Roberto Gómez Bolaños as El Chapulín Colorado (Photo credit: Wikipedia)
El comediante mexicano falleció hoy, a los 85 años, según confirmó la cadena de televisión Televisa, para que la trabajó toda su vida.
El “Chespirito“fue un gigante de la comedia y de la televisión, no creo que hay lugar en todo latinoamérica que no pude conocer y amar el “chavo del Ocho” y el “Chapulín colorado” un héroe vestido de rojo que luchaba con su chipote chillón contra los malos a pesar de su poco dominio del miedo. Entre sus trucos para despistar a sus enemigos utilizaba las pastillas de “chiquitolina”, para hacerse pequeño
“Yo quería hacer un héroe un autentico, lo revestí de características más humanas, le gustan las mujeres —porque con Supermán y Batman había la duda—, ofrecí el personaje a muchos actores y todos los rechazaron, pero cuando tuve la oportunidad de actuar, entonces pude hacer El Chapulín Colorado que me abrió las puertas de toda América”,
Yo pude conocer el genio de este hombre gracias a mi esposa que creciò en México, aquí en Europa hay muchos que no saben quien es ese grande actor, y no creo que van a transmitir algo en televisión, tengo todavía un dvd de el Chapulín Colorado, que voy a ver pronto para recordar un genial actor y enseñarlo a mi hija.
Muchas gracias señor Bolaños por las risas y la felicidad que donaste a ese mundo.
Volevo scrivere di questo argomento qualche giorno fa poi, purtroppo, a causa di fattori esterni non ho avuto tempo.
Martedì mi trovavo in attesa in stazione in attesa di prendere un treno, e quale migliore occasione di questa per leggere un po? Mi sono dato allora, errore mio lo ammetto, alla lettura delle notizie e sono incappato in una serie di articoli sui poco lusinghieri record detenuti dal nostro paese.
Come non citare, ad esempio, il “rapporto annuale sulla felicità” del “Sustainable Development Solution Network” che ci pone tra i più infelici del pianeta, e probabilmente dell’universo?
Questo rapporto serve a darci una idea di quale sia il reale tenore di vita in un determinato paese o, se volete, dove si vive meglio.
Si tratta non solo di sterili considerazioni numeriche quali quelle su PIL, debito pubblico, disoccupazione, deindustrializzazione che già ci vedono eccellere in senso negativo tra i paesi industrializzati ma dell’impatto che questi ed altri fattori hanno sulla qualità della vita.
Ovvio i piu felici sembrano essere i soliti noti: Danimarca , Norvegia, Svizzera, Olanda, Svezia e Canada. Sembra che persino l’assenza del sole e del mare possa essere compensata o, se preferite, forse sole e mare non bastano più a determinare la qualità della vita.
Ma per venirci incontro a capire le ragioni di tale percezione ci aiuta una statistica emessa dalla unione europea, che afferma che da soli produciamo metà della corruzione presente in europa, per un costo alla maggior parte di noi di 4 o 5 punti di PIL (60-70 miliardi di euro all’anno). Poi ci stupiamo se i tedeschi no si fidano di noi.
A questo punto verrebbe da chiedersi come mai ciò, una indicazione ci può venire dal Chapman Institute americano e dall’Ipsos-mori inglese i cui dati sono finiti nell’ “The Ignorance index” ove risultiamo, orgoglisamente, primi in classifica.
Ora che tra corruzione, ignoranza, politica ed infelicità vi sia un nesso è tutto da dimostrare, però….
Del resto siamo il paese del mare, del sole e del sorriso, infatti se vediamo le statistiche sulla efficienza energetica delle abitazioni scopriamo di essere ancora una volta buoni ultimi in europa con i nostri 180 kWhm2 in compenso siamo primi in termini di emissioni medie di CO2 da edifici domestici.
Insomma siamo, dati alla mano, poveri, disoccupati, infelici, corrotti, ignoranti e inquiniamo più degli altri, spendendo più di loro per riscaldare le nostre case.
Ultimamente sono stato coinvolto in alcuni casi di attacchi ransomware nei confronti di aziende italiane, e la cosa mi ha preoccupato abbastanza, non tanto per la pericolosità in se dell’attacco ma per la imbarazzante mancanza di implementazione di processi di sicurezza all’interno delle varie realtà aziendali.
Una mancanza di sicurezza che copre non solo gli aspetti meramente tecnici, ma anche quelli procedurali e persino legali.
Una infezione di tipo cryptoloker, kryptowall o simili, infatti, è una buona occasione per testare i meccanismi implementati di difesa, o, purtroppo, la loro totale mancanza.
Generalmente la copertura di sicurezza nelle strutture italiane è demandata a firewall perimetrale ed antivirus. La totale assenza di procedure di sicurezza è testimoniata dalla assenza, di solito, di un manuale operativo sulle procedure di sicurezza informatica, questo persino dove la legge ne faccia esplicita richiesta.
Allora analizziamo cosa succede con un attacco di un “normale” ransomware:
1) una o piu macchine vengono infettate da una qualche versione di malware.
Le ragioni che stanno dietro alla infezione sono molteplici, anche la presenza di un antivirus non garantisce una protezione assoluta, una variante nuova potrebbe essere non rilevabile con le firme virali correnti.
2) dopo essersi installato in una qualche macchina della rete il ransomware si attiva a seguito di un evento
l’evento potrebbe essere un log-in di un utente con sufficienti diritti amministrativi, un comando esterno proveniente da una struttura tipo command and control e via dicendo.
3) il malware inizia a criptare risorse
File, documenti, cartelle e strutture possono essere oggetto della azine, dipende dalla variante. Anche risorse di rete possono essere attaccate tramite, ad esempio, l’accesso a shares o cartelle condivise.
più o meno a questo punto si realizza che è in corso un attacco, e si cerca di porvi rimedio
4) il malware informa l’attaccato che condizione per togliere la cifratura alle risorse attaccate è il pagare una certa cifra con modalità variabili, da un semplice bonifico ad un pagamento tramite metavalute tipo bitcoin.
Questa modalità di funzionamento è nota da tempo, i ransomware sono presenti sul mercato da una decina di anni nelle diverse forme.
A questo punto dal punto di vista dell’attaccato occorrerebbe agire immediatamente cercando di isolare la infezione, limitare i danni, riportare l’operatività della rete alla norma.
ed è qui che si notano le lacune più grosse nelle nostre infrastrutture.
Isolare l’infezione:
Un attacco di questo tipo richiede che venga isolato nel modo più rapido possibile la fonte di infezione. Dal momento che un ransomware può forzare la cifratura di risorse sia locali che di rete, l’individuazione della macchina infetta non è sempre elementare.
La presenza di un IPSIDS, un SIEM o almeno un log collector e di procedure di analisi dei log di sistema sono gli strumenti principe. (assimilabili ai log ci sono anche gli eventi visibili nell’event viewer di microsoft).
Le tracce da cercare sono ovviamente le attività di accesso ai file criptati in termini di chi, dove e quando. cosi vedere chi ha avuto accesso e modifica ad un file criptato può dare indicazione di quale sia la sorgente dell’attacco, ammesso e non concesso che questa sia riferiile ad una sola macchina.
Una volta identificata la macchina occorre isolarla dalla rete, se appartenente ad un dominio Active Directory è anche consigliabile toglierla da tale dominio (questo per distruggere il sid univoco di riconoscimento associato alla macchina che potrebbe essere utilizzato da un eventuale secondo device infetto).
Limitare i danni:
Sul lato della mitigazione dei danni occorre procedere a diverse attività:
1) informare il proprio vendor antivirus dell’avvenuto attacco per chiedere che venga emessa una patch opportuna ed eventualmente un tool di rimozione
2)effettuare denuncia alla polizia postale, in quanto si è stati vittima di un reato informatico specifico previsto dal nostro codice penale e civile.
in funzione delle risposte ai primi 2 punti la parte operativa potrebbe essere diversa da caso a caso. ad esempio sia il vendor che la polizia postale potrebbero richiedere un minimo di attività di tipo forensic per individuare il tipo di infezione, la sorgente dell’attacco e, eventualmente, il responsabile.
3)procedere a procedure di analisi antivirusantimalware su tutta la struttura informatica a seguito della emissione della patch da parte del fornitore di antivirusantimalware.
Questo passaggio è fondamentale, in quanto il rischio di re-infezione o di attivazione di un secondo nodo infetto è elevata. Come detto in precedenza molti Ransomware sono attivati in seguito ad eventi, e quindi potrebbero esserci macchine infette in cui il codice malevolo è semplicemente silente.
4)procedere al restore delle risorse compromesse
questo è un punto abbastanza critico che richiede ancora una volta una certa attenzione, in quanto le stesse risorse provenienti da un restore potrebbero essere infette o portatrici del malware. il restore va fatto quindi inizialmente in un ambiente isolato e sottoposto a verifica da parte della soluzione antivirus aggiornata, e possibilmente anche sottoposto ad un secondo test con un secondo brand antivirus.
Riportare alla operatività le risorse:
Questo dovrebbe essere l’ultimo passo, solo dopo avere eseguito gli step citati in precedenza infatti ha senso ripristinare l’operatività completa, altrimenti si corre il rischio di postporre il problema.
Riportarsi alla oeperatività significa anche ridefinire le procedure operative a seguito dell’analisi dell’incidente per ridurre il rischio che si ripeta
Cosa si rischia:
Come al solito l’approccio reattivo e non proattivo alla sicurezza informatica porta anche a una non chiara visione dei rischi cui si va in contro in caso di simili outbreak.
vi sono almeno 2 fattori da considerare:
1) il danno immediato, legato come minimo alla perdita di operatività e al ripristino dei dati
I costi associati ad un problema di sicurezza sono associati a diverse componenti quali la perdita di dati, i vincoli legislativi, i costi di ripristino, i costi per mancata operatività, i costi di immagine … tutte componenti che dovrebbero far parte delle considerazioni implementative quando si disegna un sistema di sicurezza e quindi portare alla definizione del budget da dedicare alla sicurezza stessa. Considerazioni spesso disattese, ammesso e non concesso che siano state effettuate valutazioni in tal senso in fase di definizione e stesura dei budget.
2) gli eventuali strascichi legali nel caso si sia veicolo di infezione verso terzi.
sopratutto per quello che concerne il secondo punto vige in italia un certo livello di allegra incoscienza, dimenticato che vigendo il concetto di responsabilità oggettiva noi siamo, nei fatti, responsabili di qualsiasi nocumento produciamo con le nostre strutture informatiche a terzi. Il problema è sia penale che civile, e per altro vale la pena di ricordare che i vari regolamenti tecnici specifici che fanno riferimento alla nostra legislazione informatica forniscono un insieme di vincoli MINIMI da rispettare.
Non rispettare tali vincoli minimi ci espone al rischio di procedimenti penali e civili, ma anche quando si rispettino questi parametri minimi il legislatore ha chiaramente espresso il concetto che ancorchè protetti da eventuali procedimenti penali, siamo ancora perseguibili in via civile per danni provocati a terzi dalle nostre strutture informatiche.
L’introduzione dei concetti di idoneità e attualizzazione nella nostra legislazione di settore, infatti, ci obbligano a superare i livelli minimi di protezione indicati.
In altri termini:
la mancanza di un efficiente sistema a protezione di email e web browsing, veicoli principale di infezione e diffusione di codice malevolo, ci espone al rischio di essere considerati, nei fatti, corresponsabili nel caso di procurata infezione a terzi anche se tali soluzioni non sono esplicitamente indicate nei riferimenti tecnici del legislatore, ma considerate nei fatti strumenti consolidati di protezione delle strutture informatiche.
Per quanto queste considerazioni possano sembrare ovvie e banali, la realtà è che spesso le nostre strutture IT si trovano impreparate ed inefficienti persino di fronte a questo tipo di problematiche elementari.
Sono già due giorni che ricevo notifiche di aziende e soggetti colpiti da diverse versioni di Kryptoloker ed altri ransomware.
Malware logo Crystal 128. (Photo credit: Wikipedia)
Evidentemente c’è una recrudescenza di questi attacchi nel nostro paese in questi giorni. Alcune versioni sono rimaste “undetected” anche dai maggiori antivirus che stanno provvedendo a emettere patch specifiche (kudos a Sophos per la rapidità ed efficienza di intervento in un caso da me incontrato).
Per i non addetti al settore, questi malware si installano in macchine ospiti infettate ed iniziano a procedere alla encryption di documenti, files e cartelle.
Se la macchina ha accesso a share remoti anche questi possono essere criptati. Per poter procedere poi al ripristino delle risorse spesso viene richiesto un “riscatto” da qui il termine ramsonware, solitamente via wiretransfert (bonifico) o monete virtuali come bitcoin.
Nel caso siate stati soggetto di attacco vi suggerisco di agire rapidamente:
1) isolate la macchina infetta dalla rete, se in ambiente AD toglietela anche dal dominio
2) informate i vostro vendor antivirus dell’avvenuto attacco, nel caso l’antivirus non abbia ancora identificato il malware, in modo che il vendor possa produrre “al volo” una patch e vi possa fornire eventuali strumenti di rimozione
3) denunziate la cosa alla Polizia Postale, unico metodo per cercare di risalire alla sorgente dell’attacco.
per verificare quale macchina sia infetta, in caso di attacco in rete potete verificare dai log di accesso ai files chi ha effettuato la ultima modifica.
Anche in caso di ripristino dei dati da backup precedenti procedete comunque ad una scansione del vostro ambiente sia con l’antivirus che utilizzate che, possibilmente, con un secondo brand.
Chiavette USB, mailservers e archivi PST sono i principali veicoli di rischio e quindi necessitano una attenzione particolare, se la macchina infettata appartiene ad un utente specifico procedete anche alla scansione antivirus delle ultime email ricevute (il problema potrebbe risiedere in un attachment ma anche in un external link) e nel caso acceda a cloud storages tipo dropbox o google drive forzate la scansione antivirus anche a quei contenuti.
Tutti abbiamo visto le meraviglie del 4G nelle pubblicità, velocità stratosferiche…. (insomma)
Ma qualcuno lo sta usando? Intendo riesce ad usarlo al di fuori di Milano? Per il 4G occorrono 2 elementi base: COPERTURA e UN DEVICE COMPATIBILE.
Sul secondo elemento, basta verificare le caratteristiche del vostro telefono o tablet. Il fatto che sia 3G non comporta il fatto che vada in 4G. I nuovi telefonini lo sono quasi tutti, ma già se lo avete comprato un anno fa potreste aver preso uno non compatibile con lo standard in questione.
Sul primo elemento devo confessare tutto il mio disappunto. Abito in provincia di Pavia, apparentemente capitale de digital divide italiano. E qui avere copertura 3G è gia difficile, e non di rado finisci in hedge senza neanche rendertene conto, a parte forse per batteria e conto telefonico. Fuori da milano, nell’interland le aree di copertura sono a macchia di leopardo. Da un rapido check con amici e colleghi sembra non ci siano sostanziali differenze tra vodafone telecom italia ancora una volta mi viene da chiedere quale sia il reale stato di copertura dei servizi millantati.
Le statistiche ufficiali riportano sempre le famose coperture del tipo 80% del territorio, 90% della popolazione….allora come mai ol ki trovo sempre nella parte sbagliata del paese?
Cancellata la pena di 18 anni per il magnate svizzero Stephan Schmidheiny, accusato di disastro ambientale, che dice: “Nel processo diritti violati, a Torino teoria del complotto”. Ma il pm Guariniello rilancia: “Non è un’assoluzione, adesso apriamo il capitolo omicidi”. In fumo tutte le provvisionali I familiari delle vittime in Aula gridano: “Vergogna”. Chiamparino: “Profonda indignazione”
Voglio andare controcorrente, la sentenza non mi scandalizza, al contrario la trovo coerente col disastrato impianto generale della giustizia in Italia.
Disastro ambientale, una accusa che meriterebbe un giudizio invero assai più rapido di quello che abbiamo avuto.
Lo scandalo è nel fatto che questa vicenda si trascina dal 1986 (siamo alla fine del 2014, parliamo di 28 anni) e il problema non è di mero abbruttimento di una zona, ma di contaminazione con una sostanza altamente cancerogena che, ad oggi, ha provocato solo a casale monferrato 1830 morti, per un totale di oltre 3000 nel nostro paese.
Non ho letto il dispositivo della sentenza, ne credo che lo leggerò, ma se le motivazioni date dalla cassazione sono legate, come sembra, al termine dei termini di prescrizione si tratta della ennesima sconfitta del nostro sistema giudiziario.
Personalmente trovo più corretto in questi casi dividere la attività giudiziaria in 2 tronconi: il disastro ambientale da un lato, e la strage dall’altro, perchè 3000 vittime non possono essere non considerate strage.
Ma trovo francamente ridicolo che nel 2014 si inizi a parlare di possibile causa per omicidio, non perchè non si debba fare, ma perchè andava fatto molto prima.
Ancora una volta non ci saranno colpevoli, ma solo vittime ( persino Stephan Schmidheiny si atteggia a vittima di un sistema giudiziario che lo ha, in realtà, salvato grazie alle sue inefficienze), ancora una volta non ci saranno responsabili ne dal punto di vista etico ne da quello morale, perchè i dirigenti legati alla vicenda eternit non credo si sentano in alcun modo responsabili, e Schmidheiny ha chiaramente espresso il suo pensiero in tal senso. Anzi secondo lui un risarcimento andrebbe dato alla sua società vittima di accanimento giudiziario.
Casale è una deliziosa cittadina, la conosco, mia figlia ci andava a studiare danza, una deliziosa cittadina che non ha finito di pagare il suo tributo di morti per questa vicenda, una vicenda che non ha visto ad oggi una degna conclusione ma solo il fomentare per l’ennesima volta dolore e costernazione di fronte ad un sistema Italia che continua a cadere a pezzi di fronte ai nostri occhi.
E non si tratta di rivedere i termini di prescrizione, si tratta del fatto che non si possono costringere delle persone ad aspettare 28 anni per avere una parvenza di giustizia per poi sentirsi dire: abbiamo scherzato, è passato troppo tempo e quindi non possiamo giudicare.
28 anni sono la vera cifra di questa vergogna, e anche se cosi non sarà, vorrei che nella sentenza della cassazione fosse spiegato perchè e per colpa di chi ci sono voluti 28 anni per arrivare ad un nulla di fatto, mentre la gente continua a morire.
In the previous post ()we learned that when planning a security budget we have to deal with hidden costs, assets, process and a good quote of dealing with higher management. The goal is to reach at least the mTCoS as i called it.
Now the problem I pointed out is that in order to define this target value we have to asset risks and rank them to be able to make choices.
This is a quite interesting topic per se, since it is still object of studies. I have seen several models to address the question, all have pro and vs, but basically are based on empirical experience, so the results are quite variable from author to author.
My personal experience on the field does not help me in the sense I have seen quite different approaches to the question, and a very little structured approach. The result was security implementation divided into compartments and a few coördination, even in big companies with cso and soc and the other things.
When we analyze a business process, we start defining the steps of the process, and the goals and the requirements. A similar approach is used in defining the security risks.
But while the business process is driven by our needs and interacts with the external world , security is driven by external drivers that are almost unpredictable, that interacts with our process.
Nevertheless we can make some assumptions using the thousands of reports and statistics that are available on the market on threats and risks. If we start to consider what those reports tell us we can make some interesting discovery.
What are the most common threats registered on the wild? Do not be surprised if in the first top we find sql injections, social engineering, credential hacks, phishing. The oldest techniques are still largely effective because the lack of a correct analysis of security risks that affects too many implementations.
It is incredible that till nowadays there are so poor security implementations, but the statistics tell us exactly this. Key basic features like strong authentication, encryption, log management are far to be widely implemented. And the same things happen when we talk about flow data control: categorization and standardization are implemented just when there are compliance requirements to local laws or mandatory standards.
This is not just related to the network realm, software suffers of even greatest security gaps than networks. A few is changed since when i was trying to explain that using security com+ methods was a requirement to anyone developing in widows environment. A few is changed in the .Net era, even if the security tools have expanded their realm.
Managing authentication, encryption of communications, data stored encryption, role and privilege definition inside software are widely not enough implemented.
Just as an example consider the just recent wide implementation of https, two factor authentication and a few set of other security options in widely used software like webmail or social networks.
After the Snowden affair we discovered that our data can be accessed and exposed by a wide large quantity of people, governments, criminal groups but still when we design security we start thinking just about firewall rules and a few other things.
The point is not if palo alto or fireeye are good products or not, and indeed they are terrific products if inserted in the correct security contexts, but if my security design needs those technologies, at what stage, with which prerequisites and how I have to manage and integrate them.
Dealing with APT without a SIEM as an example is just a sterile exercise and a waste of money, but worrying for APT without having a sound security implementation of authentication procedures, user training and a good response team is just as childish as dreaming to be a world’s champion without training and hard work.
A good security design requires a deep understanding of the processes that have to be securitized, a collection of potential point of failures related to the various aspect of the process, and an honest analysis of the requirements.
Legal constrains, environmental ones, technicalities and of course, economics have to be all taken into account. And sometimes would be more effective to warn that if a minimum level of requirements are not implemented other implementations are just useless as keeping the windows open while closing the door.
“Yo quería hacer un héroe un autentico, lo revestí de características más humanas, le gustan las mujeres —porque con Supermán y Batman había la duda—, ofrecí el personaje a muchos actores y todos los rechazaron, pero cuando tuve la oportunidad de actuar, entonces pude hacer El Chapulín Colorado que me abrió las puertas de toda América”,
Yo pude conocer el genio de este hombre gracias a mi esposa que creciò en México, aquí en Europa hay muchos que no saben quien es ese grande actor, y no creo que van a transmitir algo en televisión, tengo todavía un dvd de el Chapulín Colorado, que voy a ver pronto para recordar un genial actor y enseñarlo a mi hija.
