A- A+
La Colonna infame
Cyberspionaggio? È un deficit culturale più che di investimenti

 

Alcuni dicono che servono investimenti sostanziosi in cybersicurezza sia le infrastrutture della Difesa sia per quelle dell’intero apparato istituzionale. Altri ritengono che l’intelligence italiana ha strumenti sufficienti per difendersi, salvo convincere le autorità dello Stato a seguire un comportamento consono. ‘Tutti sappiamo usare un pc ma pochissimi sanno difendersi dalle intrusioni e questo vale anche per le massime cariche dello Stato’. Tuona così Piero Ruvolo, esperto di sicurezza informatica, specializzato nella tutela delle informazioni classificate secondo le direttive dell’Ufficio centrale per la segretezza (Presidenza del consiglio dei ministri) a  supporto di enti governativi e grandi industrie, e membro del Computer Security Institute di San Francisco, quando ad Affaritaliani spiega che il problema venuto fuori con l’arresto dei fratelli Occhionero con l’accusa di cyberspionaggio  ‘è  soprattutto culturale. La sicurezza troppo spesso è considerata un costo, non un investimento. Ci sembra naturale avere la doppia copia delle chiavi di casa, o il sistema di allarme per il nostro appartamento o la nostra automobile, mentre consideriamo superflua la protezione per i nostri dati informatici per i quali basterebbe una corretta policy per la gestione delle password che non costerebbe di più che non farla’.

piero ruvoloPiero Ruvolo
 

La moltitudine di persone (compreso i soggetti istituzionali, i capitani d’azienda, per fare qualche esempio) che nel mondo usano internet trascurano che l’utilizzo di tablet o smartphone per collegarsi alla rete aziendale per lo scambio dei dati espone ad una vulnerabilità difficile da controllare. 

Il cybercrime sfrutta queste vulnerabilità?

Si. È una vera e propria industria dedita al profitto. Oggi non si tende più a creare virus per gratificazione personale o dimostrazione di valere nel mondo underground degli hacker, bensì i nuovi malware vengono creati, spesso su ordinazione, appositamente con lo scopo di penetrare nella rete aziendale, rimanerci nascosti il più possibile e trafugare dati sensibili o di valore dai pc.  A partire dal 2013, dopo i virus di prima generazione, sono stati sferrati attacchi (Red October, Genie, Bullrun) per realizzare azioni di spionaggio diplomatico ed industriale che hanno creato gli attacchi mirati (APT/Advanced Persistent Threat).

Un esempio?

Intorno agli anni 2000 fecero scalpore i virus ‘Melissa’ e ‘I love you’, distintisi per l'impressionante velocità di diffusione. L’evoluzione tecnologica ha prodotto attacchi di nuova concezione, come ‘Stuxnet’ creato per sabotare il programma nucleare iraniano mediante il danneggiamento di un determinato modello di turbine. Oltre al carattere ‘mirato’ dell’attacco, la particolarità è che l’azione iniziò nel 2006 e scoperta nel 2010 dopo quattro anni di invisibilità.

Come si può definire un malware di nuova generazione?

La differenza sostanziale con i virus del passato sta nella componente ‘persistente’.

Qual è la strategia messa in atto dall’attaccante?

Individuata la vittima, il nemico inizia a raccogliere informazioni pubblicamente disponibili, scatena una serie di attacchi continuativi fino a trovare il punto di accesso che gli permette di penetrare nella rete che lo interessa. Dopo la compromissione iniziale, l'intruso crea un accesso (backdoor) per acquisire credenziali e attaccare altre macchine della rete (spostamento laterale). A questo punto raccoglie i dati sensibili e di valore e li salva all'interno di un server ‘C&C’ (comando e controllo) che provvederà a spedire le informazioni, in maniera anonima e criptata, ad uno o più server esterni di pertinenza dell’aggressore. Tutto questo avviene per mesi e a volte per anni nella totale insaputa dell’attaccato.

Gli attacchi mirati sono per loro natura personalizzati e quindi sviluppati ‘su misura’ per contrastare le difese dell'utenza da attaccare. Spesso utilizzano vulnerabilità sconosciute (zeroday) e mutevoli nel tempo perchè devono adattarsi alle contromisure messe in atto per proteggersi.

Contrastare un attacco mirato è possibile?

Si, occorre una soluzione altrettanto mirata che sia in grado di identificarlo, analizzare le componenti rilevanti, predisporre le contromisure, rispondere rapidamente.

Come?

Spostando le protezioni dal livello ‘utente’ verso i dati.  La nostra difesa, non potendo impedirne l'ingresso, può però controllare gli spostamenti dell'intruso e bloccare le azioni illecite attivando il ‘trust no one’ (non ci fidiamo di nessuno) che protegge e cripta tutte le connessioni aziendali sia interne sia esterne aumentando il controllo degli accessi interni e limitarne lo spostamento laterale.

Tutto ciò è simile ad una partita a scacchi: l'aggressore modifica le modalità di attacco fino ad ottenere l'accesso illecito, il difensore analizza le mosse e applica la contromisura, ricordando che non è tanto importante impedire all'aggressore di entrare nella rete quanto impedirgli di trafugare i dati sensibili.

cyberspionaggio
 

Traduca in termini più semplici.

Evitare parole difficili da ricordare perché annotandole da qualche parte si introducono vulnerabilità, ma nemmeno troppo semplici da essere facilmente individuate, dunque password intelligenti. Non usare la stessa password per tutti gli account che si possiedono, cambiarla regolarmente perchè più a lungo si utilizza più aumenta il rischio di intercettarla. Non usare l’email per scambiare informazioni sensibili perchè - prima di arrivare al destinatario - essa viaggia su diversi nodi senza la possibilità di controllo. Evitare di aprire allegati se non si è certi della fonte o del contenuto. Non comunicare dati di account al telefono, spesso gli attacchi vengono preceduti da campagne di social engineering in cui falsi operatori cercano di acquisire le credenziali. Evitare di rendere note informazioni apparentemente non sensibili perchè la somma di informazioni ‘non classificate’ possono rappresentare un dato sensibile e provocare vulnerabilità.

In Italia il segreto di Stato è al sicuro?

Esistono leggi molto precise alle quali le aziende che intendono trattare informazioni classificate per conto dello Stato devono attenersi. Queste leggi rendono le nostre reti strategiche estremamente sicure e al riparo da intercettazioni non autorizzate. E’ chiaro che la salvaguardia delle informazioni dipende dalla scrupolosa applicazioni di queste norme e potrebbe essere messa a rischio solo da comportamenti non conformi alla legge da parte di utenti per dolo o imperizia.

Insomma, i livelli di contromisure esistono, basterebbe capirne l’importanza e applicarli per ridurre in maniera drastica il rischio di attacchi. (segreteria@mariellacolonna.com)

Commenti

    Tags:
    cyberspionaggiocyberattaccopiero ruvolo

    Zurich Connect

    Zurich Connect ti permette di risparmiare sull'assicurazione auto senza compromessi sulla qualità del servizio. Scopri la polizza auto e fai un preventivo

    Abiti sartoriali da Uomo, Canali

    Dal 1934 Canali realizza raffinati abiti da uomo di alta moda sartoriale. Scopri la nuova collezione Canali.

    Testata giornalistica registrata - Direttore responsabile Angelo Maria Perrino - Reg. Trib. di Milano n° 210 dell'11 aprile 1996 - P.I. 11321290154

    © 1996 - 2018 Uomini & Affari S.r.l. Tutti i diritti sono riservati

    Per la tua pubblicità sul sito: Clicca qui

    Contatti

    Cookie Policy

    Affaritaliani, prima di pubblicare foto, video o testi da internet, compie tutte le opportune verifiche al fine di accertarne il libero regime di circolazione e non violare i diritti di autore o altri diritti esclusivi di terzi. Per segnalare alla redazione eventuali errori nell'uso del materiale riservato, scriveteci a segnalafoto@affaritaliani.it: provvederemo prontamente alla rimozione del materiale lesivo di diritti di terzi.