I router sono l’anello debole dello smart working in sicurezza

 
Tratto da Blog Kaspersky
Autore: Nikolay Pankov – 02/06/2021
 
 
I router domestici e SOHO spesso sono poco sicuri; tuttavia, le aziende possono difendersi dagli attacchi ai router dei dipendenti in smart working.
 
 

 

Se parliamo di sicurezza informatica, l’aspetto peggiore del passaggio in massa allo smart working è stata la perdita di controllo sulle reti locali a cui si collegano le postazioni di lavoro. Particolarmente pericolosi a questo proposito sono i router domestici dei dipendenti, che hanno essenzialmente sostituito l’infrastruttura di rete gestita normalmente dagli specialisti IT. Alla RSA Conference 2021, nel loro intervento dal titolo All your LAN are belong to us. Managing the real threats to remote workers. (“Tutte le vostre LAN ci appartengono. Gestire le vere minacce per i lavoratori da remoto”), i ricercatori Charl van der Walt e Wicus Ross hanno spiegato in che modo i criminali informatici possono attaccare i computer aziendali servendosi dei router.

Perché i router domestici dei dipendenti possono essere un bel problema?

Anche se le politiche di sicurezza aziendali si occupano dell’aggiornamento del sistema operativo di ogni computer dell’azienda e di tutte le altre impostazioni rilevanti, i router domestici non rientrerebbero comunque nel raggio di controllo degli amministratori di sistema aziendali. Per quanto riguarda gli ambienti di lavoro a distanza, chi si occupa di sicurezza IT in azienda non può sapere quali altri dispositivi sono collegati a una rete, se il firmware del router è aggiornato e se la password che lo protegge è forte (e se l’utente continua a utilizzare la password di fabbrica).

Questa mancanza di controllo è solo una parte del problema. Un numero enorme di router domestici e SOHO hanno vulnerabilità note che i criminali informatici possono sfruttare per ottenere il controllo completo del dispositivo, portando a enormi botnet IoT come Mirai, che raggruppano decine e talvolta anche centinaia di migliaia di router hackerati da utilizzare per una varietà di scopi.

A questo proposito, vale la pena di ricordare che ogni router è essenzialmente un piccolo computer con una qualche distribuzione di Linux. I criminali informatici possono fare molto con un router hackerato. Descriveremo ora solo un paio di esempi presi dal report dei due ricercatori.

Hackerare una connessione VPN

Lo strumento principale che le aziende usano per compensare gli ambienti di rete inaffidabili dei lavoratori in smart working è servirsi di una VPN (rete privata virtuale). Le VPN offrono un canale cifrato attraverso il quale i dati viaggiano tra il computer e l’infrastruttura aziendale.

Molte aziende usano le VPN in modalità split tunneling: il traffico che va verso i server dell’azienda (come la connessione RDP, Remote Desktop Protocol), passa attraverso la VPN e tutto il resto del traffico passa attraverso la rete pubblica non cifrata, il che normalmente è una buona opzione. Tuttavia, un criminale informatico che ha preso il controllo del router può creare un percorso DHCP (Dynamic Host Configuration Protocol) e reindirizzare il traffico RDP al proprio server. Anche se questo non li avvicina alla decifrazione della VPN, possono creare una finta schermata di login per intercettare le credenziali di connessione RDP. I truffatori di ransomware amano usare i protocolli RDP.

Caricare un sistema operativo esterno

Un altro abile scenario di attacco ai router hackerati coinvolge lo sfruttamento della funzionalità PXE (Preboot Execution Environment). Le moderne schede di rete usano il PXE per caricare un sistema operativo sui computer in rete. In genere, la funzione è disabilitata ma alcune aziende la usano, ad esempio, per ripristinare da remoto il sistema operativo di un dipendente in caso di guasto.

Un criminale informatico con il controllo del server DHCP su un router può fornire alla scheda di rete di una workstation l’indirizzo di un sistema modificato per il controllo da remoto. È improbabile che i dipendenti se ne accorgano e che sappiano cosa stia realmente accadendo (soprattutto se sono distratti dalle notifiche di installazione degli aggiornamenti). Nel frattempo, i criminali informatici hanno pieno accesso al file system.

Come rimanere al sicuro

Per proteggere i computer dei dipendenti da quanto abbiamo descritto e da tecniche di attacco simili, vi consigliamo di seguire questi suggerimenti:

  • Optate per il tunneling forzato invece di quello split. Molte soluzioni VPN aziendali permettono il tunneling forzato con delle eccezioni (facendo passare di default tutto il traffico attraverso un canale cifrato, con risorse specifiche che possono bypassare la VPN);
  • Disabilitate il Preboot Execution Environment nelle impostazioni BIOS;
  • Cifrate completamente il disco rigido del computer (con BitLocker su Windows, per esempio).

Analizzare la sicurezza dei router dei dipendenti è vitale per aumentare il livello di sicurezza di qualsiasi infrastruttura aziendale che consente il lavoro a distanza o in modalità ibrida. In alcune aziende, il personale di supporto tecnico dà alcuni suggerimenti ai dipendenti in merito alle impostazioni ottimali per il router di casa. Altre aziende distribuiscono router preconfigurati ai lavoratori in smart working e permettono ai dipendenti di connettersi alle risorse aziendali solo attraverso quei router. Inoltre, la formazione dei dipendenti per contrastare le minacce moderne è fondamentale per la sicurezza della rete.

Per ulteriori informazioni sulla Piattaforma Kaspersky ASAP: dircom@argonavis.it

3 Giugno 2021

Endian UTM 5.2.6 Release

 

 

Endian UTM è il modo più semplice e sicuro per proteggere la rete ed è disponibile come appliance hardware, software o virtual. 

Ecco le funzionalità aggiornate e migliorate nell’UTM 5.2.6:

  • Geo IP Firewall Filter: la comunicazione di rete su Internet si basa su indirizzi IP che permettono un’identificazione unica per i dispositivi collegati e sono assegnati specificamente a ogni paese del mondo: Endian permette di bloccare il traffico proveniente da Paesi specifici.
    Come abilitare e impostare GEO-IP
  • Sistema di Rilevamento delle Intrusioni (IDS): a differenza dell’IPS, non esegue un’ispezione approfondita dei pacchetti di rete, operazione che richiede l’impiego di molte risorse e spesso causa una riduzione delle performance del throughput verso internet ; l’IDS monitora il traffico e registra tutti i comportamenti in file di log, permettendo maggiore velocità e aumentando la banda disponibile. La successiva analisi del log, che consente di prendere provvedimenti adeguati in caso di rischi, viene poi solitamente eseguita da strumenti specifici di vario tipo.
    Come abilitare l’IPS/IDS

27 Maggio 2021

25 maggio 2018 – 25 maggio 2021: i primi tre anni di applicazione del Regolamento (UE) 2016/679

Il Garante della Privacy - Gdpr - Reg. UE 679/2016
 
 
Tratto da www.garanteprivacy.it
 
 

 

Il 25 maggio 2021 si celebrano i primi 3 anni dalla applicazione del Regolamento (UE) 2016/679, noto anche come Regolamento Generale sulla Protezione dei Dati (RGPD) o General Data Protection Regulation (GDPR).

In occasione di questa importante ricorrenza, i componenti del Collegio del Garante per la protezione dei dati personali hanno registrato dei video per presentare e approfondire alcuni dei principi fondamentali e delle più importanti innovazioni introdotte dal Regolamento.

In questa pagina è presente anche il link alla pagina informativa che il Garante ha dedicato al Regolamento, con focus sui principali temi, notizie utili e contenuti di formazione e approfondimento.

E’ possibile inoltre consultare i dati (aggiornati al 31 marzo 2021) che illustrano l’attività del Garante in relazione ad alcune delle principali attività connesse all’applicazione del Regolamento.

25 Maggio 2021

Regolamento europeo: le linee di indirizzo del Garante privacy per gli RPD

Il Garante della Privacy - Gdpr - Reg. UE 679/2016
 
 
Tratto da www.garanteprivacy.it
 
 
 
 
 

Qual è il ruolo effettivo del Responsabile della protezione dati nella Pa? Quali titoli e che tipo di esperienza professionale deve possedere? Quando è incompatibile con altri incarichi o può incorrere in situazioni di conflitto di interessi? Come deve essere supportato e coinvolto, e per quali compiti?

A queste e a molte altre domande risponde il Garante per la privacy con un documento di indirizzo su designazione, posizione e compiti del Responsabile protezione dei dati (Rpd) in ambito pubblico, da oggi sul sito www.gpdp.it.

L’esigenza di fornire chiarimenti si è resa necessaria perché, a distanza di tre anni dalla piena applicazione del Regolamento Ue, si registrano ancora diverse incertezze che impediscono la definitiva affermazione di questa importante figura, obbligatoria per il settore pubblico.

Il Rpd costituisce un riferimento essenziale per garantire un corretto approccio al trattamento dei dati, soprattutto ora che le Pa sono sempre più sollecitate dalla sfida della “trasformazione digitale”.

Un Rpd esperto e competente, in grado di svolgere i propri compiti con autonomia di giudizio e indipendenza, rappresenta infatti, anche nell’attuale periodo di emergenza sanitaria, una risorsa fondamentale per le amministrazioni e un valido punto di contatto per l’Autorità.

Il documento di indirizzo, in corso di pubblicazione nella Gazzetta ufficiale, sarà inviato ai vertici delle amministrazioni nazionali e territoriali e alle realtà rappresentative del mondo pubblico, affinché ne favoriscano la più ampia diffusione.

Oltre al documento rivolto alla Pa, il Garante è intervenuto aggiornando le Faq riguardanti il settore privato. Anche in questo ambito il Rdp, pur presentando sensibili differenze rispetto al mondo delle pubbliche amministrazioni, svolge un ruolo fondamentale. Si tratta infatti di una figura chiamata ad assolvere funzioni di supporto, di controllo, consultive e formative, che deve essere adeguatamente coinvolta in tutte le attività che riguardano la protezione dei dati in azienda.

Anche le Faq aggiornate sono disponibili da oggi sul sito dell’Autorità.

24 Maggio 2021

Lavoro: informazioni corrette ai dipendenti sui sistemi aziendali in uso

Il Garante della Privacy - Gdpr - Reg. UE 679/2016
 
 
Tratto da www.garanteprivacy.it
 
 
 
 
 

Una società manifatturiera non potrà più utilizzare i dati dei dipendenti trattati illecitamente attraverso un sistema informatico in uso presso l’azienda. La società non aveva informato correttamente i lavoratori delle caratteristiche del sistema che aveva impiegato anche oltre i limiti stabiliti dall’autorizzazione dell’Ispettorato territoriale del lavoro. Per questi motivi dovrà pagare una sanzione di 40mila euro e mettersi in regola con le misure correttive stabilite dal Garante per la privacy.

L’Autorità, intervenuta a seguito del reclamo di un sindacato, ha appurato che, a differenza di quanto sostenuto dalla società, il sistema, che prevedeva l’inserimento di una password individuale sulla postazione di lavoro prima di iniziare la produzione, raccoglieva anche dati disaggregati e per finalità ulteriori rispetto a quelle dichiarate nelle informative.

È risultato, infatti, che anche i dati sulla produzione erano riconducibili a lavoratori identificabili, attraverso l’utilizzo di ulteriori informazioni in possesso del datore di lavoro. E che i dati di un singolo dipendente fossero stati utilizzati per altre finalità, non previste dalle informative e non autorizzate dall’Ispettorato, è stato di fatto confermato, nell’ambito di un procedimento disciplinare, dalla verifica effettuata dal direttore delle risorse umane sui “fermi” della macchina alla quale il lavoratore era addetto.

Dagli accertamenti del Garante è emerso, inoltre, che il sistema informatico coesisteva con la precedente modalità di organizzazione del lavoro, basata sulla compilazione di moduli cartacei nei quali il nominativo dei dipendenti è indicato in chiaro. Moduli che poi venivano conservati e registrati su un apposito software, ma senza alcuna separazione, tanto che i dati in essi contenuti sono stati utilizzati nel procedimento disciplinare. In questo modo la società contravveniva a quanto indicato nelle informative sul funzionamento del sistema e nell’autorizzazione rilasciata dall’Ispettorato, che vietavano espressamente l’utilizzo dei dati raccolti a fini disciplinari.

Irregolarità sono state riscontrate anche nei tempi di conservazione dei dati dei lavoratori.

L’Autorità quindi, ritenuto illecito il trattamento effettuato, ha ordinato alla società di modificare le informative rese ai lavoratori, indicando nel dettaglio tutte le caratteristiche del sistema, e le ha ingiunto il pagamento di una sanzione.

 

20 Maggio 2021