Sicurezza informatica a 360°

Backup e disaster recovery

Dopo aver seguito un webinar di OVH sul cloud e considerando tutte le mie esperienze passate ho deciso di scrivere questo articolo.

Che centra il backup e il disaster recovery con il cloud?

Nella realtà centra moltissimo, l'obiettivo di questo articolo non è parlare di cloud ma di come venga posta pochissima attenzione sulla gestione dei backup.

Una delle parole più ricercate sui motori di ricerca in questo ultimo periodo è proprio la parola backup. Questo vuol dire che stà aumentando la sensibilità delle persone sulla gestione dei dati.

Le attenzioni da porre sono tantissime, però adesso focalizzerò l'attenzione solo sul backup.

Le domande che dovremmo porci sono le seguenti:

  1. Perchè dobbiamo fare i backup?

    I backup dovrebbero essere realizzati per mitigare o porre rimedio ad una perdita di dato / informazione / infrastruttura.
    In genere tutti pensano solo ai dati; in realtà la parola dato è troppo riduttiva perchè con i dati in se molte volte non si riesce a soddisfare la necessità di ripristinare la normale operatività in caso di guasti o danni che hanno ingenerato una perdita.
    Quindi ultimamente, grazie anche all'evoluzione della tecnologia, è possibile e doveroso preoccuparsi di salvaguardare dati ed infrastruttura.
    Riporto un semplicissimo esempio di vita reale in cui tantissimi lettori si ritroveranno:
    Ipotizziamo che un'azienda, piccola o grande che sia, faccia regolare backup dei dati gestiti dal proprio gestionale. Questo applicativo era localizzato su un server fisico o virtuale e subisce un danno irrimediabile. Quindi cosa si fà? Abbiamo i backup quindi siamo salvi!!!!!!
    Crediamo di essere salvi ma in realtà i dati in sè non ci forniscono la possibilità di poter tornare alla normale operatività, anzi se non abbiamo adottato alcune precauzioni potremmo incorrere nel problema di non avere nulla in mano.
    Ipotizzando di essere fortunati e che i dati siano validi, abbiamo altri ordini di problemi da risolvere come la re-installazione dell'applicativo sul nuovo server che dovrà scontrarsi con altri aspetti quali disponibilità del fornitore ad eseguire questa attività in tempi brevi e disponibilità di replicare lo stesso ambiente operativo ove era installato.
    Quindi una risposta corretta alla domanda dovrebbe essere: perchè dobbiamo poter ripristinare la normale operatività nel più breve tempo possibile con la minima perdita di tempo. Tecnicamente migliorare RTO ( Tempo di ritorno alla normale operatività) e RPO (Punto di ritorno alla operatività)

    Questo esempio è riscontrabile in tutti i settori, personalmente ho riscontrato questo tipo di problema sia presso studi di commercialisti, che in stalle di mungitura, che in multinazionali nel settore industriale, che in aziende operanti nel settore dell'ecommerce, ecc.

  2. I backup che cosa devono comprendere?

    La risposta a questa domanda dovrebbe essere: dati + ambiente operativo + infrastruttura di supporto.
    I dati sono le informazioni.
    L'ambiente operativo è la macchina fisica o virtuale con la proprio configurazione per la corretta esecuzione dell'applicativo.
    L'infrastruttura di supporto sono tutte le configurazioni o gli ambienti operativi che sono a supporto dell'applicativo ( i.e.: firewall, dns. router, dhcp, time server, ecc)

  3. Con quale frequenza devo fare i backup e di quale tipo?

    La frequenza con cui devono essere eseguiti i backup sono fortemente dipendenti da che livello di RTO e RPO si vogliono raggiungere. A parte i casi più esigenti in cui si realizzano backup in tempo brevissimi, frazioni di secondi, nella maggior parte dei casi si possono considerare valutare backup giornalieri o settimanali.
    Attualmente con il livello tecnologico raggiunto consiglio di realizzare un piano di backup integrale del seguente tipo:
    1 backup giornaliero per l'ultima settimana, 1 backup settimanale nell'ultimo mese, 1 backup mensile negli ultimi 3/6 mesi.
    Nel caso in cui fosse necessario un backup più spinto è possibile accoppiare al backup integrale con un backup incrementale con il seguente piano:
    1 backup ogni ora per le prime 24 ore, un backup giornaliero, un backup settimanale nell'ultimo mese, un backup mensile negli ultimi 3/6 mesi.

  4. Dove devo custodire i backup?

    I backup per essere custoditi correttamente dovrebbero essere custoditi in almeno 2 luoghi fisicamente separati e possibilmente uno deve essere fuori linea. Un'altra buona pratica è la custodia in due luoghi a grande distanza cioè oltre 200 km

  5. Quando devo usare i backup?

    I backup devono essere utilizzati per ripristinare parte della propria infrastruttura IT o per accedere ad una vista dei dati risalente al passato non ricostruibile normalmente.

  6. Esiste una modalità operativa per avere certezza sulla corretta gestione dei backup?

    La risposta è si.
    Per sapere se i backup avvengono correttamente è necessario avere una evidenza dell'esecuzione del backup.
    Questa evidenza non si ottiene con un a semplice comunicazione orale o via email o sms che il backup è stato eseguito correttamente.
    Sarà necessario o ricevere una comunicazione con un dettaglio dell'operazione di espletamento del backup o avere uno strumento che esegua un monitoraggio della corretta esecuzione della procedura di backup.
    Ma non basta è necessario che ogni 3/6/12 mesi venga eseguito un tentativo di ripristino in ambiente di test.

 Quindi i backup sono il punto di partenza per poter applicare una corretta politica di disaster recovery (ripristino da disastri).

Personalmente consiglio di affidarvi ad esperti del settore che abbiano le competenze per gestire in sicurezza il backup ed il disaster recovery.

Potrebbe essere impossibile o molto gravoso dover ripristinare dati ed ambienti che abbiano subito un danno invalidante.

Tra i danni invalidanti ricordo che oltre alla classica rottura hardware ci sono anche virus, oltre al fattore H (l'uomo).

In conclusione cosa centra il backup e disaster recovery con il cloud?

Questi argomenti sono fortemente legati, perchè nel caso in cui si gestiscono dati o applicativi in cloud sarà necessario porre ancora più attenzione alle modalità di trattamento di questi dati.

Ricordo inoltre che il recente Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation) pone finalmente dei punti fermi sulla responsabilità, e quasi sempre ricadono su chi li tratta ed ha avuto l'autorizzazione a farlo. Avere dati ed applicativi in cloud non riversa la responsabilità sul Service Provider che eroga il servizio di cloud.

Avere un cloud è un onere in più e deve essere gestito correttamente !!!!!!!!

Gestire dei dati e non inquadrarli in una corretta politica di backup gestita in piena sicurezza può avere dei riflessi molto onerosi per il gestore.

 

Buone pratiche per tutelare i propri dati

La sicurezza assoluta non esiste, però applicando delle buone pratiche è possibile evitare perdite irrimediabilmente di dati.

Qui di seguito sono riportate alcune

  1. Proteggere i dati, indipendentemente dal loro luogo di archiviazione: è importante fare una valutazione completa dei dati e sapere dove sono archiviati. Mappare i luoghi (compresi data center, sedi remote e di service provider) e comprenderne il flusso di dati. Porre molta attenzione ai sistemi che archiviano, processano o trasmettono dati sensibili e al livello di rischio che rappresentano per le attività. Quindi scegliere, implementare e gestire i controlli di sicurezza in base al rischio.

  2. Proteggere gli endpoint vulnerabili: laptop e desktop sono facili bersagli per un ransomware o virus, soprattutto se non sono sufficientemente protetti. È importante dotarsi di soluzioni plug-in per la web browser URL reputation che mostreranno la reputazione degli accessi al sito. Limitare l’utilizzo ad applicazioni approvate a livello corporate, implementare autenticazione a due fattori su ogni sito o app e dotarsi di soluzioni di backup che possano ripristinare in modo veloce il sistema di un singolo utente in caso di attacco, per evitare ulteriori contaminazioni in azienda.

  3. Attività di formazione costante per gli utenti: il modo migliore per combattere i ransomware/virus è prevenirne l’accesso nell’infrastruttura. La maggior parte degli attacchi avviene via email, perciò è necessario formare gli utenti e renderli consapevoli dei rischi legati agli allegati email e sull’importanza di non aprire alcun documento o link ricevuto da mittenti sconosciuti o non di fiducia e di non eseguire alcun software scaricato da Internet senza verificare l’assenza di malware. Incoraggiarli a segnalare ogni attività sospetta o il timore di essere stati attaccati.

  4. Integrare la strategia di protezione dei dati: scegliere una soluzione che garantisca visibilità completa e integrata di tutti i dati archiviati, per avere la possibilità di rispondere in modo rapido alle violazioni e di semplificare le attività di controllo e gestione quotidiane. Una soluzione potente sarà in grado di proteggere tutti i componenti, dai file server agli array storage, alle app di file sharing di terze parti nel cloud e di monitorare, identificare e segnalare il livello di modifica dei file, in modo tale da rilevare velocemente ogni attività sospetta e prendere le dovute contromisure prima che il malware faccia il suo ingresso e colpisca altri sistemi.

  5. Utilizzare una configurazione a doppio backup: per una protezione garantita, si raccomanda di configurare il doppio backup, in cui è connesso solo un sistema alla volta. In questo modo, se un hacker non trova l’accesso ai set di backup online, non potrà entrare per cancellare il pool di risorse di backup collegato. Inoltre, utilizzare un archivio virtuale sicuro, centralizzato e ricercabile, può proteggere anche il cold storage (soluzione di archiviazione per dati “inattivi”).

  6. Conservare una “master image” di sistemi e configurazioni: possedere una master image elimina la necessità di pagare un riscatto qualora un ransomware dovesse riuscire ad accedere e infettare i sistemi. Se un sistema viene colpito, è possibile clonarlo facilmente con il sistema di partenza. È tuttavia necessario proteggere in modo adeguato le master image per assicurarsi che non possano mai essere attaccate.

 

Impiegare tool gratuiti su Internet per analizzare i propri servizi

I nostri servizi esposti su Internet sono e saranno sempre esposti ad attacchi.

Come possiamo fare per tutelarci?

  1. aggiornare sempre i prodotti software impiegati lato server per essere allineati con gli aggiornamenti di sicurezza;
  2. configurare i propri servizi con il minimo di funzionalità necessarie;
  3. eseguire revisioni periodiche delle configurazioni;
  4. eseguire test di operatività dall'esterno;

Il punto 4 può essere eseguito sia con strumenti ad hoc ed in parte con strumenti presenti su Internet.

Posta elettronica

Il servizio di posta elettronica può essere autogestito o gestito da terzi, in entrambi i casi è utile verificare la qualità del servizio erogato.

Un servizio di posta elettronica può essere valutato di buona qualità sotto il profilo della sicurezza se:

  1. impiega la cifratura con meccanismi e standard non vulnerabili
  2. il proprio IP pubblico associato al servizio non sia presente in alcuna blacklist di spam
  3. è abilitato il record SPF che indica correttamente quali server possano spedire email per il proprio dominio
  4. si dispone di un accesso ad Internet a banda larga adeguato al traffico che deve gestire

 Per il punto 1 si possono utilizzare i seguenti strumenti:

 per il punto 2 si possono utilizzare i seguenti strumenti:

per il punto 3 si possono utilizzare i seguenti strumenti:

Sito WEB

Il servizio web può essere autogestito o gestito da terzi, in entrambi i casi è utile verificare la qualità del servizio erogato.

Un servizio web può essere valutato di buona qualità sotto il profilo della sicurezza se:

  • impiego della cifratura con meccanismi e standard non vulnerabili
  • non essere essere presenti in alcuna blacklist
  • impiegare il minor numero di cookies e possibilmente interni al dominio di riferimento
  • avere un accesso ad Internet a banda larga adeguato al traffico che deve gestire

Per il punto 1 si possono utilizzare i seguenti strumenti:

  • https://ssllabs.com/ssltest/

per il punto 2 si possono utilizzare i seguenti strumenti:

per il punto 3 si possono utilizzare i seguenti strumenti:

 

Per precisione le valutazioni ottenibili da queste verifiche non garantiscono la qualità del servizio sotto tutti gli aspetti, però forniscono già un punto di partenza per valutare il servizio erogato.

Per una analisi completa è necessario eseguira un GAP analisys del proprio sistema informativo.

Backup on line, fidarsi è bene, ma non fidarsi è meglio

Molte aziende hanno bisogno di gestire i propri backup in modo sicuro ed alcuni cercano di affidarsi a professionisti o ritenuti tali per espletare questa attività. Molti operatori cercano di vendere delle soluzioni in cloud o similari al fine di vendere un servizio.

Queste soluzioni non sono da disprezzare, ma vanno gestite con oculatezza. Chi si affida a questo tipo di soluzione deve essere conscio dei rischi a cui è sottoposto.

Voglio riportare un caso reale di gestione errata da parte di un operatore che vendeva un servizio di backup remoto ad un mio cliente fino a quando ho eseguito un'analisi e dietro mia indicazione il cliente ha provveduto ad impiegare un sistema di backup automatizzato gestito in casa e controllato direttamente da se stesso senza l'impiego di improvvisati gestori di backup in cloud.

Esaminando la procedura di backup ho riscontrato che impiegavano una connessione ssh verso un server remoto per eseguire una sincronizzazione via rsync di alcune cartelle condivise.

Esaminando più dettagliatamente la modalità di accesso al server remoto ho riscontrato che non erano state applicate le più elementari politiche di sicurezza.

Riporto il seguente listato per discutere le problematiche emerse:

 $ ls -l /home/
total 128
drwxr-xr-x 5 utente1 utente1 13 Jan 2 11:54 utente1
drwxr-xr-x 5 utente2 utente2 13 Mar 20 13:56 utente2
drwxr-xr-x 5 utente3 utente3 13 Feb 21 12:09 utente3
drwxr-xr-x 5 utente4 utente4 14 Jan 16 16:54 utente4
drwxr-xr-x 5 utente5 utente5 13 Jan 24 17:00 utente5
drwxr-xr-x 5 utente6 utente6 13 Dec 27 12:29 utente6
drwxr-xr-x 5 utente7 utente7 13 Feb 8 13:56 utente7
drwxr-xr-x 5 utente8 utenti8 13 Dec 18 16:02 utente8
drwxr-xr-x 5 utente9 utente9 14 Dec 28 12:53 utente9
drwxr-xr-x 5 utente10 utente10 13 Jan 4 14:00 utente10
drwxr-xr-x 5 utente11 utente11 13 Jan 31 16:48 utente11
drwxr-xr-x 5 utente12 utente12 13 Jan 29 13:25 utente12
drwxr-xr-x 5 utente13 utente13 13 Jan 8 11:44 utente13
drwxr-xr-x 5 utente14 utente14 13 Feb 13 09:58 utente14
drwxr-xr-x 5 utente15 utente15 13 Feb 5 15:39 utente15

poi all'interno delle cartelle di ogni utente erano presenti due cartella FolderA e FolderB contenenti i backup realizzati in date alternate tipo:

  • A i giorni dispari
  • e B impiegata per realizzare i backup dei giorni pari.

queste cartelle presentavano i seguenti permessi

FolderA

drwxrwxrwx 92 utente1 utente1 92 Mar 27 13:32 condivisa

FolderB

drwxrwxrwx 92 utente1 utente1 92 Mar 26 10:21 condivisa

Quindi da questa semplice analisi ho riscontrato che:

  1. un qualsiasi utente sa quanti utenti sono definiti nel sistema. Questo listato è stato anomizzato, ma nella realtà erano presenti username non anonimizzati riconducibili ad aziende reali consultando il file passwd;
  2. è possibile prendere visione da parte di uno qualsiasi degli utenti delle informazioni degli altri.
  3. è possibile esportare, modificare e cancellare qualsiasi dato presente nelle cartelle home dei vari utenti.

Alla luce di questa breve analisi si intuisce che un eventuale malintenzionato che si impadronisce delle credenziali di accesso di un qualsiasi utente può impadronirsi dei dati degli altri.

Quindi la sicurezza dei backup dov'è?

  • questi backup non sono riservati;
  • questi backup sono alterabili da terzi.
  • questi backup non sono cifrati. Ricordo sempre che quando si esportano i dati fuori dal proprio sistema IT, essi dovrebbero sempre cifrati per impedire che un terzo possa leggerli.

Personalmente consiglio sempre di custodire i propri dati nelle proprie sedi. Se proprio si vuole impiegare una tecnologia che impiega servizi remoti fatevi fare un analisi dettagliata del proprio sistema da un esperto di sicurezza.

 

Port forwarding! fantastico oppure no!

Il port forwarding viene impiegato per accedere a servizi presenti all'interno della propria casa o della propria azienda da Internet oppure per accedere a sistemi da controllare da remoto.

In seguito esporrò alcuni casi esemplificativi che ho potuto appurare di errata gestione di questo strumento che hanno determinato falle di sicurezza

Accesso a sistema di videosorveglianza od antifurti

Se il sistema di accesso impiega un canale di comunicazione non sicuro oppure vengono lasciate attive le configurazioni di default questi sistemi sono vulnerabili ad un accesso non autorizzato.

Cosa potrebbe fare un malintenzionato. Oltre ad aver violato la propria privary può far molto altro.

Questi sistemi presentano dei sistemi di notifica via email e/o via sms. Nel caso dell'email è richiesto che vengano immesse nel sistemo le credenziali di accesso alla propria casella di posta elettronica. Quindi il malintenzionato a questo punto è in grado di accedere alla nostra posta. Immaginate che scenari si possano aprire!!!!!!!

Accesso a NAS

Se il sistema di accesso impiega un canale di comunicazione non sicuro oppure vengono lasciate attive le configurazioni di default questi sistemi sono vulnerabili ad un accesso non autorizzato. A questo punto è possibile eseguire una violazione dei dati presenti sul NAS

Accesso a centralini telefonici VoIP e/o dispositivi VoIP

Se il sistema di accesso al dispositivo o centralino VoIP impiega un canale di comunicazione non sicuro oppure vengono lasciate attive le configurazioni di default questi sistemi sono vulnerabili ad un accesso non autorizzato.

Una volta acceduti al sistema è possibile prelevare le informazioni sull'account voip memorizzato nel dispositivo/centralino ed impiegarlo in modo fraudolente

Accesso a sistemi di controllo (i.e. PLC pala eolica)

Se il sistema di accesso impiega un canale di comunicazione non sicuro oppure vengono lasciate attive le configurazioni di default questi sistemi sono vulnerabili ad un accesso non autorizzato.

Un malintenzionato potrebbe impiegare questa vulnerabilità per arrecare danni al sistema controllato ed il danno potrebbe essere anche di diversi migliaia di euro.

 

Da questi esempi si nota che l'impiego del port-forwarding può risultare uno strumento molto pericoloso

Quale buone pratiche impiegare per il port-forwarding

  1. Impiegare il port-forwarding solo se strettamente necessario e se non ci sono altre alternative.
  2. Impiegare la vpn come mezzo alternativo che consente anche di avere un canale di comunicazione sicuro oltre a fornire un livello di separazione tra il sistema a cui accedere ed Internet.
  3. Evitare di accedere con regole di port-forwarding a strumenti di gestione del sistema a cui si vuole accedere: pannello di amministrazione web, ssh, telnet, Remote Desktop, VNC ecc.
  4. Impiegare sempre un canale di comunicazione sicuro.
  5. Limitare l'accesso restringengo il range di indirizzi IP abilitati ad accedere

 

 

La password come deve essere gestita?

Con questo articolo voglio dare un contributo a tutti su come deve essere correttamente gestita la password.

Ci sono sia degli aspetti formali che delle buone pratice da rispettare.

Aspetti formali

  1. La lunghezza della password dovrebbe essere almeno di 8 caratteri alfanumerici, le ultime indicazioni suggeriscono almeno 12
  2. La password dovrebbe contenere almeno un carattere speciale (! ? - _ ecc), dovrebbe contenere almeno un carattere numerico e dovrebbe essere composto da minuscole e maiuscole
  3. La password non deve contenere al suo interno parti di cognomi e nomi propri o di persone affine, date di nascite, parti di nomi aziendali o soggetti giuridici

Buone pratiche

  1. La password dovrebbe essere cambiata con regolarità (3 o 6 mesi)
  2. La password dovrebbe essere l'unica impiegata per il servizio a cui consente l'accesso. Non riutilizzare mai la stessa password per diversi servizi anche se impiegano username diverse
  3. La password deve essere facilmente memorizzabile in mente per evitare di doverla salvare in luoghi facilmente accessibili per noi e, quindi, di conseguenza anche per altri mlintenzionati.
  4. Mai conservare le password nelle proprie caselle di posta elettronica. Questa pratica è molto comoda ma nel caso in cui il nostro account di posta elettronica fosse compromesso, avremmo il rischio che tutte le nostre credenziali sarebbero compromesse.

Rispettare queste poche regole innalza notevolmente il nostro livello di sicurezza nell'accesso ai vari servizi interni ed esterni che richiedono una forma di autenticazione con password.

 

Home ← Discussioni più vecchie