fbpx

Blog

 

pcws2010 res40http://www.corrierecomunicazioni.it/it-world/34715_cybercrime-allarme-pos-malumpos-prende-di-mira-i-pagamenti-in-hotel-e-ristoranti.htm

Questa notizia è la dimostrazione di la nostra società moderna stia producendo software e sistemi di pessima qualità, nell'articolo si legge "I cybercriminali utilizzano questo malware per impossessarsi dei dati contenuti nelle bande magnetiche delle carte di credito, quando questi vengono trasferiti nella Ram del computer collegato al Pos. Questi dati, una volta estratti dagli hacker, possono essere utilizzati per clonare le carte di credito ed effettuare transazioni finanziarie fraudolente, utilizzando i conti bancari ad esse associati." 

Iniziamo dall'esame dei sistemi desk all-in-one di Oracle Micros, si tratta di dispositivi all-in-one che in un unico case raccolgono le funzioni di computer e di pos, normalmente, come accade per le casse automatiche di pagamento, tipo metro o asl, dovrebbero avere le componenti  pos e "computer" separate.
Dopodichè mi domandoperchè mai i dati della carta devono finire nella memoria del computer se uso un dispositivo di sicurezza per i pagmenti che si chiama POS????? e che è certificato dal suo produttore (ingenicoo/verifone etc...). per completare l'emissione dello scontrino? Ma scherziamo davvero!!!!
è sufficiente che il pos venga interrogato sull'esito della transazione, magari qualcuno è riuscito pure a farselo certificare PCI-DSS?


SAP Attack: l'ERP per eccellenza, la cassaforte di dati aziendali diventerà la meta preferita degli attaccanti.

perchè? Perchè contiene i dati aziendali più importanti per lo spionaggio industriale, e perchè è configurato per funzionare e non per essere sicuro, del resto è un prodotto in mano al management e alla parte amministrativa dell'azienda... a loro interessa che funzioni, la sicurezza è un di cui.
SAP, visto quello che costa alle aziende, non si è risparmiata dal stendere una guida alla configurazione sicura dei vari moduli. Peccato che per la complessità della sua architettura questa guida non viene quasi mai rispettata,  sono veramente pochi i sysadmin che si avventurano nell'hardening della piattaforma, la maggioranza preferisce seguire la guida di installazione classica.

In ogni caso i vincoli architetturali e le le griglie di compatibilità di SAP fanno spesso a cazzotti con i fix di sicurezza e le best practice di configurazione di Application Server e Database

Sapendo quanto SAP è intrinsecamente vulnerabile, dal punto di vista IT, e sapendo che con SAP in aziende medio grandi spesso viene gestito tutto o quasi, dal magazzino, alla contabilità industriale fino alle vendite e fatturazioni, diventa sicuramente un target importante di un attacco di tipo cyber spionaggio. 

Di data breach di SAP non se ne parla in Italia e se ne parla pochissimo in Europa, tipico ateggiamento di chi vuole non affrontare il problema,  in USA invece  questa tematica incomincia ad essere oggetto di attenzione, http://www.darkreading.com/attacks-breaches/first-example-of-sap-breach-surfaces/d/d-id/1320382

Le comunicazione di violazioni della sicurezza, o meglio i data breachs, ormai sdoganata oltre oceano, sembra ormai uno degli eventi all’del giorno. Home Depot, Target, Sony, JP Morgan Chase sono alcuni dei grandi nomi che di recente sono vittima di attacchi che hanno avuto come obiettivo il furto dell’informazione, il data loss. Anche se il fenomeno incomincia ad essere sdoganato ancora è difficile avere una disclosure su come sia stato condotto che possa essere di aiuto e monito a tutta la comunità di Internet per rispondere agli incidenti .
Una delle ultime vittime rese note è Anthem Inc. sembra che il sistema IT sia stato violato già nel dicembre 2014 e non rilevato per diverse settimane. Anthem ha messo a disposizione delle vittime del furto di identità un sito in cui i clienti possono richiedere una verifica e un indennizzo,ed è quantomai giusto e corretto trattandosi di servizi finanziari.
Tornando al tema con cui ho aperto questo post, è chiaro che il rischio di un data breach si riduce quando l’azienda, adotta metodicamente un processo di monitoraggio e seorveglianza, mettendo in campo checkup della sicurezza costituiti certamente da security audit interni, ma anche da audit di terza parte, indipendenti e svincolati dalle logiche aziendali, attività di pentest ed accertaemnti tecnici forensi a campione.
Sono tutte soluzioni che singolarmente portano un contributo significativo ma spesso contestualizzato ad una specifica necessità, se coordinati in un processo di monitoraggio e governo della sicurezza possono permettere di ridurre notevolmente il rischio e, a differenza di Anthem Inc, rilevare con tempestività un data breach. Personalmente penso che in contesti finanziari e industriali tali azioni di monitoraggio e sorveglianza dovrebbero essere pubblicate in forma sintetica per il grande pubblico: nessuno crede razzionalmente ad una comunicazione di tipo rassicurante “siamo bravi e facciamo del nostro meglio “ data dopo il data breach, discorso diverso sarebbe avere report trimestrali sull’attività di sorveglianza/audit della sicurezza dei sistemi IT. Anche in caso di data breach la storia dimostrerebbe l’attenzione dell’azienda al problema e i comunicati expost sarebbero certamente più credibili con danni reputazionali molti più bassi.

Studio Fiorenzi P.IVA 06170660481 - Perizie Informatiche Forensi e Consulenze Tecniche a valore Legale e Giudiziario in Tribunale