Visualizza - Associazione Italiana Esperti in Infrastrutture Critiche
Transcript
Visualizza - Associazione Italiana Esperti in Infrastrutture Critiche
AIIC Università di Roma Tor Vergata Dipartimento di Informatica Sistemi e Produzione via del Politecnico 1 00133 Roma C.F. 97432230585 www.infrastrutturecritiche.it [email protected] N Neew wss--LLeetttteerr nn.. 1100//22001100 ((oottttoobbrree 22001100)) Carissimi, come sapete si sta dando giustamente grande rilievo internazionale alla presenza del virus Stuxnet nei sistemi di controllo industriali forniti da Siemens. A prescindere dalla polarizzazione della presenza del virus solo in alcuni Paesi, ritengo interessante osservare l’enfasi che è stata data per l’adozione di semplici misure di sicurezza come evitare l’uso delle chiavette USB nei sistemi industriali, o la verifica dell’accesso a tali sistemi da parte di personale addestrato al rispetto della sicurezza informatica. Sono misure preventive che dovrebbero essere alla base di ogni strategia sulla sicurezza per la quale sappiamo le aziende investono ingenti capitali per soluzioni, architetture ed apparati imponenti le cui aspettative sono ridimensionate da piccole disattenzioni, come appare chiaro a tutti. Su questo argomento, l’AIIC ha prontamente organizzato per il 12 ottobre un Convegno ospitato dall’ENEA in cui saranno presentate l’esperienze degli esperti di cyber security e raccolte le opinioni degli utenti dei sistemi. I risultati delle discussioni saranno successivamente divulgati ai Soci. Buona lettura Prof. Salvatore Tucci (Presidente AIIC) Newsletter Ottobre 2010 pag. 1 La AIIC è una associazione apolitica il cui scopo è promuovere attività e conoscenze nell’ambito delle infrastrutture critiche, della loro gestione, protezione e sicurezza. Per maggiori informazioni sull’Associazione inviare una mail a [email protected], o visitate il sito www.InfrastruttureCritiche.it ATTENZIONE Per ricevere questa newsletter è necessario inviare una mail vuota all’indirizzo [email protected] L’iscrizione alla newsletter NON comporta alcun onere e non è richiesta la comunicazione di alcun dato personale ad eccezione dell’indirizzo di posta elettronica. Newsletter ottobre 2010 pag. 2 IInnffoorrm maazziioonnii ddii ccaarraatttteerree ggeenneerraallee Body Scanner accantonati in attesa della fine della sperimentazione -23/09/2010 L’Enac in una Nota, in merito alle notizie sui “body scanner”, precisa che “i 2 milioni messi a disposizione dall'Ente da un proprio avanzo di bilancio sono accantonati in attesa della fine della sperimentazione”. Come da programma, e come già ripetutamente comunicato, la somma verrà utilizzata a sperimentazione conclusa per l'eventuale acquisto dei macchinari solo se verranno ritenuti idonei alle necessità nazionali. Decisioni in merito all'installazione e alla tipologia di security scanner maggiormente rispondente ai requisiti di sicurezza e di privacy per la rilevazione di quegli oggetti e di quelle sostanze che i tradizionali metal detector non possono individuare, verranno assunte in ambito Cisa - Comitato Interministeriale per la Sicurezza del Trasporto Aereo e degli Aeroporti - di cui l'Enac ha la presidenza. La prossima riunione del Cisa si terrà indicativamente nella seconda metà di ottobre. In questa sede si valuteranno i risultati ottenuti nei 4 aeroporti oggetto di sperimentazione (Fiumicino, Malpensa, Venezia e Palermo) in termini di sicurezza, di efficienza e di effettivo risparmio di tempo nell'operatività aeroportuale rispetto alle procedure tradizionali di controllo. Alla luce dell'analisi dei risultati raggiunti al termine del programma di sperimentazione, il Cisa assumerà le disposizioni che riterrà conformi alle necessità nazionali, comunicando contestualmente dati e decisioni alle autorità comunitarie. Consigli Kaspersky Lab per navigare in sicurezza su Facebook 24/09/2010 200 milioni di utenti ogni mese, in tutto il mondo, giocano attraverso il sito di social networking Facebook. La sua applicazione più popolare è Farmville, utilizzata da circa 70 milioni di persone. Questo nuovo mondo di giochi on line, tuttavia, può contenere dei pericoli nascosti. La società americana che produce Farmville, la Zynga, è stata costretta a sospendere un'offerta ingannevole di abbonamenti di telefonia mobile e altre offerte truffa che incoraggiavano i giocatori di Farmville a sottoscrivere contratti in cambio di ''crediti Farmville''. La crescente popolarità delle applicazioni diffuse su Facebook, come i social game, porta con se il rischio che gli utenti del social network si debbano frequentemente confrontare con malware, phishing e con altri attacchi degli hacker. Kaspersky Lab fornisce dei suggerimenti ed elenca cinque consigli pratici per navigare in tutta sicurezza su Facebook ed evitare le frodi informatiche. Per gli acquisti on line, ad esempio, consiglia di farlo soltanto tramite siti ufficiali affidabili. Bisogna eliminare subito mail sospette che Newsletter ottobre 2010 pag. 3 offrono buoni sconto gratuiti per caricare il conto virtuale di gioco. Kaspersky Lab, inoltre, informa che le probabilità di essere oggetto di phishing o di venire infettati sono quasi del 100%. Applicazioni di terzi che offrono maggiori possibilità di successo nei social game possono essere potenzialmente molto dannose. Kaspersky consiglia di controllare la reputazione del fornitore gratuito. Fra i 5 suggerimenti generali di Kaspersky Lab per l'uso di Facebook c'è anche quello di controllare le impostazioni di protezione dei dati, poiché le informazioni che gli amici di Facebook possono visualizzare sono informazioni completamente pubbliche, e Facebook si riserva dei diritti su di esse. Quando ci si registra su un sito di social networking, quindi, si dovrebbero fornire solo le informazioni essenziali e selezionare le impostazioni predefinite più sicure. Inizialmente Kaspersky consiglia di creare un account di fantasia, per verificare quali informazioni personali fornite vengono rese visibili on line: solo dopo questo primo passaggio si dovrebbe creare un profilo usando il nome vero. Kaspersky Lab consiglia inoltre di fare attenzione ai post: gli utenti di Facebook dovrebbero sempre ricordare che i propri post possono rivelare molte informazioni, anche personali; basti pensare alle foto di feste e ai video, considerato anche che nella memoria di Facebook rimane tutto. Un altro consiglio è quello di smascherare i ''falsi amici'': gli operatori dei siti di social network, di regola, non verificano l'identità dei propri iscritti. Gli utenti di Facebook dovrebbero quindi generalmente diffidare delle richieste di nuovi amici e ricordare che ogni utente ha, in media, 130 amici nella sua lista: è ragionevole pensare che non tutti siano veramente tali. Kaspersky Lab consiglia inoltre di proteggere la propria identità: esistono casi di furti della stessa in cui cybercriminali hanno creato dei profili utenti verosimili e li hanno poi usati per ricattare le loro vittime. Queste persone – viene rilevato in una nota - sono spesso costrette a pagare delle ingenti somme di denaro per impedire che la loro reputazione venga rovinata, per esempio, attraverso la pubblicazione di foto compromettenti. Un altro modo per rubare l'identità di una persona può essere la raccolta delle password degli account utenti esistenti su vari siti di social networking, tramite attacchi di phishing. In questi casi, strumenti di protezione tradizionali come quelli presenti nella Kaspersky soluzione di sicurezza - fa sapere Kaspersky- risultano essere molto utili. L' ultimo consiglio è quello di prevenire gli attacchi malware: i virus come il worm Koobface usano sia le e-mail tradizionali sia i siti di Newsletter ottobre 2010 pag. 4 social networking, come Facebook, per diffondersi. Le vittime di questi attacchi ricevono dai loro amici dei link che promettono di portare ad un "video bellissimo". Cliccando sul link, invece, il pc viene infettato con un malware. Tutti i computer infetti vengono poi inseriti in una botnet, una rete di computer infetti usata per inviare spam o per effettuare altri tipi di attacchi, controllata da criminali informatici. Attacco informatico ai PC degli impianti nucleari 26/09/2010 WASHINGTON - Migliaia di computer in Iran, compresi quelli dello staff all’impianto nucleare di Natanz, sono stati infettati da un misterioso «baco». Un attacco informatico che gli esperti ritengono sia stato lanciato non da hackers ma da un’intelligence. E dicendo questo gli stessi esperti sospettano un coinvolgimento di Israele, deciso ad ostacolare con ogni mezzo la ricerca atomica degli ayatollah. Il primo allarme risale alla metà di giugno, quando una piccola società bielorussa segnala la presenza di un virus maligno, costruito per paralizzare lo Scada, un sistema computerizzato che può gestire grandi complessi industriali, fabbriche, pipeline petrolifere, siti militari. In particolare il «baco» sembra essere stato «allevato» per distruggere i programmi usati dalla compagnia tedesca Siemens che ha venduto i suoi prodotti agli iraniani. Dalla metà di giugno il fronte si è allargato infettando decine di migliaia di computer in Iran e, in misura minore, in Indonesia. Pochi giorni fa le autorità iraniane hanno ammesso dei problemi, anche se hanno escluso che sia stato coinvolto l’impianto di Natanz. Soltanto i pc dello staff – hanno spiegato – hanno subito l’assalto esterno. E un alto funzionario ha ipotizzato una manovra straniera. Il ricorso al «baco» non è una sorpresa per gli analisti dell’intelligence. Nel 2008, fonti israeliane hanno rivelato che il Mossad aveva lanciato un programma di sabotaggio dei siti atomici iraniani. Un’operazione condotta su più livelli. Il primo prevedeva la vendita a Teheran – attraverso società ombra create in Occidente – di tecnologia fallata o contenente «virus» programmati per esplodere nei sistemi più avanti. Il secondo livello, invece, consisteva in attacchi informatici diretti. Un anno dopo emergevano informazioni su un progetto «top secret» autorizzato dal presidente Usa Barack Obama e che contemplava incursioni elettroniche contro il progetto dei mullah. Occhio alle Infrastrutture critiche Newsletter ottobre 2010 In una conferenza stampa del 30 settembre per la presentazione di nuove misure sulla criminalità informatica, il Commissario Europeo Kroes, ha dato conto del fatto che pag. 5 01/10/2010 "Più si usano le reti, più ne diventiamo dipendenti": la Kroes ha quindi sottolineato che bisognerebbe "prepararsi al peggio". Dovendosi intendere con il "peggio", probabilmente, attacchi su vasta scala alle infrastrutture critiche di rilevanza nazionale, quali i sistemi informatici di aeroporti, acquedotti, centrali elettriche o, più semplicemente, come avvenuto qualche anno fa in Estonia, con gli attacchi portati in teoria dal territorio russo: attacchi ai siti e ai sistemi informatici Statali. Per questi motivi la Commissione europea ha presentato il 30 settembre due nuove direttive in tema di criminalità informatica, volte a garantire che l'Europa possa difendersi dagli attacchi contro i principali sistemi di informazione. Una proposta di direttiva per affrontare i nuovi reati informatici, come gli attacchi su larga scala, affiancata da una proposta di regolamento per rafforzare e modernizzare l'Agenzia europea per la sicurezza delle reti e dell'informazione (ENISA). In particolare la direttiva sugli attacchi informatici prevede che gli autori di aggressioni e i produttori di software maligni possano essere perseguiti e possano essere oggetto di sanzioni penali aggravate. La stessa direttiva prevede inoltre che gli Stati membri siano tenuti a rispondere rapidamente alle richieste urgenti di aiuto in caso di attacchi informatici, rendendo più efficace la cooperazione giudiziaria e di polizia in questo settore. L'iter delle direttive prevede che le stesse debbano essere sottoposte per l'adozione al Parlamento europeo e al Consiglio dei ministri della UE, dopodiché gli Stati membri avranno due anni di tempo per recepire le direttive all'interno del proprio ordinamento. L'Italia, pur ignorando di fatto questi pericoli che difficilmente, almeno sino a quando il danno non è compiuto, raggiungono le pagine delle testate giornalistiche o catturano l'interesse della pubblica opinione, non è al "giorno zero" nel contrasto alla criminalità informatica. Basti pensare che da noi pressoché tutti i suggerimenti dell'Unione Europea sulla responsabilità delle imprese per i reati informatici dei propri dipendenti sono stati adottati con largo anticipo rispetto a quanto previsto, e che chi compie aggressioni informatiche in Italia, soprattutto in riferimento a sistemi pubblici, rischia ben più dei 5 anni previsti dalla legislazione comunitaria. Per ulteriori informazioni: http://punto-informatico.it/3002135/PI/Commenti/ue-occhioalle-infrastrutture-critiche.aspx Il virus STUXNET Internet -08/10/2010 Si chiama Stuxnet, e pare proprio sia il più distruttivo dei malware mai creati. Il mistero lo circonda, poiché non è Newsletter ottobre 2010 pag. 6 dato sapere chi lo abbia ideato, ed esattamente con quali intenti. Le illazioni in proposito sono molte, supportate almeno da sospette coincidenze. Intanto Stuxnet è stato definito in modo metafisico come primo cyber virus in grado di modificare la realtà. In parole più semplici, capace di mandare in tilt un impianto elettrico o perfino una centrale nucleare, come potrebbe essere successo per l’impianto di arricchimento dell’uranio di Natanz, in Iran. A fare almeno un po’ di luce sulle dinamiche tecniche di Stuxnet, avvistato a giugno dalla ditta di sicurezza informatica VirusBlokAda, ma secondo alcuni ben informati in circolazione fin dal 2009, ci hanno pensato due addetti ai lavori come Liam O’Murchu e Ralph Langner. O’Murchu, un esperto di sicurezza per la Symantec, ha seguito Stuxnet da quando ha mosso i primi passi. Symantec ha constatato come singolarmente le infezioni abbiano colpito i circa 45.000 computer nel mondo censiti da Microsoft con una strana distribuzione: 8% in India, 18% in Indonesia e ben 60% in Iran. “Il fatto che vediamo così tante infezioni in Iran più che altrove, ha dichiarato alla BBC O’Murchu, fa pensare come la minaccia sia diretta proprio a loro e che ci sia qualcosa di molto alto in ballo”. Un chiaro riferimento agli impianti nucleari. Inoltre, la potenza del malware, fa pensare allo zampino di qualcuno che potrebbe lavorare per un governo, presumibilmente all’azione di cyberintelligence all’avanguardia. Realtà o fantasia? Supporta la tesi di O’Murchu il tedesco Ralph Langner, esperto di sistemi informatici industriali e blogger. Nella sua analisi pubblicata online (http://www.langner.com/en/), O’Murchu scrive di non credere affatto all’ipotesi di qualche giovane hacker. Altra certezza è che il virus si diffonde attraverso un software ideato dalla Siemens. Il gigante tedesco dell’elettronica era in allerta dallo scorso giugno, quando ha avvisato i clienti sul pericolo che Stuxnet potesse agire sul software chiamato WinCC, quello che permette il funzionamento del sistema SCADA, ovvero “supervisory control and data acquisition”, base operativa del sistema. Per capirne la pericolosità basterà notare come il virus agisce off-line, attraverso l’uso di periferiche USB, riprogrammando quello che viene chiamato il “controllore logico”, cioè di fatto il computer industriale. Insomma, quando Stuxnet arriva al calcolatore, non fa che comunicare istruzioni impazzite alle macchine industriali, con il risultato di mandare in tilt l’impianto. Per ulteriori informazioni: http://www.symantec.com/security_response/writeup.jsp?d ocid=2010-071400-3123-99 http://www.computerworld.com/s/article/9185419/Siemens_ Newsletter ottobre 2010 pag. 7 Stuxnet_worm_hit_industrial_systems http://www.computerworld.com/s/article/9185919/Is_Stuxne t_the_best_malware_ever CLUSIT -07/10/2010 Dopo la segnalazione comparsa sul sito del US CERT , weekend di lavoro per molti specialisti di sistemi controllo ed automazione di impianti ed infrastrutture, speso nel tentativo di porre in essere protezioni ai loro sistemi SCADA basati sui pacchetti e prodotti software Siemens WinCC e PCS7, molto utilizzati in tutto il mondo. Anche CISCO ha emesso un bollettino di Alert per in nuovo malware, che viene coì descritto: "New malware has been detected that appears to rely on an undisclosed vulnerability in Microsoft Windows .lnk file handling. This malware appears to be targeted at Siemens WinCC SCADA installations" Eric Byres, esperto internazionale di Industrial Cyber Security, segnala alcune informazioni aggiuntive e strategie di protezione sul suo sito www.tofinosecurity.com. ANSA -07/10/2010 Newsletter ottobre 2010 Un volo della US Airways è stato autorizzato a lasciare Filadelfia alla volta delle Bermuda dopo essere stato bloccato per alcune ore sulla pista a causa di un addetto ai bagagli che non aveva il tesserino di identità.L' allarme era scattato all' aeroporto internazionale di Filadelfia quando altri operatori avevano notato che la terza persona impegnata nello smistamento dei bagagli non aveva il prescritto documento di identità. Lo sconosciuto si è allontanato con una vettura mentre i due davano l' allarme. L' aereo è stato evacuato dagli oltre 100 passeggeri già a bordo e spostato in un'area isolata dell'aeroporto dove è stato ispezionato dalla polizia. La perquisizione dell'apparecchio e dei bagagli non ha dato risultati e l'aereo è stato autorizzato a decollare. Un portavoce dell' aeroporto ha riferito che l' incidente non sembra avere implicazioni terroristiche. pag. 8 P Prroossssiim mii E Evveennttii Progetto Europeo DOMINO (Domino effects modelling infrastructures collapse) La Presidenza del Consiglio dei Ministri, in cooperazione con altri partner europei e nazionali (riportati in allegato), sta conducendo un progetto Europeo denominato DOMINO (Domino effects modelling infrastructures collapse) che ha lo scopo di sviluppare un modello matematico per la previsione della propagazione degli eventi di fuori servizio tra le infrastrutture economiche e sociali del nostro sistema Paese, e di studiarne e quantificarne le conseguenze. A tal fine, il progetto ha individuato una classificazione delle attività economiche e sociali che contiene circa 100 "item", ovvero beni o servizi che contribuiscono a caratterizzare la qualità della vita dei cittadini. Il progetto sta attualmente svolgendo la fase di "Indagine Pilota", con l'obiettivo di acquisire informazioni per comprendere la “supply chain” di ogni item. A questo scopo, è stato messo a punto un questionario, accessibile via web, rivolto ad esperti dei vari item. Chi desidera partecipare può comunicare il proprio nominativo all’Ing. Luisa Franchina: [email protected] o ai suoi collaboratori che forniranno l'indirizzo web e le credenziali di accesso. L'ing. Marco Carbonelli ([email protected] 0668202429) e l'ing. Laura Gratta ([email protected] 0668204424) potranno fornire maggiori dettagli sul progetto e rispondere a qualsiasi domanda durante la compilazione. 1a Conferenza Annuale sull’Information Warfare: le nuove minacce provenienti dal ciberspazio alla Sicurezza Nazionale Italiana Roma, 7 ottobre 2010 Newsletter ottobre 2010 La Conferenza è promossa dalla Link Campus University, dal Centro universitario di Studi Strategici e Internazionali (CSSI) dell’Ateneo fiorentino, dall’Istituto di Studi per la Previsione e le Ricerche Internazionali (ISPRI) e dal Centro Studi “Gino Germani”. L’evento è ideato d’intesa con la Maglan Information Defense & Intelligence e con il supporto di Unicredit. La Conferenza, che ha già avuto il patrocinio del Senato della Repubblica, della Camera dei Deputati, della Presidenza del Consiglio dei Ministri, del Ministero degli Affari Esteri, del Ministero della Difesa, del Ministero dell'Interno e della Polizia di Stato, si prefigge due obiettivi pag. 9 di fondo: 1) Approfondire la comprensione e aumentare la consapevolezza tra i decisori politici e aziendali italiani delle minacce cibernetiche e di information warfare alla sicurezza nazionale, nonché delle più efficaci contromisure e strategie per contrastare e contenere tali minacce. 2) Riunire esperti e analisti provenienti da organismi governativi civili e militari, dal mondo dell’impresa, dalle Università e i centri di ricerca scientifica per dare un contributo innovativo di idee e proposte utili all’elaborazione di una strategia italiana di sicurezza nazionale nel campo dell’information warfare, della cyber-defense, e della network intelligence. Giovedì 7 ottobre (dalle ore 8,30 alle ore 18:45) Sala Conferenze di Unicredit (Via dei Primati Sportivi 12, Roma EUR) Per ulteriori informazioni: [email protected] Conferenza “Security and Resilience in Critical Communication and Information Infrastructures: an economic perspective. Outcomes from the SMARTSEC project” Roma, 11 ottobre 2010 La conferenza, organizzata dalla Fondazione FORMIT, ha l’obiettivo di presentare i risultati del progetto SMART-SEC che Fondazione FORMIT ha condotto per la DG Information Society and Media della Commissione Europea. I due principali risultati del progetto SMART-SEC su cui sarà focalizzata la conferenza saranno: - l’applicazione di un modello econometrico per definire gli impatti economici di failure delle CIIs - la definizione di indicazioni di policy che possono essere introdotte per limitare gli impatti delle failure. Per ulteriori informazioni: [email protected] IRCCS - PRIMO EVENTO L' Istituto scientifico universitario San Raffaele di Milano FORMATIVO SU GESTIONE lancia "il primo evento formativo in Italia" per psicologi, MAXI CATASTROFI medici, infermieri a prova di catastrofe. Tre giorni - dal 5 al 7 ottobre - per allenarsi al lavoro di squadra simulando una maxi emergenza, situazione che prevede quasi sempre un Milano, 5-7 ottobre 2010 numero di feriti sproporzionato rispetto alle risorse di soccorso. L' obiettivo e' condividere una strategia per fronteggiare al meglio catastrofi naturali, incidenti aerei e ferroviari, disastri industriali, azioni terroristiche. Per l' appuntamento l' IRCCS di via Olgettina ha coinvolto anche l' European Society for Trauma and Emergency Surgery (Estes), società europea che si occupa di chirurgia d' urgenza. L' iniziativa, nasce dal desiderio di condividere il modello teorico risultato dall' analisi ex post di alcune tra le Newsletter ottobre 2010 pag. 10 più recenti maxi emergenze verificatesi a livello europeo e internazionale (lo Tsunami a Phuket, le bombe sul treno di Madrid e nella metro di Londra). Newsletter ottobre 2010 pag. 11 IInnffoorrm maazziioonnii ssuullllee aattttiivviittàà ddeellll’’A Assssoocciiaazziioonnee Attivazione segreteria AIIC È stata attivata una piccola segreteria grazie al supporto ed alla collaborazione di Simona Ranieri. La segreteria è al momento contattabile all’indirizzo [email protected] . Gruppo di user all’interno Si informa che AIIC ha costituito un proprio gruppo di user della community all’interno della community di Linkedin: per unirti al gruppo è sufficiente cliccare questo link: http://www.linkedin.com/e/gis/96335/3626A10C7916 Versione stampabile della newsletter Nella sezione “Newsletter“ del sito http://www.infrastrutturecritiche.it è disponibile l'archivio delle Newsletter. Comitato di Redazione newsletter Stefania Caporalini-Ajello Alessandro Bassano Isabella Brizi Piermario Cecchini Dario De Marchi Alessandro Lazari Loredana Mancini Valeria Montesi Luca Sambucci Marino Sforna Federica Sorrentino Newsletter ottobre 2010 pag. 12