Non chiedere cosa può fare la cybersecurity per te, chiediti cosa puoi fare tu per la cybersecurity

Nelle scorse puntate abbiamo visto cosa sia il phishing, come sia comune e colpisca tutti, dai pesci piccoli a quelli grossi e come riesce a funzionare a livello strategico e operativo, nonché socio-psicologico. In quest’ultima puntata vedremo le principali misure per difendersi. Nessuna di esse, purtroppo, è gratis: spesso dobbiamo investire in termini finanziari, o di impegno tecnico e organizzativo. Prima di qualunque soluzione tecnica, è necessario stabilire delle policy e soprattutto fare formazione al personale, in particolare non tecnico e dirigenziale.

Password forti

La fonte più probabile di problemi è l’utilizzo di password troppo semplici, sia per i servizi dell’organizzazione che per le mail, specialmente dove viene usato un sistema di single sign-on, con una password che apre tutto. È necessario quindi fare in modo che le password siano lunghe, contengano caratteri speciali e l’utente le cambi spesso. Il flusso di reset (la “password dimenticata”) dovrebbe poi contenere un controllo mediante una domanda personale. Infine, ove possibile, l’autenticazione dovrebbe essere a doppio fattore.

Procedure decisionali a prova di malintenzionato

Chi ha facoltà di muovere denaro ha più possibilità di essere target di attacchi. Può essere una buona idea rivedere alcune procedure decisionali in modo da minimizzare i rischi: non va dimenticato che il social engineering coinvolge la cybersecurity perché arriva con un mezzo elettronico, ma di “cyber” ha molto poco e sfrutta le debolezze umane e organizzative.

Una soluzione organizzativamente non troppo costosa è fornire allo staff certificati digitali personali (GARR eroga gratuitamente il servizio GARR CS per tutta la comunità) e ritenere valide all’interno dell’organizzazione soltanto le mail firmate con certificato digitale: così, anche se qualcuno compromettesse la casella email del Rettore, per poterlo impersonare appieno dovrebbe anche rubargli la chiave privata del certificato - impresa ben più difficile.

Nelle comunicazioni con l’esterno, ad esempio con i fornitori, dovremmo usare politiche con lo stesso scopo, magari facendo una telefonata alla ditta usando il numero in rubrica, senza copiarlo dalla mail potenzialmente contraffatta!

Strumenti, tecnologie e software

A livello di mail server esistono strumenti tecnici per combattere il phishing e i più comuni software antispam includono funzioni di questo tipo. Le macro-regole (indicate nel box) sono sempre più o meno le stesse e includono misure restrittive per la posta in entrata e uscita e controlli su link e allegati prima di consegnarli.

Il trend dei prodotti per mail server va in ogni caso nella direzione di software dedicati, che sfruttano l’intelligenza artificiale e creano regole di isolamento adattive, ad esempio ricostruendo la rete di contatti dell’utente, gli orari di invio delle mail, il riconoscimento automatico di domini typosquatting. Per esempio riescono a individuare situazioni sospette come mail mandate da un contatto mai sentito prima, o in un orario inusuale per un contatto noto, e da lì a capire se una persona ha la casella compromessa. Il difetto di questi strumenti è che sono ancora troppo costosi, ma essendo una novità, ci aspettiamo che i prezzi scendano e magari spuntino soluzioni open source.

Anche il DNS può aiutarci a difendersi efficacemente dal phishing. Supponiamo che una mail fraudolenta sia riuscita a passare i controlli e l’utente abbia cliccato inavvertitamente il link. Solitamente questi link fanno riferimento a domini o IP già conosciuti come distributori di malware o compromessi. Questi host vengono inseriti in liste di “domini malevoli” (Response Policy Zones RPZ) - più o meno vaste e gratuite - che, consumate dal DNS istituzionale, lo rendono di fatto un firewall aggiuntivo che opera su domini invece che su IP. Il principio di funzionamento è semplice: per ogni query che viene fatta al nostro DNS, viene controllata la lista RPZ: se la richiesta è per un dominio “sano”, viene risolta normalmente, mentre se il dominio richiesto è malevolo si viene direzionati su una pagina sicura, chiamata “walled garden”, che spiega che il link cliccato porta a siti malevoli - tutti l’abbiamo vista almeno una volta su Google.

Questo tipo di implementazione può essere fatto con i normali strumenti DNS, ad esempio ISC bind, e delle liste RPZ affidabili. Ma ci sono strumenti open source già pronti e utilizzabili in ambienti piccoli e grandi. Un esempio molto potente è Pi-hole, nato originariamente come strumento DHCP, ma utilizzato soprattutto per fare anti-phishing a livello di richieste/ query DNS proprio come un firewall DNS con walled garden.

Dispositivi portatili e BYOD

Altri fattori da considerare nel combattere il social engineering sono la pratica del Bring Your Own Device (BYOD) e l’utilizzo di dispositivi istituzionali portatili, tipo smartphone e laptop, che stiamo sperimentando in tutta la sua portata con il massiccio ricorso al lavoro agile causato dal lockdown. Quando apriamo la nostra rete, sia tramite VPN per lavoro remoto che a studenti, docenti e ospiti che portano i loro dispositivi da casa per andare a lezione, stiamo introducendo nella nostra rete dispositivi su cui non abbiamo nessun controllo e sui quali potrebbe esserci di tutto. Ad esempio, l’utilizzo di social network o piattaforme di gaming sullo stesso dispositivo usato per il lavoro crea un ambiente molto favorevole alla fuoriuscita di dati istituzionali riservati.

Per limitare i rischi è necessario stabilire policy per l’utilizzo dei dispositivi personali, sia istituzionali che BYOD. Per i dispositivi istituzionali dovrebbe essere obbligatori l’utilizzo di password, a partire dal BIOS, la creazione di ambienti totalmente separati per attività lavorative e personali, l’aggiornamento all’ultima versione del software e dovrebbe essere inoltre stabilita una lista di programmi ammessi e non. Poiché la peggior minaccia per dispositivi di questo tipo è la perdita o il furto, è inoltre buona pratica criptare lo storage, in modo che chi lo trovasse non possa accedere ai dati.

Per i dispositivi personali BYOD non possiamo fare molto, salvo metterli in una sottorete a parte, e soprattutto sensibilizzare gli utenti consigliando buone pratiche e facendo informazione sui rischi in cui si può incorrere. Un altro aspetto importante è educare le persone a non rivelare sui social troppi particolari della propria vita lavorativa, che sembrano innocui, ma aprono invece il fianco agli spare- phishing.

Formazione e sensibilizzazione al personale non tecnico e dirigenziale

Ho lasciato questo aspetto per ultimo perché è il fattore di gran lunga più importante, ma anche il più delicato, perché coinvolge comportamenti, abitudini e a volte anche sentimenti delle persone - dei nostri colleghi, dei nostri dirigenti.

La formazione sul phishing non è mirata ad acquisire conoscenze o imparare l’uso di uno strumento. Il suo scopo è indurre l’utente inesperto a prendere confidenza con una cultura, un’educazione all’utilizzo sicuro dello strumento, acquisire consapevolezza. Questo tipo di formazione deve essere discreta, non invasiva, né opprimente, né deprimente, puntuale, molto breve, ma continua. Deve essere fatta in modo che l’utente capisca che queste pratiche servono a migliorare il proprio lavoro, non ostacolarlo. E deve essere leggera, anche divertente, soprattutto per chi magari si sente in difficoltà ad usare gli strumenti informatici ma è costretto a farlo per lavoro.

Formati adatti a questo tipo di formazione sono pillole video di non più di 10 minuti, focalizzate su un aspetto specifico, infografiche, test e giochi interattivi basati su concetto di gamification, da produrre possibilmente insieme al proprio ufficio comunicazione, in modo da veicolare i messaggi nella maniera più efficace. Esistono anche strumenti di test, molti dei quali open source, che permettono di simulare una campagna di phishing spedendo email con un link o un allegato e conteggiano il numero di persone ingannate. Si tratta di uno strumento da usare con oculatezza, perché è vero che restituisce il numero preciso delle potenziali vittime e ci offre un quadro completo della situazione nell’organizzazione, ma può costituire un’esperienza frustrante per i dipendenti, che potrebbero sentirsi spiati e sotto tiro e perdere fiducia. Le buone pratiche consigliano di utilizzarlo solo dopo che sia stato stabilito un buon livello di fiducia e cooperazione fra chi si occupa di sicurezza e personale non informatico. Infine vanno pianificate, sempre con gli esperti di comunicazione, campagne di sensibilizzazione, volantini, brochure, limitate a singoli problemi di phishing, magari lanciate a tema quando arriva una nuova minaccia che prevede nuove o diverse forme, come con l’avvento del Covid-19.

Concludendo, quello del social engineering è un mondo molto rischioso che possiamo navigare in sicurezza solamente se, più che gli esperti di cybersecurity, sono le persone a scendere in campo.