Smau Bologna 2010 Stefano Fratepietro

  • View
    1.158

  • Download
    1

Embed Size (px)

DESCRIPTION

Furto dei dati aziendali - Come ti rubo in casa!Tecniche di investigazione nellinformatica moderna

Transcript

Furto dei dati aziendaliCome ti rubo in casa!

Tecniche di investigazione nellinformatica moderna

Bologna, 9 giugno - Smau 2010 Bologna Fiere

Dott. Stefano Fratepietrostefano@deftlinux.net

Creative Commons Attribuzione-Non opere derivate 2.5

mercoled 30 giugno 2010

Obiettivi del seminario

Presentazione del fenomeno dello spionaggio industriale

Riferimenti giuridici Formazione alle PMI Sensibilizzazione dellinfrastruttura IT alle

problematiche dello spionaggio industriale

Case study

mercoled 30 giugno 2010

Dott. Stefano Fratepietro

IT - Security specialist per il CSE Consorzio Servizi Bancari S.c.r.a.l

Consulente di Informatica forense per tribunali, forze dellordine (Polizia Postale, Carabinieri e Guardia di Finanza) e privati

Casi di importanza nazionale come Buongiorno! Vitaminic e Telecom Pirelli Ghioni

DEFT Linux project manager

mercoled 30 giugno 2010

Spionaggio industriale

Attivit condotta tra competitori per ottenere in maniera illecita informazioni industriali e commerciali

strettamente riservate

mercoled 30 giugno 2010

Luclar International, marzo 2007

mercoled 30 giugno 2010

Coop vs Esselunga, settembre 2009

mercoled 30 giugno 2010

Ducati vs Mv Augusta, maggio 2009

mercoled 30 giugno 2010

Consorzio industriale ASI, febbraio 2010

mercoled 30 giugno 2010

Centinaia e centinaia di casi lannomai venuti alla luce per evitare un

danno dimmagine allazienda

mercoled 30 giugno 2010

30%

50%

10%

10%

Tradimento interno dal basso Dipendente che cambia lavoroTradimento interno dallalto Attacco informatico

Statistiche in un anno di attivit (2009)

Su base annua di 30 interventi circa

mercoled 30 giugno 2010

Previsioni per il 2010

0

22,50

45,00

67,50

90,00

2006 2007 2008 2009 2010

Fonte: Il sole 24 ore, 31 marzo 2010

mercoled 30 giugno 2010

Riferimenti giuridici

Il reato di spionaggio industriale in Italia corrisponde per la legge a "violazione di segreto industriale", ed punito dagli articoli 621, 622 e 623 del Codice penale

mercoled 30 giugno 2010

Riferimenti giuridici

Art. 621 c.p. Rivelazione del contenuto di documenti segreti. Chiunque, essendo venuto abusivamente a cognizione del contenuto, che debba rimanere segreto, di altrui atti o documenti, pubblici o privati, non costituenti corrispondenza, lo rivela, senza giusta causa, ovvero lo impiega a proprio o altrui profitto, e' punito, se dal fatto deriva nocumento, con la reclusione fino a tre anni o con la multa da lire duecentomila a due milioni. Agli effetti della disposizione di cui al primo comma e' considerato documento anche qualunque supporto informatico contenente dati, informazioni o programmi (1). Il delitto e' punibile a querela della persona offesa. (1) Comma aggiunto dall'art. 7, L. 23 dicembre 1993, n. 547.

mercoled 30 giugno 2010

Riferimenti giuridici

A r t . 6 2 2 c . p . R i v e l a z i o n e d i s e g re t o professionale. Chiunque, avendo notizia, per ragione del proprio stato o ufficio, o della propria professione o arte, di un segreto, lo rivela, senza giusta causa, ovvero lo impiega a proprio o altrui profitto, e' punito, se dal fatto pu derivare nocumento, con la reclusione fino ad un anno o con la multa da lire sessantamila a un milione. Il delitto e' punibile a querela della persona offesa

mercoled 30 giugno 2010

Riferimenti giuridici

Art. 623 c.p. Rivelazione di segreti scientifici o industriali. Chiunque, venuto a cognizione per ragione del suo stato o ufficio, o della sua professione o arte, di notizie destinate a rimanere segrete, sopra scoperte o invenzioni scientifiche o applicazioni industriali, le rivela o le impiega a proprio o altrui profitto, e' punito con la reclusione fino a due anni. Il delitto e' punibile a querela della persona offesa.

mercoled 30 giugno 2010

Spionaggio del passato

Intercettazioni telefoniche, telecamere, microspie ambientali

Individuo infiltrato o corrotto allinterno del contesto aziendale

Copiatura di documenti con cartacarbone o fotocopiatore

mercoled 30 giugno 2010

Spionaggio del presente

Intercettazioni telematiche (navigazione web, VoIP, chat, e-mail)

Keylogger su personal computer, palmari e cellulari

Dispositivi controllati remotamente Computer come cassaforte dei segreti

aziendali

mercoled 30 giugno 2010

Principali canali per la fuga di informazioni

Posta elettronica (aziendale o esterna) Memorie di massa esterne (penne usb, hard

disk esterni)

Navigazione Internet troppo permissiva Attacco informatico

mercoled 30 giugno 2010

Chiusura dei canaliPosta elettronica

Bloccare linvio e la ricezione di posta elettronica su rete Internet da parte degli account personali dei dipendenti

Utilizzo di caselle di posta dufficio per spedire/ricevere posta su Internet

Blocco dei siti Internet che offrono servizi di webmail, file sharing, instant messenger, webproxy

mercoled 30 giugno 2010

Chiusura dei canaliMemorie di massa esterne Uso di lettori DVD/CD eliminando tutti i

masterizzatori dalle postazioni di uso generico

Bloccare lutilizzo di dispositivi esterni su tutte le postazioni o limitarne luso al solo hardware aziendale censito

Controllo degli accessi e sistemi ad agente access control

mercoled 30 giugno 2010

Chiusura dei canaliUtilizzo di soluzioni NAC

NAC -> Network Access Controll

Accesso controllato ad ogni singola risorsa del sistema informatico aziendale mediante la definizione di policy

distinte per gruppi di utenti o computer

Supporto multi OS senza lobbligo, in alcuni casi, di installazione di un agent sul sistema

mercoled 30 giugno 2010

Soluzioni gratuite ed open source come Free NAC: http://freenac.net

Soluzioni commerciali, closed source e vendute spesso su appliance come CounterACT della ForeScout: http://www.forescout.com/counteract

Chiusura dei canaliUtilizzo di soluzioni NAC

mercoled 30 giugno 2010

Chiusura dei canaliAttacco informatico

Formare il dipendente alla cultura della sicurezza IT Mettere in sicurezza la rete aziendale esposta su Internet Utilizzo di Firewall Utilizzo di concentratori VPN per gli accessi dallesterno Utilizzo di sonde IDS/IPS

Mantenere in sicurezza la rete aziendale interna utilizzando sistemi con policy di accesso e monitoraggio delle attivit

Mantenere aggiornati tutti i sistemi informativi

mercoled 30 giugno 2010

E se il fatto fosse gi accaduto?

mercoled 30 giugno 2010

Indagine interna

Individuare tutti gli strumenti informatici utilizzati Computer Cellulare / Palmare Memorie di massa esterne

Preservare i dispositivi originali sostituendoli con delle copie clone ove possibile

Analisi del perimetro di azione del dipendente

mercoled 30 giugno 2010

Indagine interna

Lavorare, dove possibile, sulle copie fedeli delle memorie di massa dei dispositivi in analisi

Documentare tutte le procedure, dallacquisizione allanalisi dei dati, da produrre in un eventuale scenario giuridico

Coinvolgere un avvocato se necessariomercoled 30 giugno 2010

Ma le grandi aziende? C chi si assume il rischio senza prendere

misure preventive investendo zero

C chi paranoico a discapito dei processi di produzione investendo ingenti somme di denaro

C chi adotta misure intermedie investendo il minimo indispensabile

E c chi vende servizi di IT - Security e CF e si fa bucare il computer in albergo (Ghioni - Kroll)

mercoled 30 giugno 2010

Ma le grandi aziende?Un modello sicuro

Uso vietato della rete aziendale ai consulenti esterni dei propri computer portatili aventi sistema operativo Windows

Uso consentito della rete aziendale ai consulenti esterni dei propri computer portatili, a patto che abbia un sistema operativo diverso da Windows, previo controllo accordato ed approfondito in precedenza da parte dello staff tecnico

mercoled 30 giugno 2010

Cases study

mercoled 30 giugno 2010

Case study - 1

Sede italiana dellazienda: 200 dipendenti Sedi commerciali in tutto il mondo con

personale multi etnico

Produzione e vendita di cosmetici

Causa: una azienda estera produce la stessa ed identica fragranza di profumo rivendendolo a met prezzo nella nazione di produzione

Sospetto: dipendente di nazionalit estera con frequenti trasferte in quella nazione

mercoled 30 giugno 2010

Case study - 1

Il dipendente sospettato ha in uso un computer portatile che non lascia mai incustodito tant che tutte le sere uso

abituale portarsi il computer a casa con la scusante di lavorare anche durante i week end

Come ci accedo ai suoi dati!?!?!?

ASTUZIA!mercoled 30 giugno 2010

Case study - 1

Tecnico della Symantec (attore) venuto a posta in azienda per visionare tutte le postazioni di lavoro portatili per prevenire la

diffusione del super virus

Ritiro di tutti i computer portatili alle 14:00 nella sala riunioni, ad accesso consentito solo ai partecipanti allattivit, per

laggiornamento locale delle postazioni di lavoro

Clonazione della memoria di massa del computer portatile sostituendo lhard disk originale con quello clonato

mercoled 30 giugno 2