Non aumentare la superficie di attacco: cosa abbiamo imparato dall'esperienza Cashback - Agenda Digitale

Cyber-risk

Non aumentare la superficie di attacco: cosa abbiamo imparato dall’esperienza Cashback

Cashback: l’entusiastica adesione, i malfunzionamenti, le scelte politiche. Cosa abbiamo imparato, perché avremmo potuto usare soluzioni più semplici e sicure, quali sono i rischi in uno scenario in cui si moltiplicano i preparativi di una cyber guerra fredda

11 Mag 2021
Mario Dal Co

Economista e manager, già direttore dell’Agenzia per l’innovazione

Cashback“: abbiamo assistito all’entusiastica adesione dei cittadini al programma statale di rimborso delle spese tracciabili. In Italia, la politica si è convinta che dotare l’amministrazione pubblica di app per erogare prestazioni sia una soluzione che ripaghi in termini di consenso.

App che vengono introdotte con faciloneria tale per cui in genere si intasano in fase di avvio, rivelano inefficienze in fase di contatto, risultano farraginose o inutili sul piano operativo. Molto si è parlato della app “Immuni”, ma non pochi problemi hanno evidenziato le app per il cashback, i bonus e i vari contributi. Invece di far funzionare le amministrazioni, mettendole in contatto cooperativo tra loro nell’erogazione del servizio, e creando efficienti sportelli online, si sceglie la scorciatoia della app, credendo di poter erogare un servizio fuori dall’ordinaria amministrazione.

Cashback e Lotteria scontrini: manuale di sopravvivenza per esercenti

Negli antichi trattati cinesi sulla conduzione della guerra, si insiste sempre sulla necessità di non offrire al nemico la possibilità di scoprire i tuoi fattori di debolezza, primo dei quali aver disperso le tue forze e aver quindi esposto i molti lati deboli.

“Immuni” non nasce dentro al sistema sanitario, ma a latere, restando quindi totalmente impotente. Così il Cashback non nasce dentro al sistema finanziario, ma fuori e poi ci torna dentro con la app, creando una esposizione aggiuntiva dei dati dei sistemi di pagamento. Il rischio è che, invece di erogare servizi, le app aumentino semplicemente la superficie di attacco disponibile per i malintenzionati.

I sei insegnamenti del Cashback

Primo: la privacy ha un prezzo. Quindi, farebbero bene i decisori politici a sottomettere all’opinione pubblica i trade-off che riguardano la sicurezza, quella della salute da un lato e quella della privacy dall’altro. Paesi come la Corea lo hanno fatto e si sono dotati degli strumenti legislativi e gestionali per anteporre la salute alla privacy. Hanno spiegato ai cittadini che non si tutela l’economia lasciando dilagare l’epidemia, come stanno facendo i paesi occidentali, campioni di una tutela della privacy dietro cui si cela uno stato confusionale del decisore politico. La privacy, infatti, non viene garantita nel campo delle app e dei social network, che hanno obiettivi assai meno rilevanti per la sicurezza dei cittadini rispetto al tracciamento del contagio e nessuno se ne lamenta.

WHITEPAPER
Difendere le organizzazioni dal crimine informatico: una guida pratica.
Sicurezza
Cybersecurity

Secondo: la politica nostrana (di maggioranza e di opposizione). dopo l’exploit digitale di Casaleggio padre, non resiste alla tentazione della ribalta digitale. Caricando dati dettagliati dei propri sistemi di pagamento, fino al codice di sicurezza delle carte, i cittadini corrono maggiori rischi. Ma maggiori rischi corrono pure le istituzioni finanziarie che quei sistemi di pagamento gestiscono.

Terzo: alcuni hanno notato, non senza ironia, che la privacy vale 150 euro, valore che corrisponde al massimo della restituzione di spesa che il cashback ha portato nelle strane festività natalizie del 2020. Per ottenere tale rimborso, infatti, molti milioni di persone hanno consegnato senza discutere i dati più sensibili dei loro sistemi di pagamento alla app, che per altro inizialmente non funzionava.

Quarto:  se questo fosse davvero il prezzo-ombra della privacy individuale, tale valore potrebbe essere confrontato con il beneficio di un minor numero di morti, di minori danni al servizio sanitario e all’economia che un contact tracing efficace comporterebbe. Il trade off tra meno privacy e più salute sarebbe finalmente esplicitato e si potrebbe scegliere a ragion veduta, liberamente. Ma ciò sarebbe possibile solo se il sistema politico fosse in grado di porre alternative sensate e di proporre ai cittadini le valutazioni dei costi-benefici delle scelte. Un ampio studio effettuato in diversi paesi, sulla disponibilità del pubblico all’installazione di app per il contact tracing, dimostra che è molto alta, e ciò rappresenta una condizione indispensabile per l’elevata diffusione del contact tracing automatico, l’unico in grado di contribuire al contenimento della pandemia.[1]

Quinto: nella foga “elettoralistico-natalizia” di fare il regalino dei 150 euro del cashback agli elettori, i decisori politici non hanno guardato troppo per il sottile per verificare se i potenziali destinatari ne avessero prioritariamente bisogno e, non meno grave, si sono scordati di informare le istituzioni europee che in questo momento stanno fornendoci i quattrini con cui pagare molti stipendi,  le pensioni e una pletora di sussidi. La Banca Centrale Europea ha sollevato diverse obiezioni, tra cui spicca quella più rilevante, ossia che fosse prioritario intervenire sui costi strutturali dei pagamenti elettronici, piuttosto che inserire una sorta di lotteria per coloro che fanno molte microtransazioni[2]. Anche per questo il governo Draghi sembra voler chiudere con il cashback.

Sesto: le app per il Cashback non sono state collocate nell’ambito del Perimetro Nazionale della Cybersecurity, operativo da maggio. Un  ottimo motivo per non precipitare le decisioni e semmai anticipare in via sperimentale l’avvio del Perimetro con una dotazione straordinaria, usando queste app come test di sistema.

Le infrastrutture bancarie per il Cashback: una soluzione più semplice e sicura

Nel caso del programma Cashback vi era il prevedibile rischio, puntualmente realizzatosi, di vedere intasate le app in fase di avvio (le app che non partono subito bene in genere vengono abbandonate anche dai colossi del web, perché perdono subito la propria aura e capacità di seduzione). Sarebbe bastato attivare l’infrastruttura delle banche e delle carte di credito già disponibile, evitando di esporre a nuovi rischi i cittadini e le istituzioni. Rischi che creano una enorme nuova superficie di attacco. Sarebbe bastato dire alle banche di raccogliere il consenso dei clienti: le banche avrebbero contabilizzato, comunicato al Governo gli importi maturati e con l’occasione, visto che sarebbe stata potenziata l’attività delle carte di credito e di debito, avrebbero concordato una ulteriore limatura dei costi che oggi ricadono sui commercianti, ossia sulla categoria più danneggiata dai lockdown.

Questa soluzione avrebbe ridotto i rischi di attacchi informatici e i tentativi di sottrazione dei dati interessanti delle carte di pagamento, poiché i circuiti esistenti delle banche e delle carte di credito sono protetti da anni di attività incessante di protezione cyber: nel 2019, secondo ABI, le banche hanno investito 500 milioni nella sicurezza delle reti e dei servizi digitali, con un aumento dell’incidenza sul budget delle spese informatiche e di telecomunicazione dal 7% al 12%.

Invece, il cashback ha ignorato l’irresistibile attitudine italica all’arzigogolo per fregare il vicino e soprattutto lo Stato (ossia tutti i vicini e lontani): fioriscono quindi i sistemi per prendersi gioco delle regole e piegarle a proprio vantaggio, con trucchetti e accorgimenti per scattare i premi spendendo il meno possibile e intasando la rete dei pagamenti di microtransazioni. Il cashback, per come è stato configurato, è un ostacolo al buon funzionamento delle transazioni online e aumenta i rischi di attacchi cyber.

Gli attacchi russi e cinesi agli USA nel 2020: i preparativi di una cyber guerra fredda

Nel 2020 hacker russi hanno attaccato in grande stile la società texana SolarWinds per tentare di accedere alla rete dei computer del governo federale e delle amministrazioni locali, ma anche delle infrastrutture critiche e di società private.

La preoccupazione espressa dalla CISA – Cybersecurity and Infrastructure Security Agency del Dipartimento della Sicurezza Interna è che questi hacker hanno dimostrato sia abilità nello sfruttare la catena delle forniture sia notevole conoscenza delle reti del sistema operativo: è quindi probabile che abbiano già a disposizione veicoli e tattiche di ingresso e procedure a noi ignote.

Il Chief Information Security Officer di Digital Shadows, Rick Holland, ha dichiarato a Tech Tent come il coinvolgimento di SolarWinds nell’attacco abbia fatto scattare l’allarme, dal momento che tra i clienti della piattaforma Orion di SolarWinds ci sono molti rami del governo degli Stati Uniti: Dipartimenti del Tesoro e del Commercio, la Sicurezza Nazionale, l’Istituto Nazionale di Sanità e il laboratorio nucleare di Los Alamos. Il presidente Trump non ha detto una parola su quello che sembra essere stato l’equivalente moderno di un raid armato nella terraferma degli Stati Uniti da parte di una potenza straniera.

Ma l’ex consigliere per la sicurezza nazionale, Tom Bossert, ha dichiarato che ci sia stato un accesso a un numero considerevole di reti importanti e sensibili da sei a nove mesi.  SolarWinds sostiene che si tratti di un attacco molto sofisticato alla catena di approvvigionamento: ma secondo alcuni osservatori, sarebbe iniziato con un phishing banale in posta elettronica, il che non lo qualificherebbe come molto sofisticato. Ma questo, ovviamente, andrà accertato da indagini.

Più che di un attacco agli Stati Uniti, si tratta di un atto di spionaggio internazionale in grande stile: non è affatto circoscritto alle entità governative americane.

Orion è un prodotto per la gestione della rete di  SolarWinds, con oltre 300.000 clienti nel mondo. Da prima di marzo 2020, nella fase iniziale della pandemia, con l’attenzione distolta dalla difesa cyber alle preoccupazioni per il contenimento, gli hacker  dell’SVR russo, ex KGB, hanno violato SolarWinds inserendo una backdoor in un aggiornamento del software Orion: gli utenti che hanno installato l’aggiornamento tra marzo e giugno hanno fornito inconsapevolmente accesso di rete agli hacker dell’SVR.

SolarWinds ha rimosso, dopo la scoperta, la sua lista di clienti dal sito web, ma su Internet Archive si trovano tutti e cinque i rami delle forze armate statunitensi, il Dipartimento di Stato, la Casa Bianca, la NSA, 425 delle società Fortune 500, le prime cinque aziende di revisione e centinaia di università e college.

SVR ha scelto con cura gli obiettivi: Microsoft ha identificato 40 clienti che sono stati infiltrati, la grande maggioranza dei quali negli Stati Uniti, ma anche in Canada, Messico, Belgio, Spagna, Regno Unito, Israele e Emirati Arabi Uniti.

Una volta all’interno di una rete, gli hacker SVR hanno stabilito un accesso che rimarrà anche se la vulnerabilità iniziale venisse corretta e quindi hanno cominciato a prelevare i dati di interesse. Il rischio non è limitato ai clienti diretti di SolarWind, proprio per le caratteristiche di attacco indiretto attraverso la supplychain.

Riparare i danni di questo attacco non sarà facile: potrebbero essere necessari anni di lavoro e in alcuni casi sarà necessario l’azzeramento e la reinstallazione di reti e database.

Il 20 aprile 2020 l’azienda Mandiant, specialista in cybersecurity, denuncia un’effrazione del programma “Pulse Secure”, usato dalle aziende per le connessioni remote dei collaboratori. Dopo l’effrazione di Solar Winds da parte russa e quella denunciata da Microsoft in marzo contro la Cina, si tratta del terzo attacco che si basa sulla posta elettronica: l’ingresso nei computer degli utenti attraverso porte segrete attraverso cui spiarli per periodi anche molto lunghi. Sembra che anche aziende della difesa siano state violate, e si presume che vi siano hacker di alto livello legati all’esercito della Repubblica Popolare[3]. Il capo delle tecnologie di Mandiant, Charles Carmakal, ha descritto l’attacco come un classico attacco di spionaggio cinese, con furti di proprietà intellettuale e dati progettuali. Il sospetto è che vi siano furti di dati già accaduti e inavvertiti. L’attacco non è stato fermato, ma sono state diramate istruzioni per controllare i server delle agenzie pubbliche, delle infrastrutture critiche e delle organizzazioni private. I preparativi della guerra fredda cyber sono in pieno svolgimento.

Conclusioni: potenziare il perimetro della Cybersecurity nazionale

Se si intende lasciare procedere fino ad esaurimento il programma Cashback, occorre evitare che esso possa risultare un veicolo per trojan proprio nella fase di maggior distrazione, ossia quando sarà lontano dall’attenzione dell’opinione pubblica. Anche perché, come è stato sottolineato, la sicurezza del sistema di app IO/cashback dipende anche dalla mobilità internazionale dei dati, che potrebbero essere esposti ad attacchi specifici sul suolo, o nella rete degli Stati Uniti, ma avere obiettivi più ampi.

La pandemia ha accelerato la trasformazione digitale del lavoro, dell’istruzione, dell’amministrazione pubblica. Tra le tendenze che caratterizzeranno, secondo le previsioni, il 2021, troviamo che il controllo di integrità per evitare l’inserimento nei sistemi di malware sarà al centro dell’attenzione delle organizzazioni.

La minaccia ransomware continuerà ad essere la più grave, con intensità crescente sulla sanità. Tutta la supply chain da elevato valore aggiunto e contenuto di ricerca sarà oggetto di attacchi e di spionaggio.

La guerra fredda cyber continuerà a crescere di importanza nella dinamica di confronto tra le grandi potenze e le diverse aree economiche e politiche del mondo, coinvolgendo le istituzioni della difesa, le aziende, le infrastrutture, i trasporti[4].

Sulla sicurezza è urgente che il Governo investa risorse e recluti competenze, in modo che l’avvio del Perimetro della Cybersecurity sia accelerato e potenziato, non solo per tutelare il mondo istituzionale e gli enti pubblici, ma anche per fornire armi di difesa alle imprese strategiche, in un momento di grande incertezza a livello internazionale e di ridefinizione dei corridoi di comunicazione e collaborazione e dei firewall di contrasto e isolamento.

_____________________________________________________________________________________________

[1] ) Samuel Altmann, et alii, “Acceptability of app based contact tracing for COVID-19: Cross contry survey evidence”, The Lancet Public Health D-20-01570.

[2])Lettera” della Banca Centrale Europea al ministro dell’Economia e delle Finanze Roberto Gualtieri, 14 dicembre 2020.

[3] ) Ellen Nakashima, Aaron Schaffer, “Chinese hacker Compromise dozens of government agencies, defence contractors”, The Washington Post, April 21, 2021

[4]) Jason Firch, “Cyber Security Trends in 2021”, Purplesec.

[QUIZ] SECURITY/BACKUP
Protezione dei dati: sei sicuro di avere una strategia efficace? Scoprilo nel Quiz
Business Analytics
Business Intelligence
@RIPRODUZIONE RISERVATA

Articolo 1 di 4