Spionaggio Industriale Tecniche di investigazione nell informatica moderna Dott. Stefano Fratepietro stefano@deftlinux.net Creative Commons Attribuzione-Non opere derivate 2.5 Milano, 23 ottobre - Smau 2009 Fiera Milanocity 1
Obiettivi del seminario Presentazione del fenomeno dello spionaggio industriale Formazione alle PMI Riferimenti giuridici Sensibilizzazione dell infrastruttura IT alle problematiche dello spionaggio industriale Case study 2
Dott. Stefano Fratepietro IT - Security specialist per il CSE Consorzio Servizi Bancari S.c.r.a.l Consulente di Informatica forense per tribunali, forze dell ordine (Polizia Postale, Carabinieri e Guardia di Finanza) e privati DEFT Linux project manager Socio IISFA (International Information Systems Forensics Association 3
Spionaggio industriale Attività condotta per ottenere in maniera illecita informazioni industriali e commerciali tra competitori 4
Coop vs Esselunga, settembre 2009 5
Luclar International, marzo 2007 6
Ducati vs Mv Augusta, maggio 2009 7
Riferimenti giuridici Il reato di spionaggio industriale in Italia corrisponde per la legge a "violazione di segreto industriale", ed è punito dagli articoli 621, 622 e 623 del Codice penale 8
Riferimenti giuridici Art. 621 c.p. Rivelazione del contenuto di documenti segreti. Chiunque, essendo venuto abusivamente a cognizione del contenuto, che debba rimanere segreto, di altrui atti o documenti, pubblici o privati, non costituenti corrispondenza, lo rivela, senza giusta causa, ovvero lo impiega a proprio o altrui profitto, e' punito, se dal fatto deriva nocumento, con la reclusione fino a tre anni o con la multa da lire duecentomila a due milioni. Agli effetti della disposizione di cui al primo comma e' considerato documento anche qualunque supporto informatico contenente dati, informazioni o programmi (1). Il delitto e' punibile a querela della persona offesa. (1) Comma aggiunto dall'art. 7, L. 23 dicembre 1993, n. 547. 9
Riferimenti giuridici Art. 622 c.p. Rivelazione di segreto professionale. Chiunque, avendo notizia, per ragione del proprio stato o ufficio, o della propria professione o arte, di un segreto, lo rivela, senza giusta causa, ovvero lo impiega a proprio o altrui profitto, e' punito, se dal fatto può derivare nocumento, con la reclusione fino ad un anno o con la multa da lire sessantamila a un milione. Il delitto e' punibile a querela della persona offesa 10
Riferimenti giuridici Art. 623 c.p. Rivelazione di segreti scientifici o industriali. Chiunque, venuto a cognizione per ragione del suo stato o ufficio, o della sua professione o arte, di notizie destinate a rimanere segrete, sopra scoperte o invenzioni scientifiche o applicazioni industriali, le rivela o le impiega a proprio o altrui profitto, e' punito con la reclusione fino a due anni. Il delitto e' punibile a querela della persona offesa. 11
Statistiche in un anno di attivià (2009) Tradimento interno dal basso Tradimento interno dall alto Su base annua di 30 interventi circa Dipendente che cambia lavoro Attacco informatico 10% 30% 10% 50% 12
Spionaggio del passato Intercettazioni telefoniche, telecamere, microspie ambientali Individuo infiltrato o corrotto all interno del contesto aziendale Copiatura di documenti con cartacarbone o fotocopiatore 13
Spionaggio del presente Intercettazioni telematiche (navigazione web, VoIP, chat, e-mail) Keylogger su personal computer, palmari e cellulari Dispositivi monitorati remotamente Computer come cassaforte dei segreti aziendali 14
Principali canali per la fuga di informazioni Posta elettronica (aziendale o esterna) Memorie di massa esterne (penne usb, hard disk esterni) Navigazione Internet troppo permissiva Attacco informatico 15
Chiusura dei canali Posta elettronica Bloccare l invio e la ricezione di posta elettronica su rete Internet da parte degli account personali dei dipendenti Utilizzo di caselle di posta d ufficio per spedire/ricevere posta su Internet Blocco dei siti Internet che offrono servizi di webmail, file sharing, instant messenger 16
Chiusura dei canali Memorie di massa esterne Uso di lettori DVD/CD eliminando tutti i masterizzatori dalle postazioni di uso generico Bloccare l utilizzo di dispositivi esterni su tutte le postazioni Controllo degli accessi e sistemi ad agente access control 17
Mantenere aggiornati tutti i sistemi informativi 18 Chiusura dei canali Attacco informatico Mettere in sicurezza la rete aziendale esposta su Internet Utilizzo di Firewall Utilizzo di concentratori VPN per gli accessi dall esterno Mantenere in sicurezza la rete aziendale interna utilizzando sistemi con policy di accesso e monitoraggio delle attività
E se il fatto fosse già accaduto? 19
Indagine interna Individuare tutti gli strumenti informatici utilizzati Computer Cellulare / Palmare Memorie di massa esterne Preservare i dispositivi originali sostituendoli con delle copie perfette Analisi del perimetro di azione del dipendente 20
Indagine interna Lavorare, dove possibile, sulle copie fedeli delle memorie di massa dei dispositivi in analisi Documentare tutte le procedure, dall acquisizione all analisi dei dati, da produrre in un eventuale scenario giuridico Coinvolgere un avvocato se necessario 21
Ma le grandi aziende? C è chi si assume il rischio senza prendere misure preventive investendo zero C è chi è paranoico a discapito dei processi di produzione investendo ingenti somme di denaro C è chi adotta misure intermedie investendo il minimo indispensabile 22
Ma le grandi aziende? Un modello sicuro Uso vietato della rete aziendale ai consulenti esterni dei propri computer portatili aventi sistema operativo Windows Uso consentito della rete aziendale ai consulenti esterni dei propri computer portatili, a patto che abbia un sistema operativo diverso da Windows, previo controllo accordato ed approfondito in precedenza da parte dello staff tecnico 23
Cases study 24
Case study - 1 Sede italiana dell azienda: 200 dipendenti Sedi commerciali in tutto il mondo con personale multi etnico Produzione e vendita di cosmetici Causa: una azienda estera produce la stessa ed identica fragranza di profumo rivendendolo a metà prezzo nella nazione di produzione Sospetto: dipendente di nazionalità estera con frequenti trasferte in quella nazione 25
Case study - 1 Il dipendente sospettato ha in uso un computer portatile che non lascia mai incustodito tantè che tutte le sere è uso abituale portarsi il computer a casa con la scusante di lavorare anche durante i week end Come ci accedo ai suoi dati!?!?!? ASTUZIA! 26
Case study - 1 Tecnico della Symantec (attore) venuto a posta in azienda per visionare tutte le postazioni di lavoro portatili per prevenire la diffusione del super virus Ritiro di tutti i computer portatili alle 14:00 nella sala riunioni, ad accesso consentito solo ai partecipanti all attività, per l aggiornamento locale delle postazioni di lavoro Clonazione della memoria di massa del computer portatile sostituendo l hard disk originale con quello clonato 27
Case study - 1 Risultanze Il dipendente aveva una corrispondenza diretta con l azienda concorrente Furono recuperati file cancellati con le richieste dell azienda concorrente e i progetti / ricette in allegato Il dipendente fu allontanato dall azienda la settimana successiva alla comunicazione delle risultanze della perizia 28
Case study - II Piccola azienda di circa 30 dipendenti Nessun responsabile informatico in loco Produzione e progettazione di macchinari industriali Causa: l azienda concorrente per 8 mesi è riuscita ad imporsi al meglio sul mercato offrendo gli stessi macchinari a prezzi inferiori Sospetto: fuga delle informazioni commerciali e sospetto di copiatura di interi progetti 29
Case study - II Non c è alcun sospetto sui dipendenti, non ci sono postazioni portatili, non esistono fornitori esterni che lavorano in loco Da un primo colloquio con il cliente, l impressione è stata quella di paranoia e non rassegnazione del fatto che l azienda concorrente stesse andando meglio Non era così!!! 30
Case study - II L intervento viene fatto nella notte, ad azienda chiusa. Presenti in loco vi era solo l AD e la persona di fiducia L infrastruttura informatica era molto semplice: una rete piatta in classe C, 2 server e circa 10 workstation I computer venivano lasciati accesi durante la notte Su una delle postazioni accese ad un certo punto notiamo che il puntatore del mouse inizia a muoversi da solo sfogliando le direcotry del computer 31
Case study - II Decidemmo di intervenire al mattino per acquisire di dischi per poi scoprire che: Il file server era esposto direttamente su Internet con il Desktop Remoto abilitato Su tutti i computer era installato vnc server Il computer dell AD aveva un keylogger che oltre a catturare tutto ciò che venisse digitato, eseguiva degli screen shot 32
Case study - II Ad analisi terminate si proseguì con: Consegna alla Polizia Postale della perizia e dei log di sistema con gli indirizzi IP Internet che hanno acceduto nel tempo sul server Bonifica su tutti i computer e server presenti in azienda Installazione di un Firewall configurato a modo 33
Case study - III Azienda di 40 dipendenti Personale tecnico informatico esterno Produzione di componenti di precisione Causa: in corrispondenza di un forte calo degli ordini, il responsabile della produzione viene assunto nell azienda concorrente Sospetto: furto dei progetti 34
Case study - III Il dipendente era solito lavorare in un ufficio isolato ed appartato senza colleghi con cui collaborare I file dei progetti risiedevano su un due computer di uso quasi esclusivo del sospettato con totale libertà di utilizzo sulla rete locale e Internet 35
Case study - III Il colloquio con l AD non fu molto produttivo questo perchè completamente disinteressato ai tipici usi dell infrastruttura informatica aziendale Il backup dei progetti veniva fatto su un hard disk esterno custodito in cassaforte Nella rete dell azienda non vi era alcun dominio di rete I fatti potevano risalire ad almeno 6 mesi dall intervento 36
Case study - III Ad analisi terminate le uniche risultanze furono: I file potevano essere stati spediti da quel computer direttamente su Internet Il dipendente ha collegato svariate volte il proprio computer portatile alla rete aziendale per usi privati Nei computer è stato rilevato l utilizzo di una penna usb non appartenente all azienda 37
Ricapitolando... Reagire in tempi brevi porta ad una maggiore possibilità di ottenere risultanze utili Vietare ai dipendenti l utilizzo di materiale informatico personale all interno del contesto aziendale comporta ad una maggior tracciabilità degli eventi sospetti 38
Conclusioni La paranoia è eccessiva Ignorare la problematica è uno sbaglio Prevenire è sicuramente meglio di curare...... ma se proprio bisogna curare, farlo tempestivamente e senza improvvisare! 39
Riferimenti http://www.corriere.it/cronache/09_maggio_19/ donofrio_mvagusta_ducati_72ecc4f8-4487-11de-a9a2-00144f02aabc.shtml http://www.lastampa.it/_web/cmstp/tmplrubriche/tecnologia/grubrica.asp? ID_blog=30&ID_articolo=4891&ID_sezione=&sezione= http://quotidianonet.ilsole24ore.com/2007/09/25/38198- spionaggio_industriale_esselunga.shtml http://www.comunicati-stampa.net/com/cs-35672/ http://www.umbriainnovazione.it/portaldata/umbriainnovazionefile/ 0dossier_segreto_industriale.pdf http://steve.deftlinux.net/didattica 40
Domande? Dott. Stefano Fratepietro stefano@deftlinux.net Creative Commons Attribuzione-Non opere derivate 2.5 Milano, 23 ottobre - Smau 2009 Fiera Milanocity 41