, un giorno come minimo ci ricatti o ci imprigioni nella nostra smart car o nella smart-home.

    E' necessario promuovere un IoT consapevole sia lato utente che produttore, dovrà nascere un nuovo modo di pensare all'Internet di casa, con dispositivi di protezione della rete, con servizi di monitoraggio e protezione remota della nostra privacy, che proteggeranno la nostra rete casa da attacchi e accessi non autorizzati, perché la smart tv non deve essere raggiungibile e controllabile da Internet, è lei che va in Internet a prelevare i contenuti, le imposte dovranno essere pilotate dall'App solo dopo che si è autenticata sulla nostra vpn casalinga, la serratura del portone principale: non deve essere raggiungibile controllabile da Internet.

    Essere critici non vuol dire aver paura del futuro, vuol dire volere un futuro consapevole.

  • La Soluzione ai problemi informatici e legali: Perizie e Indagini Informatiche Forensi

    Studio Fiorenzi è CTU e Perito per l'Autorità Giudiziaria, e il partner e CTP di Aziende, Agenzie Investigative e Studi Legali per Perizie e Indagini Informatiche Forensi, Cyber Security e Compliance Aziendale. Aiutiamo i nostri clienti a proteggere e tutelare il loro Futuro con soluzioni di cyber security, perizie informatiche forensi civili, penali e stragiudiziale, gestione degli incidenti informatici e data breach, e attraverso l'adeguamento tecnico e organizzativo alla compliance.  Il vostro futuro, la vostra serenità è il nostro presente.

© Copyright Studio Fiorenzi P.IVA 06170660481 Via Daniele Manin, 50 Sesto Fiorentino

Questo sito utilizza i cookie per offrire una migliore esperienza di navigazione. Cliccando OK puoi continuare la navigazione e questo messaggio non ti verrà più mostrato. Se invece vuoi disabilitare i cookie puoi farlo dal tuo browser. Per maggiori informazioni puoi accedere alla nostra cookie policy.