La rubrica di approfondimento I VENERDI’ DI S NEWS, tratta oggi il tema della Social Media Security, argomento estremamente attuale, emergente ed altrettanto delicato, un tema “caldo” del Rapporto Clusit, nuova edizione Settembre 2013, già presentato precedentemente.
Quello che proponiamo qui di seguito è l’articolo a cura di Andrea Zapparoli Manzoni.
Buona lettura!
la Redazione
Social Media Security
I Social Media sono uno dei temi emergenti anche in ambito Security. Nella edizione precedente del Rapporto (2012) avevamo già affrontato questo tema, focalizzandoci sulle quattro dimensioni fondamentali del problema, dimensioni che rimangono a tuttora di rilevante interesse:
1. I Social Networks sono intrinsecamente basati su un (prevalentemente infondato) senso di fiducia tra i propri membri;
2. I metodi di autenticazione sono carenti e l’identità degli utenti non è accertabile (né accertata);
3. Gli attacchi sono condotti per lo più a livello semantico, tramite tecniche di social engineering e messaggi ingannevoli, ben al di là delle possibilità di rilevamento da parte delle difese tradizionali;
4. La diffusione di smart phones personali e la crescente tendenza verso la consumerization dell’IT aziendale a causa del fenomeno del BYOD (che implica un dual use di questi terminali), unita al fatto che ormai il 50% delle connessioni ai Social Network avviene tramite mobile, rende le difese tradizionali inapplicabili, o le vanifica sostanzialmente.
Di conseguenza al giorno d’oggi un’organizzazione che utilizzi i Social Networks sia verso l’esterno che, a maggior ragione, al proprio interno, si espone immediatamente ed inevitabilmente ad un ampio spettro di rischi in termini di reputazione e di responsabilità verso terzi (altri utenti, clienti e partner), ad attività di Open Source Intelligence da parte di competitors e malintenzionati (per esempio spammers e cybercriminali), oltre a rischiare la perdita di dati sensibili (ai sensi della normativa sulla privacy, o di business), di credenziali di accesso (per esempio bancarie, o della posta elettronica) e naturalmente la compromissione (hijacking) dei propri account sui social network, se non dei propri sistemi informatici.
Oggi non esiste un ambito nel quale da un lato le attività malevole abbiano maggiore probabilità di successo ed i rischi siano minori per i malintenzionati, e dall’altro gli errori umani possano propagarsi con maggiore velocità, dei Social Network.
Nel corso del 2012 questo insieme di concause ha determinato un aumento significativo degli incidenti avvenuti a causa dell’utilizzo (o del non utilizzo, che genera furti di identità) dei Social Network, a fronte del fatto che non sono stati mitigati in modo adeguato i rischi, e che contestualmente le minacce (in base al nostro campione di incidenti) sono aumentate del 900% in un anno.
Ciò nonostante ancora oggi dobbiamo constatare che i progetti aziendali orientati all’utilizzo dei Social Media (anche di grandi aziende) sono guidati e gestiti esclusivamente dalle funzioni di business e dal marketing, mentre il coinvolgimento dei sistemi informativi rimane minimo, e la sicurezza non viene ancora chiamata in causa per svolgere quelle attività sistematiche di prevenzione che, come è facilmente comprensibile, sono molto più efficaci di quelle reattive post incidente (anche per la mancanza cronica di competenze in materia di Crisis Management, disciplina praticamente sconosciuta nel nostro Paese).
2012: L’anno dell’affermazione globale dei Social Network
A livello globale, il 2012 è stato l’anno dell’affermazione dei Social Network quali piattaforme privilegiate di diffusione e scambio di informazioni via Internet (a qualsiasi titolo e per qualsiasi finalità) non solo per miliardi di persone, ma anche per molti milioni di imprese, enti ed Istituzioni.
È stato l’anno in cui, in ogni pubblicità, è comparsa la frase “seguici su Facebook”, ed anche quello che ha visto Twitter diventare un punto di riferimento (a torto o a ragione) per tastare il polso agli umori ed alle tendenze di pensiero della gente, in ogni ambito. La stessa campagna elettorale in corso in questi giorni è ormai svolta in parte tramite i Social Network, con tutte le conseguenze del caso.
Oltre ad essere diventati un punto di riferimento universale, i Social Network nel loro complesso sono ulteriormente cresciuti, sia in termini di utenza che per quanto riguarda il numero delle piattaforme disponibili.
Tra i Social Network generalisti Facebook ha raggiunto il miliardo di profili (corrispondenti a circa 800 milioni di utenti reali, escludendo i profili fake ed i bot), Google+ è cresciuto a sua volta, LinkedIn e Twitter hanno superato i 200 milioni di iscritti nel mondo, e tra gli utenti di questi Social Network figurano circa l’80% degli utenti abituali di internet del nostro Paese, ovvero oltre 22 milioni di italiani.
Si sono anche affermati nuovi modelli di Social Networking, da Pinterest a Tumblr, da Badoo (che in Italia è la seconda piattaforma più utilizzata) a Last.fm, ciascuno deputato a “coprire” una specifica nicchia ecologica all’interno di un panorama in continua espansione, all’interno del quale gli utenti ormai trascorrono 1 minuto ogni 3 di navigazione Internet.
Questa prepotente affermazione però non ha coinciso con una presa di coscienza da parte degli utenti, né con l’adozione di particolari forme di protezione da parte delle piattaforme Social (per esempio, applicando sistemi di autenticazione forte all’accesso, o monitorando i propri network per bloccare le minacce alla fonte).
Nel corso dell’anno le stesse piattaforme Social sono state vittime di importanti attacchi, che hanno causato il furto delle credenziali di milioni di utenti.
L’unione di questi due macro-trend ha posto le basi per un aumento impressionante di incidenti.
L’insostenibile leggerezza dei Social Network
Nonostante questo tumultuoso sviluppo i Social Network continuano ad essere utilizzati in modo superficiale da tutte le tipologie di utenti, dal top manager al politico, dalle agenzie di comunicazione ai media, dagli utenti finali alle imprese ed alle istituzioni, indifferentemente.
Gli utenti sembrano non preoccuparsi delle possibili conseguenze in termini di perdita di dati personali, stalking, cyber bullismo, furti di identità, frodi di ogni genere, spionaggio ed attacchi da parte di cyber criminali, nonostante nel nostro Paese nel 2012 il 40% degli utenti adulti di Internet siano stati raggiunti da qualche forma di minaccia informatica, circa la metà delle quali veicolate tramite Social Network.
In particolare risulta incomprensibile l’atteggiamento di molti genitori, che consentono ai propri figli minorenni, spesso anche minori di 14 anni, di trascorrere quotidianamente ore sui Social Network, esponendosi ad ogni sorta di minaccia con la più totale mancanza di consapevolezza.
Allo stesso modo desta preoccupazione l’adozione spesso improvvisata dei Social Network da parte delle nostre PMI e di molte Pubbliche Amministrazioni, che si espongono a gravi rischi di compromissione dei propri sistemi e di furto di dati sensibili lanciandosi senza protezioni di sorta in quella che è diventata una vera e propria “jungla” digitale.
Infine, la mancanza di linee guida e di normative specifiche lascia margini di iscrezionalità troppo vasti e non supporta chi si occupa di Social Business Security, dato che la mancanza di oneri specifici porta molte organizzazioni a sottovalutare i rischi, assumendo un atteggiamento attendista che aumenta in modo eccessivo l’esposizione ai rischi.
Purtroppo è sufficiente ricevere un’email di questo tipo, e cliccare sul contenuto, per essere compromessi da malware quali Citadel, Zeroaccess, o Black Hole e diventare vittime di ogni genere di abusi.
Allo stesso modo, ciascun link pubblicato sulla bacheca di Facebook (o in un Tweet) da un presunto “amico” può condurre allo stesso risultato.
Quando si legge che lo spam tradizionale nel 2012 è diminuito di oltre il 50%, bisogna ricordare che non è scomparso, ha solo cambiato modalità di diffusione migrando sui Social Network, tramite i quali vengono inviati miliardi di messaggi malevoli come quelli riportati, in molte centinaia di varianti (spesso sfruttando l’attualità), che colpiscono milioni di persone ogni giorno.
Scenari futuri e possibili contromisure
In base ai dati raccolti dalla recente ricerca “Social Media Effectiveness Use Assessment” svolta da SNID del Politecnico di Milano, in Italia la penetrazione dei Social Network in ambito aziendale è circa del 50% (con punte del 70% in alcune aree geografiche come la Lombardia), ed è destinata ad aumentare ulteriormente nel corso di quest’anno.
Gli scenari futuri, in un mondo nel quale si scambieranno 134 exabyte di dati via Internet entro il 2017 (134 volte il volume di traffico IP fisso o mobile che esisteva nel 2000), principalmente tramite device mobili, costantemente connessi ad alta velocità ad Internet ed in particolare ai sempre più numerosi Social Network ed a piattaforme Cloud, sono affascinanti e preoccupanti al tempo stesso.
Due miliardi di persone saranno collegate ai Social tramite “app” in esecuzione sui loro smartphone e tablets, e scambieranno trilioni di immagini, messaggi e video per lavoro ed a fini ricreativi. Se i trend attuali non saranno in qualche modo invertiti, tutto questo sviluppo porterà inevitabilmente ad un ulteriore aumento degli incidenti, con conseguenze sempre più gravi.
Il malware si sta già adattando per infettare sistemi mobili, ed è recente la notizia di una botnet cinese composta da un milione di smartphone, che prefigura quello che potrebbe accadere, su scala ancora più vasta, nei prossimi anni.
Risulta dunque di fondamentale importanza adottare un insieme di processi e strumenti di analisi e moderazione in tempo reale della conversazione, di monitoraggio contro gli attacchi basati sul malware, di tutela legale, di formazione continua del personale, di prevenzione delle minacce e di gestione degli incidenti, sia per ottimizzare il ROI dei Social Media che per evitare danni economici o d’immagine (anche importanti e complessi da sanare), o per rimediare ove si siano già verificati. In questo genere di attività i tempi di reazione, data la natura virale ed istantanea dei Social Media, sono fondamentali, e richiedono competenze specifiche e cambiamenti organizzativi mirati, che non si possono improvvisare.
Occorre implementare quanto prima dei processi specifici di Social Business Security, realizzata in un’ottica di Risk Management e di prevenzione, al fine di proteggere gli asset informatici (infrastrutture, dati) e quelli immateriali, non meno importanti (reputazione, brand, proprietà intellettuale), senza dimenticare gli importanti profili di compliance e di tutela legale necessariamente implicati dall’uso dei Social.
Per quanto riguarda gli utenti finali, iniziano ad essere realizzate iniziative di sensibilizzazione (lodevole quella del Garante per la Privacy), ma è necessario fare molto di più, cominciando dalle scuole di ogni grado, per creare il giusto livello di consapevolezza tra i giovani ed i giovanissimi, che sono e sempre più saranno i principali utenti dei Social Network.
a cura di Andrea Zapparoli Manzoni
Andrea Zapparoli Manzoni si occupa con passione di ICT Security dal 1997 e di Cyber Crime e Cyber Warfare dal 2003, mettendo a frutto un background multidisciplinare in Scienze Politiche e Computer Science. È Presidente de iDialoghi e Direttore Generale di Security Brokers, essendo tra i soci fondatori di entrambe le aziende. È membro del gruppo di lavoro “CyberWorld” nell’ambito dell’Osservatorio per la Sicurezza Nazionale del Centro Militare di Studi Strategici. È membro del Consiglio Direttivo di Clusit e di Assintel. Ha tenuto per Clusit numerosi seminari e partecipato come speaker alle varie edizioni del Security Summit ed alla realizzazione di white papers (FSE, ROSI v2, SocialMedia) in collaborazione con la Oracle Community for Security. Per il Rapporti Clusit 2012 e 2013 sulla sicurezza ICT in Italia, oltre ad essere l’autore del focus on “Social Media Security”, ha curato la sezione relativa all’analisi dei principali attacchi a livello internazionale ed ai trend futuri.
