Sicurezza informatica, siamo tutti sotto attacco

Shoshanna Zuboff, docente della Harward Business School, negli anni ’80 del secolo scorso, affermava  che“tutto ciò che può essere informatizzato lo sarà”.  Oggi potremmo dire che siamo giunti al punto in cui “tutto ciò che può essere attaccato lo sarà”.

E’ la citazione utilizzata nella prefazione al rapporto 2015 del Clusit, l’associazione italiana per la sicurezza informatica. Un documento che, nei giorni della vicenda Hacking Team, andrebbe ripreso in mano e analizzato attentamente nelle sue oltre cento pagine, considerando che in Italia i danni derivanti da attacchi informatici si stima ammontino a 9 miliardi di euro.

Dei 3.677 attacchi di pubblico dominio che costituiscono il database della associazione di incidenti degli ultimi 4 anni, il Clusit nel 2014 ne ha classificati come gravi 873. I dati sintetizzati, però, rappresentano solo una frazione, per quanto significativa, del totale degli attacchi gravi presumibilmente compiuti in Italia e nel mondo nel corso dell’anno passato. Il campione infatti presenta ragionevolmente delle lacune, dovute al fatto che alcuni ambienti sono particolarmente efficaci nel minimizzare la diffusione pubblica di informazioni relative agli attacchi che subiscono.

Inoltre mentre ad oggi negli Stati Uniti è in vigore una normativa che obbliga le vittime a fare disclosure a seguito di un data breach, così non è nella maggior parte delle altre nazioni, Europa inclusa. Di conseguenza gli attacchi noti contro bersagli americani risultano essere la maggioranza. Infine alcuni tipi di attacchi (i più subdoli e silenziosi, per esempio quelli legati allo spionaggio industriale, o ad attività di Information Warfare) sono compiuti nell’arco di periodi piuttosto lunghi e dunque, sempre che diventino di dominio pubblico, emergono solo ad anni di distanza.

Il rapporto Clusit, quindi, “segnala l’emergenza di un nuovo paradigma, ovvero che non è più possibile utilizzare strumenti informatici senza, per questo stesso fatto, essere costantemente sotto attacco”.

La sicurezza informatica, infatti, riguarda tutti, dal professionista che vede tutti i suoi dati criptati da un ransomware, alla piccola e media impresa impresa che scopre (magari con mesi o anni di ritardo) di essere stata derubata del proprio know-how, alla Pubblica amministrazione  che si ritrova nella impossibilità di offrire servizi essenziali ai cittadini, alla grande impresa che subisce un danno economico importante a seguito di un attacco DDoS (acronimo di negazione distribuita del servizio, che impedisce agli utenti internet l’accesso ai siti web) o al furto di milioni di dati personali dei propri clienti.

I cyber criminali (indipendentemente dalla loro natura e dai loro scopi), attirati da sostanziosi guadagni (economici e non) sono aumentati di numero, si sono organizzati, ed hanno a disposizione strumenti sempre più sofisticati, che possono adattare e sostituire al bisogno con stupefacente rapidità, acquistandoli a costi mediamente irrisori in un immenso mercato underground di prodotti e servizi “dedicati” che ha tutte le caratteristiche di un’industria high-tech di prim’ordine, con l’aggravante che questa particolare industria gode del “vantaggio competitivo” di essere totalmente non regolamentata e di non essere soggetta ad alcun tipo di limitazione (salvo il contrasto delle forze dell’ordine).

I criminali si avvalgono (ormai da anni) di strumenti totalmente automatizzati, in grado di colpire milioni di sistemi in poche ore, il che gli consente di cambiare tattiche e strategie in tempo reale e di operare senza interruzione da qualsiasi punto del pianeta.

“Questo approccio sistematico”, spiega il Clusit, “è molto facilitato dalla diffusione endemica di vulnerabilità non gestite e dalla situazione di sostanziale “monocultura” tecnologica che si è determinata negli anni, la quale rende particolarmente efficace questo genere di automazione e genera pericolose “economie di scala” a favore degli attaccanti”.

Il problema infatti non è meramente tecnologico. La ragione principale per cui chi attacca ha la meglio è economica, e risiede nella crescente asimmetria tra i differenti “modelli di business”: per ogni dollaro investito dagli attaccanti nello sviluppo di nuovo malware, o nella ricombinazione di malware esistente per nuovi scopi, il costo sopportato dai difensori (ancora legati ad un modello reattivo, e dunque incapaci di anticipare le mosse degli avversari) è di milioni di dollari. A titolo di esempio il malware BlackPOS, in vendita per 1.800 dollari nel mercato underground, che contiene ben otto componenti “riciclate” e già note da anni, nel 2014 (considerando due soli attacchi) ha causato danni accertati per 62 milioni di dollari a HomeDepot, e per 148 milioni a Target.

Da un lato sofisticate tecniche di attacco sviluppate da team governativi (anche queste poi “riciclate” dall’underground criminale, come nel caso del malware Gyges26) sono già usate su larga scala da un certo numero di nazioni con finalità di spionaggio e di infiltrazione dei sistemi altrui, allo scopo di fare “pressione” sui bersagli e/o di poterli danneggiare o disattivare, dall’altro strumenti analoghi stanno entrando nella disponibilità di organizzazioni terroristiche, che si approvvigionano di tramite gruppi cyber criminali Le possibili conseguenze di questa selvaggia corsa ai cyber-armamenti (ambito non normato a livello internazionale) riguardano solo le c.d. “infrastrutture critiche” definite come tali in base alle  normative, ma una quantità crescente di servizi erogati da aziende private e da pubbliche amministrazioni che, se resi indisponibili a seguito di un attacco, creerebbero enormi disagi alla popolazione e, in certi scenari, anche perdite di vite umane.

La parola d’ordine del 2015, per il Clusit, è “prepararsi all’impatto”, adottando logiche di Cyber Resilience, applicando l’antica massima “conosci te stesso” (e quindi le proprie vulnerabilità e criticità), e poi predisponendo un modello di rischio accurato, costantemente aggiornato, stimando le perdite potenziali tramite lo studio di un certo numero di scenari realistici per determinare correttamente gli investimenti necessari.

Il tema della Cyber Resilience, che fa convergere compliance e cyber security, governance e risk management, cyber intelligence e crisis management, attività di prevenzione e di reazione rapida, cooperazione tra pubblico e privato ed information sharing tra tutte le parti coinvolte, pur richiedendo per essere consolidato ed applicato con successo apporti multidisciplinari di alto profilo e metodologie ancora poco diffuse, in sé non è affatto nuovo: è semplicemente diventato di estrema attualità in conseguenza dell’evoluzione rapidissima delle minacce, e della loro crescente gravità.

Minacce che riguardano tutti, se si pensa alla grande rapidità mostrata dagli attaccanti nel cambiare “modello di business” unita alla definitiva affermazione dei device mobili (smartphone e tablet) sui PC tradizionali, che implica un aumento sostanziale di attacchi verso questo genere di strumenti, peraltro già in atto.

“Tutte le piattaforme saranno sotto assedio, ed in particolare quelle più difficili da compromettere (iOS e Windows Phone) saranno oggetto di crescenti attenzioni da parte di agenzie governative, spie mercenarie e criminali”: il Clusit sembrava anticipare quello che oggi si scopre con lo scandalo Haching Team con il suo Remote Control System Galileo, il malware spione che permette di trasformare gli smartphone con qualunque sistema operativo in zombie per le intercettazioni ambientali.

Alcuni incidenti rappresentativi del 2014

Il rapporto Clusit, indica, quindi dieci incidenti  particolarmente significativi, selezionati non tanto per la loro gravità in termini assoluti (per quanto alcuni siano stati particolarmente gravi), quanto “piuttosto per rappresentare la varietà di situazioni che si sono verificate nel corso dell’anno”. Ne riportiamo alcuni (in corsivo il tipo di attacco).

JP Morgan Cyber Espionage – La nota banca americana è stata oggetto di un attacco particolarmente sofisticato, che ha causato la sottrazione di circa 79 milioni di record relativi ai propri clienti. Il punto di attacco iniziale, come spesso accade, è stato un server poco usato e quindi trascurato, utilizzato come “trampolino di lancio” per portare attacchi a sistemi interni sensibili.

Home Depot Cyber Crime – Nonostante avesse subito attacchi minori in precedenza, la grande catena di negozi di bricolage non ha posto in essere contromisure adeguate, e addirittura ha disattivato un sistema di sicurezza che avrebbe potuto impedire l’attacco, secondo alcuni ex-dipendenti. Come conseguenza, l’azienda ha subito il furto di 56 milioni di carte di credito/debito, sopportando centinaia di milioni di dollari di danni.

“Newscaster” Cyber Espionage  – Questa campagna di spionaggio, realizzata tramite la creazione e l’utilizzo di numerosi falsi profili su diversi social network e la creazione di una falsa agenzia giornalistica (chiamata “NewsOnAir”) è durata dal 2011 al 2014 ed ha colpito oltre 2.000 individui, principalmente personale militare, diplomatici, giornalisti e contractor della difesa americani, inglesi, sauditi, irakeni ed israeliani. Si sospetta sia partita dall’Iran.

Gruppo Benetton Cyber Espionage – La multinazionale trevigiana ha dichiarato di aver subito un attacco informatico “sofisticato”, che ha consentito agli attaccanti di sottrarre i bozzetti della collezione di abbigliamento “0-12” e di replicare gli abiti, finiti in vendita in alcuni negozi siriani. Il riserbo sulle modalità dell’attacco è stato totale, anche se l’azienda ha dichiarato che “i danni sono stati limitati, sia quelli effettivi, sia quelli potenziali”.

Operazione “Putter Panda” Cyber Espionage  – Il gruppo di hacker governativi denominato “Putter Panda”, appartenente alla famigerata “Unit 61486” (in attività almeno dal 2007), è stato accusato dagli Stati Uniti di gravi attività di cyber-espionage verso ambienti militari, governativi e contractor della difesa. In conseguenza di un’indagine condotta nel 2014, il governo USA ha formalmente accusato 5 alti ufficiali cinesi di spionaggio industriale, richiedendone (invano) l’arresto e sollevando le sdegnate proteste cinesi.

Sony Cyber Crime – La vicenda dell’ultimo attacco a Sony è particolarmente confusa e complessa, sia per quanto riguarda la diatriba sull’attribuzione della responsabilità, sia per le modalità dell’incidente. L’azienda è stata pesantemente compromessa, il che ha portato a disattivare l’intero sistema informatico aziendale per quasi 3 giorni. Ciò nonostante, oltre al blocco dei sistemi sono stati trafugati 38 milioni di file, tra cui 10 anni di email, stipendi, numeri di social security, film ancora non usciti, ed una serie di documenti riservati a vario titolo imbarazzanti o sensibili, oppure addirittura relativi ad altre aziende

Anthem Cyber Crime  – L’attacco a questa primaria compagnia di assicurazione sanitaria, iniziato ad aprile 2014 ma scoperto solo a gennaio 2015, ha provocando il furto di circa 80 milioni di record contenenti i dati personali dei clienti e degli impiegati (CEO compreso) compresi nomi, date di nascita, indirizzi email, dati sul reddito e altro ancora. La stima dei danni è ancora in corso, ma si preannuncia molto pesante sia in termini di immagine che di risarcimenti agli utenti.