Una delle più diffuse minacce della sicurezza informatica è il cosidetto attacco “man in the middle” (spesso abbreviato in MITM, MIM, MIM attack o MITMA, in italiano “uomo nel mezzo”) consistente in un attacco informatico attraverso una interposizione dell’uomo in mezzo, protesa ad intercettare o alterare la comunicazione tra due parti inconsapevoli. Molto frequente è l’attacco attraverso la rete wi-fi, specie quelle pubbliche. Altrettanto invasivo è l’attacco a reti wi-fi domestiche, molto spesso attraverso vulnerabilità del router (banalmente password di default). L’eterogeneità delle connessioni fra devices rende l’attacco particolarmente diffuso anche tra i dispositivi mobili al fine di intercettarne (sniffare) tutto il traffico sms alla ricerca per esempio di codici di autenticazione. Altrettanto diffuso con la stessa tecnica è il malware trojan, che si interpone tra un utente ed il browser per alterare fraudolentemente ad esempio le transazioni finanziarie online.
Ne parliamo con Giorgio Perego, responsabile dei progetti ICT locali per le tre divisioni di vendita della multinazionale tedesca B. Braun
Può spiegare ai nostri lettori la natura e tipologia di attacco e quali sono le misure di mitigazione suggerite?
“Questo tipo di attacco avviene all’intero di una rete, wireless o wlan. La procedura di attacco prevede che il malintenzionato si metta in mezzo tra due utenti e il router (man in the middle) alterando segretamente le comunicazioni tra due parti che credono di comunicare direttamente tra di loro. La gente sottovaluta i pericoli di una rete controllata da qualcun altro, soprattutto se parliamo di reti come quelle dei fast food, co-working aeroporti, hotel, dove l’attaccante potrebbe essere la persona seduta accanto a te che sta bevendo la sua tisana. E’ sempre bene controllare le impostazioni del client di posta del proprio telefono o tablet. Su diversi dispositivi il client email non ha abilitato il TLS di default. Questo significa che le credenziali di accesso ai server SMTP e IMAP vengono inviate in chiaro sulla rete. Collegandoci a quanto detto prima, qualsiasi “malintenzionato” sulla rete può carpire tali credenziali ed usarle per i suoi scopi. Questi tipi di tools sono facilmente reperibili dal web. Inoltre, utilizzando Kali (una distro di Linux), alcuni tools sono già preinstallati. E’ comunque buona prassi tenere aggiornato il proprio sistema operativo e verificare sempre l’url del vostro browser. E’ sempre consigliabile: – non usare punti d’accesso wi-fi non cifrati, oppure liberi, per effettuare transazioni sensibili; – di curarsi dell’aggiornamento dell’antivirus e del sistema operativo; – modificare la password del router wi-fi domestico utilizzando una password personalizzata forte; – controllare che l’URL dei siti web a cui ci si connette inizi con HTTPS (connessione cifrata)”.
La valutazione del rischio
Il risk assessment nella valutazione del rischio per la sicurezza informatica nell’ambito di una policy di information security governance, è un processo di identificazione, analisi e valutazione dei rischi e dei potenziali impatti, preordinato per mettere in campo controlli di sicurezza informatica che risultino adeguati agli obiettivi di business dell’organizzazione ed entro la soglia di rischio residuo considerato accettabile dal senior management.
La valutazione del rischio è dunque una delle prime attività con cui è chiamato a misurarsi un information security manager al fine di individuare le minacce, la loro probabilità e frequenza e i potenziali impatti sull’organizzazione. La valutazione del rischio per la sicurezza informatica identifica e classifica le varie risorse informative (asset) che potrebbero essere esposte ad un attacco informatico (hardware, sistemi, devices, proprietà intellettuale, patrimonio informativo), ne individua il valore (anche di rimpiazzo) e identifica quindi i vari rischi che potrebbero influire su tali asset. La metodologia dell’assessment prevede una stima (asset classification) e una valutazione del rischio a cui segue una selezione delle misure di mitigazione messe in campo per trattare le minacce identificate.
È chiaro che le minacce sono in continua e progressiva evoluzione ed anche gli scenari di rischio mutano velocemente. É per questo che è importante monitorare e rivedere costantemente il landscape per rilevare eventuali cambiamenti nel contesto dell’organizzazione mantenendo una supervisione dell’intero sistema di gestione dei rischi, attraverso l’aggiornamento periodico del risk assessment.
Il risk assessment nell’ambito di una policy di information security governance ha pertanto l’obiettivo strategico di stabilire e mantenere determinati criteri di rischio per la sicurezza delle informazioni, garantendo all’organizzazione la confidenzialità, integrità e disponibilità delle informazioni nell’ambito del sistema di gestione della sicurezza delle informazioni. Il risk assessment, inoltre, è un processo molto complesso ed articolato che richiede una pianificazione meticolosa, conoscenze specialistiche ed il coinvolgimento di tutti i data e process owners per coprire adeguatamente tutti i rischi relativi a persone, processi e tecnologia.