Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Direttore responsabile Alessandro Longo

sicurezza

Cia e Wikileaks, lezioni di sicurezza da trarre per un’azienda

di Claudio Telmon, ICT security adviser and consultant, Clusit

24 Mar 2017

24 marzo 2017

La gran parte degli attacchi subiti da grandi organizzazioni nel 2016 è stata praticata con tecniche banali: attacchi a sistemi non aggiornati, vulnerabilità note o, semplicemente, phishing. E questo vale per imprese e organizzazioni italiane, europee e mondiali

Continuano gli effetti della pubblicazione dei file di Vault7, o meglio di una parte di essi. Cisco ha annunciato di aver individuato in quei documenti una vulnerabilità di un gran numero di modelli dei propri router, e fioriscono i webinar sulle conseguenze della scoperta di questo “arsenale” della CIA.

Per ragionare sulle conseguenze di questa pubblicazione da parte di Wikileaks, è utile partire però da un’altra notizia, che ha fatto certamente meno scalpore ma che per chi si occupa di sicurezza informatica è significativa. La settimana scorsa si è svolta infatti l’edizione 2017 di Pwn2Own. Si tratta essenzialmente di una competizione di hacking, in cui i gruppi partecipanti vengono messi di fronte a browser, sistemi operativi e ambienti virtualizzati, e li devono violare. Il team vincitore di quest’anno, fra l’altro, ha praticato un attacco che, attraverso una vulnerabilità (sconosciuta) di Microsoft Edge, una di Windows e una di VMWare, è riuscito sostanzialmente a prendere il controllo del sistema bersaglio del suo attacco, partendo dal browser di una macchina virtuale, arrivando fino alla macchina fisica. Un attacco in grado di mettere in seria difficoltà le infrastrutture di molte aziende e di servizi in cloud. Tempo necessario: 90 secondi. Ma gli altri team partecipanti non sono stati da meno, e fra browser, sistemi operativi ed altro software, molto poco è uscito indenne dalla competizione, come e più degli altri anni. Il team vincitore è cinese, e la Cina sembra farla da padrona nella competizione.

Torniamo adesso all’attività di spionaggio da parte delle agenzie degli Stati Uniti, ma partiamo da qualche anno fa. Nel 1998 diventa di pubblico dominio l’esistenza del sistema detto Echelon, una rete mondiale attraverso cui Stati Uniti, Inghilterra, Australia e Nuova Zelanda spiavano il resto del mondo. C’è il forte sospetto che la rete sia stata utilizzata anche per favorire industrie statunitensi nei confronti, ad esempio, delle concorrenti europee. La cosa suscitò relativamente poche reazioni, forse i tempi non erano maturi? Nel 2010 il “Cablegate” porta alla luce, fra l’altro, la stretta relazione fra Stati Uniti e Regno Unito, nonché l’interesse a sorvegliare alcuni personaggi politici. Ma l’anno d’oro è il 2013: da una parte, Edward Snowden, con il “Datagate”, porta alla luce alcune iniziative di sorveglianza globale da parte degli Stati Uniti, alle quali avrebbero partecipato anche agenzie di paesi europei. Secondo alcuni articoli[1], le agenzie europee non avrebbero agito sempre a favore del proprio paese, passando agli Stati Uniti informazioni su aziende nazionali. A fronte delle proteste suscitate (negli Stati Uniti) da queste rivelazioni, gli Stati Uniti hanno avviato alcune iniziative di normative per la tutela dei cittadini (degli Stati Uniti) da queste attività di spionaggio. Ma sempre del 2013 è la notizia che gli Stati Uniti avrebbero sorvegliato, fra l’altro, il cellulare di Angela Merkel. In quell’occasione, c’è stata qualche reazione in più anche in Europa, a parte la telefonata di protesta: qualche tempo dopo, è stata diffusa infatti la notizia che la cancelliera avrebbe cominciato ad utilizzare un nuovo cellulare cifrato, più resistente agli attacchi… almeno quando parla con chi utilizzi uno strumento analogo.

Il fatto è che lo scopo delle agenzie di spionaggio è spiare. Di solito lo fanno a sostegno degli interessi politici ed economici del proprio paese, e questo interesse economico fa sì che non si escluda lo spiare i propri “alleati”. Non stupisce certo che la CIA avesse strumenti e persone a supporto di questa attività anche in ambito cyberspace. Qual’è quindi la notizia? Dovrebbe preoccupare che questi strumenti siano stati diffusi? Il Rapporto Clusit 2017[2] appena pubblicato, analizza fra l’altro circa un migliaio degli attacchi noti di maggiore impatto subiti da grandi organizzazioni nel 2016. La gran parte di questi attacchi è stata praticata con tecniche banali: attacchi a sistemi non aggiornati, vulnerabilità note o, semplicemente, phishing. La realtà dei fatti è che per attaccare la maggior parte delle aziende o organizzazioni italiane, europee o, in generale, mondiali, non servono gli strumenti dell’NSA. Certo, fino a quando non saranno pubblicate le patch, quegli strumenti daranno qualche arma in più anche a gruppi meno dotati di quelli che hanno vinto il Pwn2Own, ma, questo vale per tutti gli 0-day[3] scoperti e poi pubblicati, e ogni anno ce ne sono molti. Per le poche organizzazioni con una sicurezza tale da richiedere realmente l’utilizzo di strumenti sofisticati, si tratta di un problema noto, con il quale sanno di doversi confrontare ogni giorno.

Cosa si può fare quindi?

La maggior parte delle aziende ed organizzazioni, più che preoccuparsi della CIA e degli 0-day, dovrebbe preoccuparsi del fatto che tutt’ora, attacchi automatici come quelli che diffondono il ransomware riescono ad entrare nei loro sistemi: attraverso gli stessi canali, passano attacchi altrettanto o più pericolosi, ma che si fanno notare meno. Le recenti vicende dei fratelli Occhionero potrebbero suggerire che anche alcuni politici e alcune istituzioni potrebbero curare di più la propria sicurezza, o almeno quella del ruolo che rappresentano e delle informazioni che trattano.

Come cultura generale, dovremmo cominciare davvero ad affrontare il cyberspace con le stesse logiche con cui affrontiamo il mondo materiale: nessuno si stupisce che la CIA sia in grado di entrare in una casa o in un’azienda, ma ci preoccupiamo che non ci riescano ad entrare almeno i ladri comuni. Invece spesso, con la scusa che “tanto la sicurezza assoluta non esiste”, non ci preoccupiamo neanche della sicurezza “decente”.

E poi, se è vero che la maggior parte delle informazioni personali e delle aziende sono ormai accessibili dai nostri smartphone, ci potremmo chiedere quanto sia opportuno (e legittimo) che per la maggior parte di questi non siano mai disponibili aggiornamenti di sicurezza, diventando vulnerabili poco dopo essere stati acquistati e rimanendo tali per il resto dei loro giorni.

 

[1]     Vedi ad esempio http://www.theregister.co.uk/2015/04/24/bnd_nsa_spying_collaboration/

[2]     https://clusit.it/rapporto-clusit/

[3]     https://it.wikipedia.org/wiki/0-day

Articoli correlati