Che cosa succede quando il malware diventa una componente di rischio pervasivo della nostra esistenza? Quando l’economia criminale dietro agli attacchi cyber muove cifre superiori al PIL di almeno una settantina di Stati sovrani? Quando si inizia a credere che chi attacca stia avendo la meglio? E che anche chi dovrebbe difenderlo è in realtà un nemico esattamente quanto chi attacca?
Il 2016 è stato l’annus horribilis della sicurezza IT. Dall’hacking ai danni del partito democratico USA, attribuito allo spionaggio russo, alla botnet Mirai, un antipasto di quel che ci aspetta con l’Internet delle cose, passando dalla manomissione del sistema Swift, il software che regolamenta le transazioni tra banche di tutto il mondo, fino alla breccia nei sistemi di posta di Yahoo e al braccio di ferro tra FBI e Apple. Una lunga teoria di incidenti di sicurezza gravi ha monopolizzato a lungo l’attenzione dei giornali. Il CLUSIT nel suo recente Rapporto ne classifica circa un migliaio. Tutti quelli di dominio pubblico. Che rappresentano però solo la punta dell’iceberg. La maggior parte non trapela. Piccoli grandi segreti custoditi all’interno di aziende e organizzazioni. Spesso le breach iniziano con l’iniezione di malware, facilitata dalle numerose smagliature, talune anche molto datate, che continuano a funestare tecnologie e software in circolazione. Ma il più delle volte le tecniche impiegate sono sconosciute, principalmente per la mancanza di informazioni attendibili. «L’elenco nel nostro rapporto comprende un mix di attacchi “inediti”, oppure particolarmente sofisticati (come la compromissione del firmware per device Android installato su mezzo miliardo di dispositivi), oppure molto preoccupanti (come l’uso di centinaia di migliaia di device IoT per realizzare attacchi DDoS)» – ci racconta Andrea Zapparoli Manzoni, membro del Consiglio direttivo di Clusit. Come l’attacco Swift, il software che gestisce le transazioni internazionali tra istituti finanziari, perpetrato ai danni di almeno quattro banche. Una questione con tanti punti ancora oscuri, a partire dal numero di istituti di credito coinvolti e alla reale entità delle somme di denaro sottratte. O come il puntuto braccio di ferro tra FBI e Apple – partito con la richiesta al giudice di obbligare il gigante di Cupertino a sbloccare l’iPhone 5C di Rizwan Farook, l’autore della strage di San Bernardino. Un’aspra contesa che ha lasciato sul tappeto molte questioni. Lasciando da parte le considerazioni sull’opportunità o meno di autorizzare la richiesta, il passo indietro dell’FBI – esasperato dalla mancata a suo dire collaborazione della giustizia, e dalla decisione di rivolgersi a un’azienda specializzata, pagando 1,3 milioni di dollari per sbloccare il dispositivo – ha di fatto azzerato le possibilità di una causa legale. La quale molto probabilmente se fosse approdata in un’aula di giustizia avrebbe creato un precedente importante da cui ripartire per equilibrare ragion di stato ed esigenze dell’industria.
Non fa parte invece della lista selezionata dal Clusit, né di molte altre che abbiamo avuto modo di confrontare, l’incidente di sicurezza che secondo Giancarlo Vercellino, research & consulting manager di IDC, rappresenta forse il caso più eclatante del 2016. Una nuova modalità di attacco inventata da un gruppo di ricercatori (Muhammad Aamir Ali, Budi Arief, Martin Emms e Aad van Moorsel), ribattezzata Distributed Guessing Attack. «Gli attuali sistemi di pagamento, secondo i ricercatori, consentono a un potenziale attaccante di “indovinare” le informazioni necessarie per completare i campi di un processo di pagamento orchestrando un determinato numero di richieste diverse, appositamente combinate, a diversi sistemi di e-commerce, sfruttando le asimmetrie nei sistemi di verifica di tanti sistemi diversi» – spiega Vercellino. «Questo tipo di attacco richiede il possesso da parte degli attaccanti soltanto di una parte delle informazioni necessarie per completare tutti i campi. Quelli mancanti vengono individuati attraverso uno script di richieste successive e senza nessun data breach». Tutti questi hack hanno – però – qualcosa da insegnarci. I loro effetti non si esauriscono con i danni che provocano, ma definiscono l’orizzonte entro il quale evolverà la minaccia informatica. Danni reali, breach di massa, conseguenze politiche imprevedibili. In qualche caso, la minaccia concreta della tenuta di Internet, che sarà stata pure progettata per resistere a un’esplosione atomica, ma vacilla pericolosamente quando a essere colpiti sono le infrastrutture di rete (cavi sottomarini) e i protocolli che la sorreggono (BGP e DNS).
LA SAGA YAHOO! PREOCCUPA FBI E INVESTITORI
Quali effetti può provocare la violazione di un miliardo di account di posta? Quando Yahoo! è stata costretta ad ammettere prima l’hack di 500 milioni di account di posta, cifra rettificata nemmeno un mese dopo a un miliardo, orde di avvocati hanno iniziato a fregarsi le mani. Un assalto che non ha fatto prigionieri. Avvenuto in due fasi a cavallo del biennio 2013/14, e di cui pare l’azienda di Sunnyvale si fosse accorta quasi subito, senza tuttavia fare o dire nulla. Una vicenda arrivata a un importante risultato con la notizia che l’FBI – al termine di indagini durate oltre due anni – ha formalmente accusato due spioni russi, con la complicità di altri due tecnici, dell’azione di hackeraggio. Un epilogo che ci auguriamo non serva a insabbiare le molte domande ancora senza risposta su come tutto questo sia potuto accadere. Di certo ci troviamo di fronte a una breccia di dimensioni mai viste. Che ha messo a nudo l’estrema fragilità delle nostre difese di fronte ai barbari digitali. Se un gigante come Yahoo! lascia un simile buco di sicurezza senza fare nulla, ci si chiede in che condizioni versino gli altri provider di posta e cosa stanno facendo per proteggere i nostri dati. Lo scaricabarile – c’è da esserne sicuri – continuerà a rimanere uno sport diffuso a qualsiasi latitudine, offuscando anche il più piccolo simulacro di trasparenza. Con buona pace di tutti quei CISO, che – qualche volta in buona fede e altre meno – a ogni convegno sulla sicurezza ci magnificano i vantaggi della disclosure e della condivisione delle esperienze. Ma che farebbero bene invece a riflettere sugli effetti provocati dalla breach nella trattativa di acquisizione intavolata da Verizon. Una fusione da 4,48 milioni di dollari data per fatta, messa invece seriamente in discussione dalla richiesta di 925 milioni di dollari di sconto avanzata da Lowell McAdam, CEO di Verizon, ridotti poi a 250, a titolo di risarcimento per il deprezzamento del valore di Yahoo! in seguito all’attacco.
LA MINACCIA CYBER E LE DEMOCRAZIE AMMACCATE
Sono ancora molti i punti oscuri nella vicenda del presunto attacco russo ai server di posta del Comitato elettorale del partito democratico USA, che ha provocato la fuoriuscita di quasi ventimila email del responsabile della campagna elettorale di Clinton, John Podesta, pubblicate in seguito da WikiLeaks. A cominciare dagli alert lanciati un paio di mesi prima da James Clapper, gran capo di tutti gli spioni USA, che mettevano in guardia sulla possibilità di cyberattacchi progettati per turbare il regolare svolgimento della campagna elettorale. Ma non sono tanto la sospetta tempestività e neppure la corretta attribuzione della paternità degli attacchi a far discutere. Invece è la tenuta delle nostre ammaccate democrazie di fronte alla minaccia informatica a destare preoccupazione. L’attacco, orchestrato secondo l’intelligence dai russi per favorire Donald Trump, ha prodotto non solo le dimissioni di Debbie Wasserman Schultz, la responsabile del Comitato dei democratici, ma ha segnato anche l’inizio della parabola discendente nella corsa alla presidenza di Clinton. Oltre a una serie di conseguenze di cui ancora non conosciamo le proporzioni. Che succede quando si attribuisce a un attacco cyber l’esito di un’elezione presidenziale? Quando un presidente uscente accusa la Russia di aver favorito Trump durante le elezioni? Quando persino le spie, che dovrebbero essere al servizio dell’esecutivo, accusano il presidente eletto di essere in combutta con i russi, a sua volta una loro spia? Quando la legittimità dell’elezione non viene riconosciuta dai perdenti e che perfino tra le fila dei propri alleati serpeggino malumori letali? Neppure ai tempi dell’elezione di Kennedy, che pure spaccò gli Stati Uniti, si registrarono reazioni tanto impetuose e prolungate contro un presidente democraticamente eletto. Non si tratta ovviamente di un mero problema di natura tecnica connesso alla sicurezza dei sistemi di registrazione ed espressione del voto popolare. Il problema è la superficie di vulnerabilità che si dilata a dismisura. Con la politica sempre più esposta, oltre che da scandali e corruzione, anche dal rischio di essere impallinata per via informatica. I maligni sostengono che si tratti di una minaccia ampiamente strumentalizzata. Alimentata soprattutto per sbloccare stanziamenti milionari al cyberwarfare. Di certo, non è di aiuto il fatto di liquidare troppo frettolosamente il problema e neppure esagerare le implicazioni dell’accaduto. «La cybersfera sta diventando una dimensione di massa, in grado di influenzare l’opinione pubblica e la politica della società» – ha detto Udo Helmbrecht, executive director dell’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA). In pratica, “hot stuff” per chiunque debba maneggiarla.
IoT E DDoS UN COCKTAIL ESPLOSIVO
L’intensità dell’attacco DDoS che ha mandato al tappeto i data center di Dyn, provider di servizi di indirizzamento del traffico sulla rete (DNS), è stato un campanello d’allarme per molti. Fino a ieri, per questo genere di attacchi, ci si serviva principalmente di computer. Oggi, invece sono gli oggetti connessi a Internet, device tutt’altro che smart almeno dal punto di vista della sicurezza, a rappresentare l’anello debole. In questo caso, gli autori dell’attacco si sono serviti di centinaia di migliaia di dispositivi IOT (soprattutto telecamere di sorveglianza di fabbricazione cinese), compromettendoli da remoto e arruolandoli nella botnet Mirai, una piattaforma ottimizzata per attacchi DDoS on-demand. Articolato su tre ondate successive di traffico, l’attacco dello scorso ottobre ha messo al tappeto i siti dei principali clienti di Dyn – Spotify, PayPal, Amazon, Etsy, GitHub, Shopify, Twitter, Ebay, Reddit, Yelp – irraggiungibili per molte ore, sfruttando una serie di servizi vulnerabili (DNS, NTP, la sincronizzazione del time protocol, etc.) per amplificare i messaggi generati dall’attaccante. Meccanismi legittimi dei protocolli, protetti però in maniera inadeguata. Per scongiurare il pericolo di generare quantità di traffico eccessive verso una certa sorgente, i gestori dei servizi DNS dovrebbero accettare richieste provenienti solo dagli utenti della propria rete. Un’operazione che richiede tempo e non è sempre tecnicamente possibile.
Secondo le rilevazioni di Arbor Networks, vendor specializzato nella prevenzione contro questa tipologia di attacchi, lo scorso anno quello più distruttivo ha raggiunto un’intensità di 800 gigabit al secondo. Vale a dire centinaia di migliaia di volte la capacità di connessione di una media azienda, raramente superiore ai 100 megabit al secondo. La potenza di fuoco come quella scatenata da Mirai è in grado di mandare a gambe all’aria corporation, data center, cloud provider, ISP regionali. E addirittura, paesi di medie dimensioni come il Belgio o l’Estonia. Se non altro, dopo Mirai, la falsa convinzione che un attacco DDoS si limiti solo a un disservizio temporaneo, inizierà probabilmente a perdere di credibilità. Un downtime prolungato dei servizi non può che generare danni economici considerevoli. Censiti e quantificati nel dodicesimo Worldwide Infrastructure Security Report. Talvolta, un attacco DDoS serve per mascherare intrusioni più complesse e comprensibili solo dopo qualche tempo. Come il recente attacco ai danni degli uffici alla Commissione europea. La difficile identificazione di autori e moventi manda in confusione anche le organizzazioni. Secondo l’indagine IT Security Risks condotta da Kaspersky Lab nel 2016, più di due aziende su cinque (43%) vittime di attacchi DDoS (Distributed Denial on Service) attribuiscono la responsabilità dell’attacco alla concorrenza. Il sabotaggio industriale è considerato il motivo più plausibile di un attacco DDoS, prima di cospirazioni politiche o vendette personali. Da qui, l’importanza di un’efficace strategia di difesa, selezionando almeno due o tre provider di servizi DNS, in modo che nel caso in cui uno di questi dovesse rimanere invischiato in un attacco sia possibile ridirigere velocemente il traffico su quello di backup, preservando la continuità delle attività di business.
RANSOMWARE FOLLOW THE (EASY) MONEY
“Tutto è numero”. Così recitava il motto dei seguaci di Pitagora. E i numeri quando si parla di ransomware ci dicono parecchio dei virus che prendono in “ostaggio” computer e dispositivi mobili criptandone i dati e chiedendo un riscatto agli utenti per riaverli. Secondo il Threat Report di SonicWALL che con cadenza annuale analizza i dati raccolti dal Global Response Intelligence Grid, la diffusione del ransomware è cresciuta di 167 volte anno su anno, passando dai 3,8 milioni (3,2 nel 2014) ai 638 milioni del 2016. L’FBI afferma che nei primi tre mesi del 2016 gli attacchi ransomware sono già costati alle vittime 209 milioni di dollari. Una cifra arrotondata certamente per difetto, visto l’esigua percentuale di quelli che denunciano le estorsioni, e che su base annua genererà profitti per oltre un miliardo di dollari. Profitti che secondo Cisco collocano il ransomware al primo posto tra le minacce informatiche più redditizie. Kaspersky Laboratory in un recente studio “IT Security Risks 2016”, afferma che dal 2015 il 42% delle aziende small and medium-sized sono state vittime di attacchi ransomware: un terzo ha pagato il riscatto, ma solo una su cinque è ritornata in possesso dei propri dati. L’indagine inoltre conferma la massiccia ondata di attacchi ransomware passati dai 27mila del biennio 2014-2015 ai quasi 160mila in quello successivo. “Varianti di ransomware ancora più distruttivi che potranno prendere letteralmente in ostaggio intere reti e aziende” come si legge nel Cybersecurity Report 2017 di Cisco. Sommati i costi per il recupero dei file, alla fine quanto pesa un ransomware nei bilanci di un’azienda? SonicWALL stima che i danni si aggirino intorno ai 2,4 milioni di dollari. Una cifra enorme. Anche se va detto che i dati che confluiscono nella ricerca provengono per la maggior parte da grandi corporation USA.
CONCLUSIONI
Se vogliamo vedere il bicchiere mezzo pieno, certamente dobbiamo segnalare la crescita della consapevolezza dei rischi e il valore degli investimenti. Infatti, come ci conferma Vercellino di IDC, il software per la sicurezza IT – segmentato nelle aree della Web Security, del Security & Vulnerability Management, della Network Security, dell’Identity & Access Management e dell’Endpoint Security – «rappresenta in Italia un valore complessivo di oltre 300 milioni di euro nel 2016». Una crescita trainata essenzialmente dalle applicazioni legate a Security & Vulnerability Management e Network Security, mentre le altre aree si posizionano su una crescita media compresa fra tre-quattro punti percentuali. Tuttavia, come mette in evidenza Zapparoli Manzoni di CLUSIT, a fronte di budget per strumenti, servizi e risorse da dedicare alla sicurezza del tutto inadeguati ai livelli di rischio attuali, «si continua a spendere di più per ragioni di compliance oppure per sistemi di sicurezza “legacy” (antivirus, firewall) che per soluzioni di cyber security avanzata». La grande sfida dei prossimi mesi e anni è «di recuperare risorse e convincere decisori e stakeholder a investire in sicurezza una quota dei profitti, dato che l’insicurezza informatica è diventata una delle maggiori minacce alla sopravvivenza e alla prosperità di qualsiasi organizzazione». Serve un cambio di mentalità. E la consapevolezza che in questo momento le nostre difese non sono in grado di tenere il passo degli attacchi. Prima di tutto dal punto di vista della sostenibilità economica.
«Il ROI della sicurezza reattiva (dopo l’incidente) è sempre negativo. Serve dunque ancora più prevenzione, ma dobbiamo far crescere i rischi e i costi – oggi insignificanti – sopportati dagli attaccanti per svolgere le proprie attività, a fronte di profitti sempre più ingenti. Una situazione di tale asimmetria tra attaccanti e difensori, che non c’è partita. Allo stesso modo, i produttori devono cambiare mentalità e, in parte, modello di business, portando sul mercato tecnologie sufficientemente sicure» – continua Zapparoli Manzoni. I ripetuti attacchi che hanno colpito tutti i settori produttivi, PA compresa, hanno dimostrato di poter mettere in pericolo la tenuta dei pilastri su cui si regge l’intera infrastruttura di rete, come i cavi sottomarini o il protocollo BGP. Inducendo esperti e osservatori a preconizzare attacchi dalle conseguenze difficili persino da immaginare. Le previsioni ben poco incoraggianti su cloud, mobile, IoT, infrastrutture critiche, reti, spingono molti a credere che la cyber security richieda un profondo ripensamento dell’infrastruttura e delle tecnologie utilizzate. «In mancanza di standard e normative ad hoc – conclude Zapparoli Manzoni – il disegno, l’implementazione e l’uso di tecnologie digitali devono essere regolati da standard che non siano imposti di fatto dai produttori, ma condivisi a livello politico e fatti valere a livello legislativo, così come è accaduto con altre rivoluzioni tecnologiche. È ormai impossibile gestire la complessità e la rischiosità insite nel digitale senza norme specifiche, che definiscano standard, valori da proteggere e sanzioni specifiche».
