Smau Bologna 2010 Stefano Fratepietro

Furto dei dati aziendaliCome ti rubo in casa!

Tecniche di investigazione nell’informatica moderna

Bologna, 9 giugno - Smau 2010 Bologna Fiere

Dott. Stefano [email protected]

Creative Commons Attribuzione-Non opere derivate 2.5

mercoledì 30 giugno 2010

Obiettivi del seminario

• Presentazione del fenomeno dello spionaggio industriale

• Riferimenti giuridici

• Formazione alle PMI

• Sensibilizzazione dell’infrastruttura IT alle problematiche dello spionaggio industriale

• Case study


Dott. Stefano Fratepietro

• IT - Security specialist per il CSE Consorzio Servizi Bancari S.c.r.a.l

• Consulente di Informatica forense per tribunali, forze dell’ordine (Polizia Postale, Carabinieri e Guardia di Finanza) e privati

• Casi di importanza nazionale come Buongiorno! Vitaminic e Telecom Pirelli Ghioni

• DEFT Linux project manager


Spionaggio industriale

Attività condotta tra competitori per ottenere in maniera illecita informazioni industriali e commerciali

strettamente riservate


Luclar International, marzo 2007


Coop vs Esselunga, settembre 2009


Ducati vs Mv Augusta, maggio 2009


Consorzio industriale ASI, febbraio 2010


Centinaia e centinaia di casi l’annomai venuti alla luce per evitare un

danno d’immagine all’azienda


30%

50%

10%

10%

Tradimento interno dal basso Dipendente che cambia lavoroTradimento interno dall’alto Attacco informatico

Statistiche in un anno di attività (2009)

Su base annua di 30 interventi circa


Previsioni per il 2010

0

22,50

45,00

67,50

90,00

2006 2007 2008 2009 2010

Fonte: Il sole 24 ore, 31 marzo 2010


Riferimenti giuridici

• Il reato di spionaggio industriale in Italia corrisponde per la legge a "violazione di segreto industriale", ed è punito dagli articoli 621, 622 e 623 del Codice penale


http://it.wikipedia.org/wiki/Italia

http://it.wikipedia.org/wiki/Italia

http://it.wikipedia.org/wiki/Codice_penale

http://it.wikipedia.org/wiki/Codice_penale


• Art. 621 c.p. Rivelazione del contenuto di documenti segreti. Chiunque, essendo venuto abusivamente a cognizione del contenuto, che debba rimanere segreto, di altrui atti o documenti, pubblici o privati, non costituenti corrispondenza, lo rivela, senza giusta causa, ovvero lo impiega a proprio o altrui profitto, e' punito, se dal fatto deriva nocumento, con la reclusione fino a tre anni o con la multa da lire duecentomila a due milioni. Agli effetti della disposizione di cui al primo comma e' considerato documento anche qualunque supporto informatico contenente dati, informazioni o programmi (1). Il delitto e' punibile a querela della persona offesa. (1) Comma aggiunto dall'art. 7, L. 23 dicembre 1993, n. 547.



• A r t . 6 2 2 c . p . R i v e l a z i o n e d i s e g re t o professionale. Chiunque, avendo notizia, per ragione del proprio stato o ufficio, o della propria professione o arte, di un segreto, lo rivela, senza giusta causa, ovvero lo impiega a proprio o altrui profitto, e' punito, se dal fatto può derivare nocumento, con la reclusione fino ad un anno o con la multa da lire sessantamila a un milione. Il delitto e' punibile a querela della persona offesa



• Art. 623 c.p. Rivelazione di segreti scientifici o industriali. Chiunque, venuto a cognizione per ragione del suo stato o ufficio, o della sua professione o arte, di notizie destinate a rimanere segrete, sopra scoperte o invenzioni scientifiche o applicazioni industriali, le rivela o le impiega a proprio o altrui profitto, e' punito con la reclusione fino a due anni. Il delitto e' punibile a querela della persona offesa.


Spionaggio del passato

• Intercettazioni telefoniche, telecamere, microspie ambientali

• Individuo infiltrato o corrotto all’interno del contesto aziendale

• Copiatura di documenti con cartacarbone o fotocopiatore


Spionaggio del presente

• Intercettazioni telematiche (navigazione web, VoIP, chat, e-mail)

• Keylogger su personal computer, palmari e cellulari

• Dispositivi controllati remotamente

• Computer come cassaforte dei segreti aziendali


Principali canali per la fuga di informazioni

• Posta elettronica (aziendale o esterna)

• Memorie di massa esterne (penne usb, hard disk esterni)

• Navigazione Internet troppo permissiva

• Attacco informatico


Chiusura dei canaliPosta elettronica

• Bloccare l’invio e la ricezione di posta elettronica su rete Internet da parte degli account personali dei dipendenti

• Utilizzo di caselle di posta d’ufficio per spedire/ricevere posta su Internet

• Blocco dei siti Internet che offrono servizi di webmail, file sharing, instant messenger, webproxy


Chiusura dei canaliMemorie di massa esterne• Uso di lettori DVD/CD eliminando tutti i

masterizzatori dalle postazioni di uso generico

• Bloccare l’utilizzo di dispositivi esterni su tutte le postazioni o limitarne l’uso al solo hardware aziendale censito

• Controllo degli accessi e sistemi ad agente access control


Chiusura dei canaliUtilizzo di soluzioni NAC

NAC -> Network Access Controll

Accesso controllato ad ogni singola risorsa del sistema informatico aziendale mediante la definizione di policy

distinte per gruppi di utenti o computer

Supporto multi OS senza l’obbligo, in alcuni casi, di installazione di un agent sul sistema


• Soluzioni gratuite ed open source come Free NAC: http://freenac.net

• Soluzioni commerciali, closed source e vendute spesso su appliance come CounterACT della ForeScout: http://www.forescout.com/counteract

Chiusura dei canaliUtilizzo di soluzioni NAC


Chiusura dei canaliAttacco informatico• Formare il dipendente alla cultura della sicurezza IT

• Mettere in sicurezza la rete aziendale esposta su Internet

• Utilizzo di Firewall

• Utilizzo di concentratori VPN per gli accessi dall’esterno

• Utilizzo di sonde IDS/IPS

• Mantenere in sicurezza la rete aziendale interna utilizzando sistemi con policy di accesso e monitoraggio delle attività

• Mantenere aggiornati tutti i sistemi informativi


E se il fatto fosse già accaduto?


Indagine interna

• Individuare tutti gli strumenti informatici utilizzati

• Computer

• Cellulare / Palmare

• Memorie di massa esterne

• Preservare i dispositivi originali sostituendoli con delle copie clone ove possibile

• Analisi del perimetro di azione del dipendente


Indagine interna

• Lavorare, dove possibile, sulle copie fedeli delle memorie di massa dei dispositivi in analisi

• Documentare tutte le procedure, dall’acquisizione all’analisi dei dati, da produrre in un eventuale scenario giuridico

• Coinvolgere un avvocato se necessario


Ma le grandi aziende?• C’è chi si assume il rischio senza prendere

misure preventive investendo zero

• C’è chi è paranoico a discapito dei processi di produzione investendo ingenti somme di denaro

• C’è chi adotta misure intermedie investendo il minimo indispensabile

E c’è chi vende servizi di IT - Security e CF e si fa bucare il computer in albergo (Ghioni - Kroll)


Ma le grandi aziende?Un modello sicuro• Uso vietato della rete aziendale ai

consulenti esterni dei propri computer portatili aventi sistema operativo Windows

• Uso consentito della rete aziendale ai consulenti esterni dei propri computer portatili, a patto che abbia un sistema operativo diverso da Windows, previo controllo accordato ed approfondito in precedenza da parte dello staff tecnico


Cases study


Case study - 1

• Sede italiana dell’azienda: 200 dipendenti

• Sedi commerciali in tutto il mondo con personale multi etnico

• Produzione e vendita di cosmetici

Causa: una azienda estera produce la stessa ed identica fragranza di profumo rivendendolo a metà prezzo nella nazione di produzione

Sospetto: dipendente di nazionalità estera con frequenti trasferte in quella nazione


Case study - 1

Il dipendente sospettato ha in uso un computer portatile che non lascia mai incustodito tantè che tutte le sere è uso

abituale portarsi il computer a casa con la scusante di lavorare anche durante i week end

Come ci accedo ai suoi dati!?!?!?

ASTUZIA!mercoledì 30 giugno 2010

Case study - 1

Tecnico della Symantec (attore) venuto a posta in azienda per visionare tutte le postazioni di lavoro portatili per prevenire la

diffusione del super virus

Ritiro di tutti i computer portatili alle 14:00 nella sala riunioni, ad accesso consentito solo ai partecipanti all’attività, per

l’aggiornamento locale delle postazioni di lavoro

Clonazione della memoria di massa del computer portatile sostituendo l’hard disk originale con quello clonato


Case study - 1Risultanze

• Il dipendente aveva una corrispondenza diretta con l’azienda concorrente

• Furono recuperati file cancellati con le richieste dell’azienda concorrente e i progetti / ricette in allegato

• Il dipendente fu allontanato dall’azienda la settimana successiva alla comunicazione delle risultanze della perizia


Case study - II

• Piccola azienda di circa 30 dipendenti

• Nessun responsabile informatico in loco

• Produzione e progettazione di macchinari industriali

Causa: l’azienda concorrente per 8 mesi è riuscita ad imporsi al meglio sul mercato offrendo gli stessi macchinari a prezzi inferiori

Sospetto: fuga delle informazioni commerciali e sospetto di copiatura di interi progetti


Case study - II

Non c’è alcun sospetto sui dipendenti, non ci sono postazioni portatili, non esistono fornitori esterni che

lavorano in loco

Da un primo colloquio con il cliente, l’impressione è stata quella di paranoia e non rassegnazione del fatto che

l’azienda concorrente stesse andando meglio

Non era così!!!mercoledì 30 giugno 2010

Case study - II

L’intervento viene fatto nella notte, ad azienda chiusa. Presenti in loco vi era solo l’AD e la persona di fiducia

L’infrastruttura informatica era molto semplice: una rete piatta in classe C, 2 server e circa 10 workstation

I computer venivano lasciati accesi durante la notte

Su una delle postazioni accese ad un certo punto notiamo che il puntatore del mouse inizia a muoversi da solo

sfogliando le direcotry del computer


Case study - II

• Il file server era esposto direttamente su Internet con il Desktop Remoto abilitato

• Su tutti i computer era installato vnc server a totale insaputa dell’azienda

• Il computer dell’AD aveva un keylogger che oltre a catturare tutto ciò che venisse digitato, eseguiva degli screen shot

Decidemmo di intervenire al mattino per acquisire di dischi per poi scoprire che:


Case study - II

• Consegna alla Polizia Postale della perizia e dei log di sistema con gli indirizzi IP Internet che hanno acceduto nel tempo sul server

• Bonifica su tutti i computer e server presenti in azienda

• Installazione di un Firewall configurato a modo

Ad analisi terminate si proseguì con:


Case study - III

• Azienda di 40 dipendenti

• Personale tecnico informatico esterno

• Produzione di componenti di precisione

Causa: in corrispondenza di un forte calo degli ordini, il responsabile della produzione viene assunto nell’azienda concorrente

Sospetto: furto dei progetti


Case study - III

Il dipendente era solito lavorare in un ufficio isolato ed appartato senza colleghi con cui collaborare

I file dei progetti risiedevano su un due computer di uso quasi esclusivo del sospettato con totale libertà di utilizzo

sulla rete locale e Internet


Case study - III

• Il backup dei progetti veniva fatto su un hard disk esterno custodito in cassaforte

• Nella rete dell’azienda non vi era alcun dominio di rete

• I fatti potevano risalire ad almeno 6 mesi dall’intervento

Il colloquio con l’AD non fu molto produttivo questo perchè completamente disinteressato ai tipici usi

dell’infrastruttura informatica aziendale


Case study - III

• I file potevano essere stati spediti da quel computer direttamente su Internet

• Il dipendente ha collegato svariate volte il proprio computer portatile alla rete aziendale per usi privati

• Nei computer è stato rilevato l’utilizzo di una penna usb non appartenente all’azienda

Ad analisi terminate le uniche risultanze furono:


Ricapitolando...

• Reagire in tempi brevi porta ad una maggiore possibilità di ottenere risultanze utili

• Vietare ai dipendenti l’utilizzo di materiale informatico personale all’interno del contesto aziendale comporta ad una maggior tracciabilità degli eventi sospetti


Conclusioni

Ignorare la problematica è uno sbaglio

La paranoia è eccessiva

Prevenire è sicuramente meglio di curare...

... ma se proprio bisogna curare, farlo tempestivamente e senza improvvisare!


Riferimenti

• http://www.corriere.it/cronache/09_maggio_19/donofrio_mvagusta_ducati_72ecc4f8-4487-11de-a9a2-00144f02aabc.shtml

• http://www.lastampa.it/_web/cmstp/tmplrubriche/tecnologia/grubrica.asp?ID_blog=30&ID_articolo=4891&ID_sezione=&sezione=

• http://quotidianonet.ilsole24ore.com/2007/09/25/38198-spionaggio_industriale_esselunga.shtml

• http://www.comunicati-stampa.net/com/cs-35672/

• http://www.umbriainnovazione.it/portaldata/umbriainnovazionefile/0dossier_segreto_industriale.pdf

• http://steve.deftlinux.net/didattica


http://www.corriere.it/cronache/09_maggio_19/donofrio_mvagusta_ducati_72ecc4f8-4487-11de-a9a2-00144f02aabc.shtml




http://www.lastampa.it/_web/cmstp/tmplrubriche/tecnologia/grubrica.asp?ID_blog=30&ID_articolo=4891&ID_sezione=&sezione=




http://quotidianonet.ilsole24ore.com/2007/09/25/38198-spionaggio_industriale_esselunga.shtml




http://www.comunicati-stampa.net/com/cs-35672/

http://www.comunicati-stampa.net/com/cs-35672/

http://www.umbriainnovazione.it/portaldata/umbriainnovazionefile/0dossier_segreto_industriale.pdf




http://steve.deftlinux.net/didattica

http://steve.deftlinux.net/didattica

Domande?

Dott. Stefano [email protected]

Creative Commons Attribuzione-Non opere derivate 2.5

Bologna, 9 giugno - Smau 2010 Bologna Fiere


Technology

Smau Bologna 2010 Stefano Fratepietro