Cyberspionaggio, l'esperto di hacking: "Italia vulnerabile, ecco perché"

Il caso cyberspionaggio continua a far parlare. Sono ancora tanti i dubbi sui contorni di questa vicenda. Affaritaliani.it ha intervistato sull'argomento l'esperto Alessandro Curioni, già collaboratore con l'Hacking team e ora consulente per aziende piccole e, soprattutto, grandi. E' da tempo che Curioni scrive circa i rischi dell'insicurezza nel settore. E' autore di un testo tecnico di riferimento risalente a qualche anno fa, e, di recente, del pamphlet di successo "Come pesci nella rete" (Mimesis), in cima alle graduatorie di vendita. Entro aprile pubblicherà altri due testi.

Quale idea generale si è fatto sulla vicenda del cyberspionaggio?

Una storia come molte che si verificano in tutto mondo. Per anni noi italiani abbiamo sempre pensato che certe cose capitavano soltanto agli altri. Nel corso della mia attività troppo spesso mi sono sentito dire che non siamo negli Stati Uniti. Spero che questa vicenda cambi qualcosa: non tutti i buoi sono fuggiti e forse potremmo pensare di chiudere le porte della stalla.

Quanto è difficile a livello tecnico impostare un hacking di questa portata?

Dopo avere letto l’ordinanza del magistrato ho avuto l’ennesima dimostrazione di come non esistano “barriere di accesso” per diventare un criminale informatico. L’impalcatura tecnologica di questo crimine è assolutamente accessibile a tutti e senza particolari investimenti (diciamo un po’ di studio). Lo stesso malware è stato creato utilizzando linguaggi di programmazioni piuttosto semplici. Piuttosto sono necessarie organizzazione, metodo e soprattutto, ma questo da sempre, la capacità di tenere un basso profilo, anche nell’uso delle informazioni. Considerando il settore economico in cui si muovevano gli indagati, se fossi stato nei loro panni le avrei rivendute sotto forma di consulenze finanziare: essere un advisor particolarmente brillante non è una reato.

E' credibile che tutto ciò possa essere stato fatto da due persone da sole?

Si, nella misura in cui, è iniziato su una scala molto piccola. Effettivamente le modalità operative che emergono dall’ordinanza lasciano intendere un approccio sistematico, ma nella forma di attacco di spear phishing, in cui si utilizzano, per veicolare il malware, messaggi di posta elettronica fortemente personalizzati sulla vittima. L’archivio sulla quale stanno investigando le forze dell’ordine parla di oltre 18 mila utenze, di cui circa il 10 per cento sarebbe stato compromesso. Inoltre sarebbe stato costruito in alcuni anni di attività. Con numeri di questo genere non sono necessarie grandi risorse.

Quale potrebbe essere lo scopo dell'hacking?

Oggi l’informazione non è soltanto potere, ma anche denaro. Tutti sono interessati a disporne. Tanto per un esempio banale: realtà come Facebook o Google su cosa costruiscono i loro utili miliardari (in dollari)? Ovviamente sui dati dei loro utenti che vengono rivendute per pubblicità e campagne marketing mirate. In politica e finanza le informazioni giuste al momento giusto fanno la differenza.

Che cosa ci dice questa storia sulle reti di protezione delle più alte cariche dello Stato?

Chiunque sia connesso a una rete può essere colpito e persone che occupano posizioni di rilievo sono obiettivi privilegiati. Sul tema credo ci sia parecchio ancora da fare. Tuttavia questa vicenda ha un lato oscuro o per meglio dire una domanda che mi assilla relativamente al malware. Secondo l’ordinanza EyePyramid sarebbe stato noto sin dal 2008, peccato che non risulta conosciuto ad alcuna aziende produttrice di anti-virus. Possibile che si tratti di un malware nazionale? E come mai in nove anni nessuno ha pensato di denunciarne l’esistenza e predisporre delle contromisure?

E' possibile che questo sia solo uno di tanti casi di hacking?

Se lo vediamo a livello internazionale direi proprio di sì. Se invece lo osserviamo nel contesto italiano, allora ha una portata enorme, perché nessuno aveva mai tentato un attacco di questa dimensione al sistema di potere nazionale. Forse dobbiamo iniziare ad abituarci all’idea che il crimine informatico non è un problema che non ci riguarda.

Che cosa si dovrebbe fare per migliorare le reti di protezione?

Da anni ormai i più grandi crimini on line hanno sfruttato non tanto le debolezze tecnologiche, quanto quelle umane. Tutto ruota attorno all’arte di ingannare il prossimo. Il problema vero è l’inadeguatezza biologica di noi uomini rispetto alla Rete. Ci siamo evoluti grazie a una combinazione di curiosità e paura, quest’ultima percepita attraverso i cinque sensi che per millenni ci hanno salvato la vita. Il mondo virtuale, per nostra sfortuna, è inodore, insapore, non fa rumore e quello che vediamo è uno schermo che, all’interno di un ufficio o di una casa, non ci sembra certo pericoloso. Non potendo imparare a guardare oltre il monitor, dobbiamo conoscere quello che potremmo trovarci. La chiave è più consapevolezza, attraverso la conoscenza.

Le aziende e le società italiane pubbliche e private quanto sono "moderne" in tema di cybersicurezza e quanto si sono adeguate alle nuove minacce?

Mi piacerebbe dire che sono molto avanti, ma purtroppo così non è. Il nostro sistema economico, fatto di piccole aziende, fatica a sostenere gli investimenti in materia di sicurezza siano essi di tipo tecnologico o di tipo formativo. Il risultato è un livello di vulnerabilità piuttosto alto, che diventa grave perché il nostro vantaggio competitivo è spesso legato alla celebre creatività italiana, quindi parliamo di proprietà intellettuale. Purtroppo secondo una ricerca Verizon, operatore in ambito sicurezza, si stima che nel 2016 l’89% dei data breach sia riconducibile a motivi finanziari o di spionaggio industriale. Con questo noi italiani possiamo considerarci al centro del mirino.