1. Milano, 24 ottobre 2013
IL FENOMENO DEGLI ATTACCHI INFORMATICI IN
ITALIA: CONSIDERAZIONI E SUGGERIMENTI
DAI PRIMI DATI EMERSI DA OAI 2013
M. R. A. Bozzetti
CD e Coms Officer AIPSI
CEO Malabo Srl (www.malaboadvisoring.it )

2. Chi siamo

3. Marco R.A. Bozzetti
• 1973 Laurea in Ingegneria elettronica al Politecnico di Milano
• 1971-85 CREI, Centro Rete Europea Informatica, polo italiano EIN,
prima rete europea di ricerca (tipo ARPA) a commutazione di pacchetto
• 1976-80 Olivetti R&D – Ivrea:Responsabile ONE, Olivetti Network
Environment, e comitati standard ISO, CCITT (ora ITU-C) , ECMA
(chairman VFS)
• 1980-82 Italtel: Responsabile Laboratorio R&D Reti Dati Private, 198284 Italtel Telematica : responsabile pianificazione strategica
• 1984-87 Arthur Andersen Management Consultants
• 1987-91 fondatore e Partner Ibimaint System Engineers
• 1988-94: fondatore e Partner C.A.SI, Consulenti Associati Sicurezza
• 1994-95 Fondatore e Presidente Integration&Engineers nel Gruppo MET
• 1995-2000 CIO Gruppo ENI
• 2001-2005 Fondatore e Presidente ClickICT Srl Gruppo GeaLab
• Dal 2001 Fondatore e Amministratore Unico Malabo Srl
• FTI, Forum delle Tecnologie dell’Informazione (fondatore)
• EITO, European Information Technology Observatory ( Coideatore e Chief Scientist)
• ClubTI di Milano (Past President)
• FidaInform, Federazione Italiana delle Associazioni
Professionali di Information Management (Past President)
• AIPSI-ISSA, Consiglio Direttivo

4. AIPSI: www.aipsi.org
AIPSI - Capitolo Italiano di ISSA ®
Associazione di singoli professionisti
Oltre 13.000 esperti in tutto il mondo
Per richiedere l’iscrizione:
http://www.aipsi.org/come-associarsi.html
Codice etico: http://www.issa-italy.org/aipsi_codice_etico.pdf
Statuto: http://www.issa-italy.org/statuto_aipsi.pdf

5. Chi e’ ISSA
•ISSA®, con l’attiva partecipazione dei singoli soci e dei relativi
capitoli in tutto il mondo, è la più grande associazione non-profit
di professionisti della sicurezza.
• L’organizzazione di forum educativi, la redazione di documenti e
pubblicazioni oltre all’interazione fra i vari professionisti della
sicurezza contribuiscono ad incrementare la conoscenza e la
crescita professionale.
• I soci sono professionisti nel campo della sicurezza a tutti i livelli
nei vari settori delle telecomunicazioni, formazione, sanità,
finance, industria e government

6. Obiettivi AIPSI
Organizzazione di forum educativi
Redazione di documenti e pubblicazioni specializzate
Interscambio di esperienze fra i professionisti del settore (nazionali e
internazionali)
Riferimento per la ricerca di professionisti di sicurezza ICT
Interazione con altre organizzazioni professionali
Rilascio di attestati e certificazioni specifiche (Eucip. LocSI)

7. Attacchi:
i dati più interessanti
emersi dal
Rapporto OAI 2012
e da altri Rapporti

8. Siamo sempre
potenzialmente sotto
attacco … anche se siamo
una PMI, uno studio
professionale, un esercizio
commerciale , …
04/27/08
5 8
8
Copyright 2008 - Trend Micro Inc.

9. Sicurezza vo cercando ….
irla
t
es
g
Sistemi informativi
aziendali e delle PA
Consumerizzazione
Ambiente
lavoro
DCS
e
te
is
Servizi ICT
Servizi ICT
in cloud e/o
in cloud e/o
terziarizzati
terziarizzati
as
L
z
ez
r
cu
i
a
T
IC
Social network
d
se
è
più
e
pr
m
o
ss
ple + mobile
Fisso
om
c
Inte es
n e
ornInternet
t d
an
elle
lut
o
cos
ss
e
a
Ambiente
personale
VDS, PLC, A/D Conv.

10. OAI, Osservatorio Attacchi Informatici in Italia
• Che cosa è
– Indagine annuale sugli attacchi ai Sistemi Informativi di Aziende e
Pubbliche Amministrazioni in Italia condotta attraverso un
questionario on-line indirizzo a CIO, CISO, CSO ed alle terze parti
(fornitori, consulenti) che gestiscono la sicurezza informatica
• Gli ideatori e realizzatori
Marco R. A. Bozzetti
Alessandro Betti

11. Obiettivi OAI
•
Avere cadenza periodica annuale
•
Coinvolgere tutte le Associazioni e gli Enti coinvolti e/o interessati nella
sicurezza informatica
•
Divenire uno strumento di ausilio nell’Analisi del Rischio ed il punto di
riferimento nazionale sulla sicurezza ICT, analogamente a quanto
avviene con il Rapporto CSI statunitense
•
Far conoscere e sensibilizzare i vertici delle Aziende/Enti sui problemi
della sicurezza ICT
•
Che cosa non è e non vuole essere OAI :
– Un’indagine criminologica estesa a tutti i crimini informatici (es.
pornografia e pedofilia elettronica, pirateria prodotti software, ecc.)
– Uno studio accademico
– Un’indagine di mercato

12. I Rapporti OAI annuali
Rapporto OAI 2012, di 48 pagine A4, fa il punto sugli
attacchi informatici in Italia rilevati nel 2010, 2011 ed il 1°
quadrimestre 2012
Rapporto OAI 2011, di 36 pagine A4, fa il punto sugli
attacchi informatici in Italia rilevati nel 2009 e nel 1°
quadrimestre 2010
Rapporto OAI 2009-10, di 46 pagine A5, fa il
punto sugli attacchi informatici in Italia rilevati nel
2007, nel 2008 e nel 1° quadrimestre 2009

13. Altre iniziative OAI
• Da marzo 2010 sulla rivista Office Automation tengo una rubrica
fissa mensile per OAI sugli attacchi informatici, con un taglio più
manageriale che tecnico.
– disponibili in formato elettronico: www.malaboadvisoring.it,
www.soiel.it
• Gruppo OAI su LinkedIn

14. La tassonomia degli attacchi considerata
1) Accesso e uso non autorizzato degli elaboratori, delle applicazioni supportate e delle relative
informazioni
2) Modifiche non autorizzate ai programmi applicativi e di sistema, alle configurazioni ecc.
3) Modifiche non autorizzate ai dati e alle informazioni
4) Utilizzo codici maligni (malware) di varia natura, quali virus, Trojan horses, Rootkit, bots, exploits,
sia a livello di posto di lavoro che di server
5) Utilizzo vulnerabilità del codice software, sia a livello di posto di lavoro che di server: tipici esempi
back-door aperte, SQL injection, buffer overflow ecc.
6) Saturazione risorse informatiche e di telecomunicazione: oltre a DoS (Denial of Service) e DDoS
(Distributed Denial of Service), si includono in questa classe anche mail bombing, catene di S.
Antonio informatiche, spamming ecc.
7) Furto di apparati informatici contenenti dati (laptop, hard disk, floppy, nastri, chiavette USB ecc.)
8) Furto di informazioni o uso illegale di informazioni
a) da dispostivi mobili (palmari, cellulari, laptop)
b) da tutte le altre risorse
9) Attacchi alle reti, fisse o wireless, e ai DNS, Domain Name System
10) Frodi tramite uso improprio o manipolazioni non autorizzate e illegali del software applicativo (ad
esempio utilizzo di software pirata, copie illegali di applicazioni ecc.)
11) Attacchi di Social Engineering e di Phishing per tentare di ottenere con l’inganno (via telefono, email, chat ecc.) informazioni riservate quali credenziali di accesso e il furto d’identità digitale
12) Ricatti sulla continuità operativa e sull’integrità dei dati del sistema informativo (ad esempio se non
paghi attacco il sistema e ti procuro danni, magari con dimostrazione delle capacità di attacco e di
danno conseguente…)
13) Altri tipi di attacco, quali ad esempio attacchi di tipo misto (Blended threat), sabotaggi,
vandalismi con distruzione di risorse informatiche
14) TA , Targeted Attacks e APT, Advanced Persistent Threat

15. I trend per gli attacchi
•
Motivazioni:
– Hactivism: aspetti di protesta e politici, soprattutto per i paesi con
governi dittatoriali o autoritari (Sud mediterraneo, Paesi arabi, ecc.)
– Timori per una crescita di attacchi ICT di tipo terroristico (blocco e/o
malfunzionamento infrastrutture critiche …)
– Crescita attacchi per spionaggio (anche industriale)
– Consolidamento crescita attacchi per frodi (ordine di B $,€/anno)
• ROI attacchi > 750%/mese
•
•
•
•
•
•
•
•
Crescita rischi e vulnerabilità nei sistemi “mobili”
APT, Advanced Persistent Threat
da “Aurora” a Flame e Lucycat
Offuscamento (Obfuscation) delle attività dell’attaccante
Proxy anonimi
Sottrazione dati
focalizzazione sui contenuti
Crescita dei siti “buoni” (affidabili) con collegamenti a siti maligni
Frodi e ricatti
Disponibilità DIY Kit per la creazione di codici maligni e botnet sempre più
facili da usare e poco costosi

16. Le cause delle crescenti minacce
•
Tutte le minacce si basano sulle vulnerabilità tecniche e/o umane-organizzative
– Vulnerabilità tecniche (software di base e applicativo, architetture e
configurazioni)
• siti web e piattaforme collaborative
• Smartphone e tablette
mobilità
>>14.000 malware
• Posta elettronica
spamming e phishing
• Piattaforme e sistemi virtualizzati
• Terziarizzazione e Cloud (XaaS)
• Circa il 40% o più delle vulnerabilità non ha patch di correzione
– Vulnerabilità delle persone
• Social Engineering e phishing
• Utilizzo dei social network, anche a livello aziendale
– Vulnerabilità organizzative
•
•
•
•
•
•
•
Mancanza o non utilizzo procedure organizzative
Insufficiente o non utilizzo degli standard e delle best practices
Mancanza di formazione e sensibilizzazione
Mancanza di controlli e monitoraggi sistematici
Analisi dei rischi mancante o difettosa
Non efficace controllo dei fornitoriù
Limitata o mancante SoD, Separation of Duties

17. Targeted Attack (TA) e APT
•
I TA, chiamati anche targeted threat, sono una relativamente nuova
classe di attacchi informatici rivolta ad uno specifico obiettivo, o ad un
limitato numero di obbiettivi, basato sull’ uso di più strumenti di attacco
con lo scopo primario:
a) di ottenere informazioni riservate ed importanti
frodi, spionaggio
b) di seriamente compromettere funzionalità e disponibilità di un sistema
informatico o di una sua parte
c) di seriamente compromettere immagine, credibilità ed autorevolezza
dell’obbiettivo attaccato
•
Tipici obiettivi target: Pubbliche Amministrazioni, Banche ed Istituti
finanziari, grandi Corporazioni , infrastrutture nazionali ad alta criticità
•
Nell’ambito dei TA una sottoclasse (logica) è costituita dagli APT,
Advanced Persistent Threat attacco mirato ad uno specifico target,
usando molteplici e paralleli strumenti di attacco, persistenti per essere in
grado di analizzare le vulnerabilità esistenti e le possibilità di attacco
slow and low
•
Sia TA che APT richiedono grandi risorse e competenze
cyberwar

18. Tipiche fasi di un Targeted Attack /APT

19. Esempi di TA e/o APT
•
•
•
•
•
•
•
2009-10 Operazione Aurora: attacco a Google (gmail) e ad altri giganti statunitensi dell’ICT
dalla Cina via vulnerabilità 0-day su IE e sul sw di controllo versioni codice di Google (Perforce)
2010 Stuxnet: attaccato il centro nucleare iraniano di Bushehr e altre infrastrutture critiche in
Cina, India, Indonesia, Pakistan
• Stuxnet è un codice maligno multicomponente tipo worm che infetta sistemi con
sistema operativo Windows, dal vecchio Windows 95 a Windows Server 2003, con
installato SIMATIC WinCC, il sistema Siemens per l’automazione dei sistemi SCADA.
• L’obiettivo del worm è prendere il totale controllo del sistema SCADA attaccato
2011 RSA: attacco a SecureID via spear phishing con Excel malevole che attivava codice
maligno Poison Ivy con funzionalità backdoor
2011 DigiNotar: CA olandese attaccata creando e diffondendo certificati digitali falsi nei
principali browser; un mese dopo è fallita
2012 Luckycat: campagna di attacchi in India, Giappone e Tibet ad industrie militari, energia,
aerospaziali, .. 90 attacchi compromettendo >233 server via TROJ_WIMMI, VBS_WIMMI,
botnet-C&C, Windows Management Instrumentation
2012 Flame: malware modulare e sofisticato di grandi dimensioni (+ 20 M) per ambienti
Windows focalizzato allo spionaggio informatico ed al furto di informazioni nei paesi
mediorientali
2012 Global Payments Inc: attacco per frode al suo sistema di pagamenti con POS e relative
carte di credito, pur essendo certificata PCI-DSS
– Costi del breach: 94 M$, di cui circa 36 M per la frode, il resto per riparare il danno

20. Gli strumenti tipici per TA e APT
Fonte:IDCc

21. Le imprese attaccate con APT in Italia
2013
Fonte:IDC

22. Mappa principali attacchi e relativi impatti
al 1° sem 2013

23. Mappa principali attacchi per nazione
al 1° sem 2013

24. Attacchi ai sistemi bancari e finanziari 2013
Fonte: TrendLabs 2013

25. Paesi con il maggior numero di collegamenti
a botnet
Fonte: TrendLabs 2013

26. a
Sa
So lwa
tu
r
ra cia e
l
zi
on En
g
e
M
ris .
od
Fu ors
if i
ch
rto e
e
n o d is
p
n
au .
t.
Sf
Si
ru
s
t.
Fr
At vul
ne o di
ta
cc
r
hi abi
At sic lit à
.
t
Fu a cc fi si
c
rto hi
al a
in
le
Fu fo d re
rto a m ti
R i nfo ob
ic
da i li
at
ti
f
Ac inf o iss
M
i
od ces rma
if i
ch si n tici
o
e
no n a
u
n
au t.
t.
da
ti
Al
t ri
M
% rispondenti
OAI 2012: Principali attacchi subiti
2010-2011-1°quad. 2012
80
70
60
50
40
30
20
10
0
2010
2011
1° quad 2012
TA e APT non erano
considerati a sé stanti,
come lo saranno in
OAI 2013
©OAI 2012

27. Al
tr i
So
cia Ma
lw
l
ar
Sa E n
e
gi
tu
ne
ra
er
zi
in
on
g
e
Fu
ris
M
r to
or
od
s
di
if i
sp e
ch
e
os
no
itiv
Fr
n
au i
od
t.
i in
S
fo
Sf
r m is
ru
a
t.
vu tich
e
ln
er
ab
At
i
ta
cc lità
At
hi
ta
fis
cc
ici
Fu
hi
r to
al
le
in
re
fo
ti
da
Fu
r to
m
ob
in
ili
fo
Ri
ca
da
tti
fis
in
si
fo
Ac
rm
M
ce
at
od
ss
ici
if i
in
ch
on
e
no
au
t
n
au .
t.
da
ti
% rispondenti
OAI 2012: Confronto principali attacchi subiti
2008-1°quad. 2012
90
80
70
60
50
40
30
20
10
0
2008
2009
2010
2011
2012 1° quad.
©OAI 2012

28. OAI 2012: Impatto dell’attacco
>10 casi impatto molto
significativo
3,4%
3,8%
3,2%
16,8%
13,7%
13,7%
>10 casi impatto poco
significativo
1° quad 2012
2011
1-10 casi impatto
molto significativo
3,8%
6,5%
6,7%
2010
76,0%
76,0%
76,4%
1-10 casi impatto poco
significativo
% rispondenti
©OAI 2012

29. OAI 2012: Azioni (multiple) dopo un attacco
Patch sul software
40,7%
Indagini interne
33,3%
Eliminati sistemi
32,1%
Policy e proc. organiz.
30,9%
Nuovi strumenti
30,9%
18,5%
Corsi formazione
Rimpiazzo sistemi
12,3%
Intervento legali
9,9%
Altro
2,5%
Indagini da esterni
2,5%
% rispondenti
©OAI 2012

30. OAI 2012: Tempi medi di ripristino
Non lo so
Oltre un mese
Meno di un mese
Meno di una settimana
Meno di 3 giorni
5,6%
0,0%
3,7%
0,0%
29,6%
61,1%
Meno di un giorno
% rispondenti
©OAI 2012

31. OAI 2012
OAI 2011
OAI 2009-10
Frode
informatica
Vandalismo
Sabotaggio
Azione
Dimostrativa
Spionaggio
Ricatto o
ritorsione
Terrorismo
60%
50%
40%
30%
20%
10%
0%
Altro
% rispondenti
OAI 2012: motivazioni per gli “attacchi
temuti nel futuro” nei vari Rapporti OAI
©OAI 2012

32. Crescita vulnerabilità sistemi mobili

33. Crescita delle minacce per Android
nel 2° trim. 2013
Fonte: TrendLabs 2013

34. OAI 2013
Sponsor alla data
In collaborazione con
Patrocinatori alla data

35. Questionario OAI 2013:
www.malaboadvisoring.it
• Totalmente anonimo
• 30-40 minuti circa per compilarlo
completamente

36. Grazie per l’attenzione!
Info@aipsi.org
www.aipsi.org
www.issa.org