CARTOLINE DALL’INFERNO 2, SICUREZZA PERVASIVA ALLA PROVA DELLE NUOVE MINACCE


Gli attacchi susseguitisi negli ultimi mesi ai danni di aziende e istituzioni internazionali dimostrano sia l’importanza degli interessi economici in gioco sia le difficoltà di rispondere efficacemente. Cloud, consumerizzazione e inadeguatezza dei modelli di sicurezza esistenti, hanno reso obsoleto il concetto di difesa manicheo del noi contro loro. Le nuove minacce richiedono un ripensamento radicale delle proprie difese, in termini di prevenzione, detection e auditing

Gli attacchi cinesi – Immaginate la scena. Cina, Beijing, un mese qualsiasi di undici anni fa. Nella sala riunioni che ospita un comitato ristretto dello stato maggiore si discutono i dettagli operativi di una strategia d’attacco sul Web. «Da chi partiamo?», domanda informalmente una voce del piccolo gruppo di generali. Potendo scegliere, da Intel e Google naturalmente, veri e propri giacimenti a cielo aperto di informazioni. Giusto, perché porsi dei limiti, ma in che modo? Intanto non è detto che le difese Web siano così efficaci – deve essere stato il retropensiero dominante – e poi non frontalmente, ma, in ossequio agli insegnamenti del grande Sun-Tzu, aggirando l’ostacolo, appoggiandosi per esempio a una società lontana dai riflettori, ma strategicamente importante che funga da grimaldello per scardinare le difese di BigG. Ibahn (www.ibahn.com/en-us/index.php?cid=1605) è una di queste società: è il provider che fornisce gli accessi broadband agli ospiti di catene alberghiere come Marriott International, Hilton, Holiday Inn, Intercontinental, De Vere, Ritz-Carlton; nei loro saloni si tengono quotidianamente incontri di alto livello tra personale di multinazionali del settore privato così come di enti e agenzie governative. Per un hacker guadagnare l’accesso alla rete Ibahn significa mettere le mani su milioni di mail preziose come quelle relative all’imminente fusione tra due colossi bancari; al lancio del prossimo rivale dell’iPhone; alle analisi dell’agenzia di rating sulla situazione politico-economico francese; alle negoziazioni in vista dell’acquisizione di un importante investimento nel settore delle nanotecnologie. A loro volta questi sistemi sono altrettante teste di ponte che consentono l’accesso alle reti private di un numero impressionante di società strategiche che a essi si appoggiano.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

La strategia – Le attenzioni cinesi verso società come Ibahn illustrano perfettamente strategia e tattica del gigante asiatico in tema di cyber spionaggio. Centinaia tra aziende, centri universitari, Internet provider e agenzie governative USA sono state prese di mira nell’arco di un decennio da uno o più gruppi di cyberwarrior specializzati. A rivelarlo è un rapporto dell’intelligence USA dal titolo “Foreign Spies Stealing US Economic Secrets in Cyberspace” presentato al Congresso lo scorso 3 novembre. Il rapporto, già parzialmente declassificato, offre ampi squarci sulle dinamiche d’attacco ai danni degli USA e di altri Paesi. La lista delle società colpite include nomi conosciuti e società di nicchia, attive in settori strategici come quelli aerospaziale, farmaceutico, dei semiconduttori, delle biotecnologie. «I cinesi arraffano tutto quello che non è protetto, lo hanno sempre fatto; e le cose continuano a peggiorare», afferma il deputato repubblicano Mike Rogers, responsabile del Comitato di controllo sui servizi USA. Foraggiati dall’intelligence oggi la maggior parte dei politici americani di entrambi gli schieramenti è convinta che la Cina abbia fatto dello spionaggio industriale uno dei pilastri della sua politica economica, l’additivo in più nella corsa a scavalcare loro e tutti gli altri competitor in vista dell’obiettivo dichiarato di diventare la prima economia mondiale.

Bocche cucite – Le aziende non amano pubblicizzare i propri fallimenti e, a meno che non siano costrette, neppure ammettere di aver subito un attacco. Infatti tutte quelle identificate nel rapporto come vittime si sono guardate bene dal rendere pubbliche informazioni che potessero aiutare i media a ricostruire i fatti. C’è il segreto istruttorio, ma probabilmente anche la consegna di tenere chiusa la bocca. In alcuni casi tuttavia, grazie al lavoro congiunto di esperti del settore privato e pubblico, le indagini hanno consentito di tracciare le comunicazioni tra le reti delle società colpite e i centri di comando e controllo degli hacker, lasciando trapelare qualcosa. In altre circostanze la ricostruzione dell’attacco è stata agevolata dall’imperizia dei responsabili delle intrusioni che utilizzavano gli stessi canali di attacco per effettuare comunicazioni private e personali. All’epoca dell’attacco a Google che portò alla sottrazione di codice sorgente, si scoprì per esempio che almeno altre 34 società tra cui Intel e Adobe erano state vittime di furti e manomissioni varie. Google in quella circostanza si distinse per l’inspiegabile sottovalutazione che fece dell’episodio. Il già citato rapporto dell’intelligence però, analizzando le conseguenze di quella serie di attacchi, delinea la strategia complessiva, risalente almeno al 2001, volta a sottrarre info strategiche in decine di settori economici.

Come facciamo a sapere tutto questo? Il controspionaggio USA da diversi anni è sulle tracce del cyberspionaggio cinese. Nel 2009 una gola profonda dell’intelligence dalle colonne del Wall Street Journal, aveva denunciato il tentativo cinese e russo di mappare infrastrutture strategiche come le linee elettriche negli Stati Uniti. Oggi però quelle che erano solo illazioni grazie alle rivelazioni di Wikileaks sono prove documentarie. Per esempio da un cablo diplomatico datato marzo 2009 apprendiamo che da tempo era attiva un’operazione di controspionaggio ribattezzata Byzantine Hades che dimostrava un legame evidente tra gli attacchi sferrati da gruppi di hacker, ognuno con compiti e target diversi, e la Cina; si hanno prove di numerosi attacchi condotti ai danni di Internet provider, documentati in un cablo datato 30 ottobre 2008 del Dipartimento di Stato, dal quale si apprende la sottrazione di almeno 50 mega di dati tra allegati e mail oltre a una lista di credenziali in uso presso una non identificata agenzia statunitense. Il cablo rivela anche che il gruppo che ha condotto l’attacco è collegato al Terzo Dipartimento, un’unità dell’esercito cinese specializzata in operazioni cyber con sede a Shanghai. Altri documenti resi pubblici da Wikileaks dimostrano che taluni attacchi erano condotti in vista di specifiche azioni di politica economica. Così per esempio l’attacco perpetrato dal commando cinese ai danni dei sistemi IT di Posco, il gigante coreano dell’acciaio che proprio nel 2006 iniziava lo sfruttamento di un acciaieria in Cina. L’approvazione del piano quinquennale lo scorso marzo fornisce in tal senso più di un indizio per correlare taluni attacchi ad altrettanti obiettivi economici di medio periodo. Il piano individua sette macro aree industriali di intervento che riflettono fedelmente gli obiettivi più importanti per le cyberspie cinesi. Per la cronaca, secondo la società di consulenza Kpmg, le aree in questione sarebbero il settore delle energie sostenibili e pulite, le biotecnologie – dispositivi medicali e farmaci compresi – i semiconduttori, l’IT, i settori aerospazio e telecomunicazioni.

Leggi anche:  Settore Energia: attacchi cyber raddoppiati nei primi tre mesi del 2024 rispetto all’intero anno 2023

Ci sono anche i russi – I cinesi dunque sembrerebbero aver capito che è molto più economico condurre un attacco informatico che sviluppare in proprio ricerca e tecnologia, soprattutto in settori in cui la realizzazione di nuovi prodotti richiede tempi lunghi, risorse consistenti, conoscenze, capitale umano. E con buoni risultati se – come afferma la società di consulenza PWC – tra le società che nel terzo trimestre del 2011 hanno partecipato ai 13 principali appalti di fornitura globale di tecnologia ben dieci erano cinesi. Sulla buona strada sembrerebbero anche i russi, almeno a voler dare ancora una volta credito al più volte citato rapporto: “Moscow’s intelligence services are using the Internet to collect economic information and technology to support Russiàs economic development and security”. Per la verità gli interessi russi così come quello di altri Paesi dell’ex blocco sovietico, sembrerebbero persino più venali, come dimostra l’operazione Ghost Click condotta dall’FBI che ha portato all’arresto di sei uomini accusati di una frode via Web di circa 14 milioni di dollari; o come esemplifica il processo a carico del cosiddetto re dello spam Oleg Nikolayenko accusato di essere il responsabile dell’invio di oltre 10 miliardi di mail non sollecitate.

Stuxnet e i suoi fratelli – Cinesi e russi sono in buona compagnia, intendiamoci. Semmai per alcuni Paesi talune priorità sembrerebbero – almeno per quel che si vede – più pressanti: influenza, deterrenza, propaganda, minaccia, finalità queste ultime fatte proprie anche da organizzazioni in aperta contrapposizione con il potere statale; certo se si parla di difesa preventiva il pensiero corre subito a Israele, alla minaccia nucleare iraniana e a Stuxnet, il virus che potrebbe aver ritardato i piani nucleare iraniani. In questo ambito ha destato interesse e preoccupazione la notizia trapelata lo scorso dicembre, secondo cui Stuxnet e il più recente Duqu, sarebbero solo i primi di una serie di virus sviluppati dallo stesso team di programmatori. Ma il punto che qui ci interessa approfondire è un altro: che cosa accomuna Stuxnet e Duqu allo spionaggio economico perpetrato dai cinesi o allo spam massivo di provenienza russa?

APT – Appuntatevi questo acronimo: APT – Advanced Persistent Threats, minacce avanzate e persistenti. Nei prossimi mesi lo sentiremo utilizzare spesso. In sintesi un attacco APT riesce a convogliare in un unico punto (il suo target) tutta la propria forza d’urto. Per il criminale comune della Rete non è molto importante uno specifico target; più importante invece riuscire a mettere le mani su qualche migliaio di numeri di carta di credito; la sicurezza per lui si misura in questi termini: se le tue difese riescono a respingere i miei attacchi mi concentrerò su altri obiettivi alla mia portata. Con le APT le cose cambiano. Per una qualche ragione l’unico obiettivo sei tu e nessun altro. Chi scatena una APT è molto probabile che sia meglio finanziato, preparato e paziente di un hacker comune. Proverà diverse strade prima di trovare quella più adatta a penetrare i tuoi sistemi e alla fine è probabile che riuscirà a spuntarla.

Se le minacce sono cambiate anche le difese si devono aggiornare – Molte delle difese di cui disponiamo – sono in molti ormai a sostenerlo – vanno ripensate. I più lungimiranti prospettano l’affrancamento da un’ottica strettamente reattiva agli attacchi che sposti l’attenzione sulle motivazioni che oggi animano i creatori di malware. Sperimentazione, didattica, gioco sono un pallido ricordo; anche il vandalismo, il gusto di provocare danni come cancellare i file eseguibili o danneggiare settori dell’hard disk è marginale rispetto allo scopo precipuo che è quello di conseguire un vantaggio economico. Oggi sono attivi gruppi specializzati in grado di creare virus micidiali, antivirus fasulli che iniettano codice o rubano i dati. Presto probabilmente una nuova generazione di malware prenderà d’assalto le reti telefoniche e gli smartphone, aspetto questo di cui torneremo a occuparci nel numero di maggio di Data Manager. Anche i mezzi a disposizione sono cambiati. Per esempio oggi sappiamo in che modo il sottobosco della criminalità sul Web prosperi appoggiandosi alle spalle larghe di quella organizzata. Anche le conoscenze a disposizione sono maggiori. Pensiamo per esempio alle possibilità offerte in passato da tool come Google Code Search e oggi da migliaia di epigoni, vale a dire piattaforme dalle quali partire per cercare codice open sulla rete utile per sfruttare qualsiasi genere di vulnerabilità per finalizzare un progetto criminale.

Come ci si difende dalle APT – La sola esistenza di virus come Stuxnet (e forse Duqu) ci rammenta che le chance di riuscire a mettere fuori uso gli impianti di controllo automatizzato (Scada) sono alte. Eppure non bisogna perdere mai di vista la realtà. Attacco all’acquedotto. Risale alla fine di novembre la notizia di un attacco al sistema di controllo del servizio idrico di Springfield nello stato USA dell’Illinois. Mediante il furto delle credenziali di accesso al sistema Scada, ignoti sarebbero riusciti ad accedere al sistema di controllo, riuscendo a provocare il malfunzionamento di una delle pompe idriche. L’incidente in brevissimo tempo assurge a paradigma dell’attacco cyber in grado di provocare danni reali a una infrastruttura vitale come quella idrica. Oggi però sappiamo che le cose sono andate diversamente rispetto alla prima frettolosa ricostruzione dei fatti: nessun attacco proveniente dal Web, solo un accesso al sistema Scada che governava l’impianto eseguito da una postazione anomala. Fortunatamente il caso in poco tempo si sgonfia e la ridda di illazioni circa la vulnerabilità delle infrastrutture USA, almeno temporaneamente, rientra. Ma l’allarmismo ingiustificato non si placa, come dimostra la vicenda più recente dell’accademico dell’Università di Darmstatdt in Germania, tale Stefan Katzenbeisser, che per qualche ora ha calamitato l’attenzione dei media sui sistemi che regolamentano gli scambi ferroviari. Il pericolo in questo caso nascerebbe dalla presunta vulnerabilità dei sistemi a rischio di attacco di tipo denial of service. Secondo Katzenbeisser infatti nello stesso modo in cui è possibile mettere fuori uso un sito convogliando una massa sufficiente di traffico, così – almeno in teoria – un hacker potrebbe mettere fuori uso i computer che regolano i sistemi di scambi ferroviari; il pericolo non sarebbe perciò quello di scontri tra convogli, ma di un’interruzione prolungata dei collegamenti ferroviari. Neppure coi treni si può stare tranquilli, viene subito da pensare. Senonché l’ineffabile Katzenbeisser, forse anche perché sollecitato dalle autorità tedesche, nelle dichiarazioni successive corregge un po’ il tiro, affermando che la tecnologia Gsm-R utilizzata in ambito ferroviario è sicura, anche più di quella Gsm utilizzata nella telefonia e che almeno per il futuro prossimo non dovremmo correre alcun rischio. In questo gioco al massacro dunque la cautela è sempre d’obbligo; detto questo però occorre evitare di sottovalutare la portata del problema dei cyber-attacchi contro gli impianti industriali, ancora di recente balzati agli onori della cronaca dopo la sottrazione di dati perpetrata ai danni dell’industria petrolifera e della difesa norvegese.

Leggi anche:  Perché una soluzione Cloud Detection and Response è irrinunciabile per ostacolare gli attacchi sofisticati nel cloud

Conclusioni – Tutto sommato il Web è un teatro di scontro su cui gli stati solo di recente hanno iniziato a misurarsi. Coloro che fino a ieri vi hanno scorazzato più o meno liberamente, oggi sono scalzati da gruppi di emanazione militare o criminale; scontri, dispute e contrapposizioni sorte altrove qui trovano un altro terreno su cui sfogarsi e prosperare; un terreno, secondo alcuni, più vantaggioso per chi attacca, che spesso agisce da Paesi che direttamente o indirettamente lo proteggono e incentivano – e meno per chi difende, talvolta nella condizione di ripensare la propria presenza sulla Rete. Il diretto coinvolgimento della criminalità organizzata così come di uno stato sovrano si traduce in mezzi a disposizione più ingenti. Ed è anche per questo che assistiamo a un cambiamento qualitativo e quantitativo della natura delle minacce, oggi più persistenti e pericolose. Cambiano gli obiettivi e, spesso, motivazioni politiche e ragioni economiche si fondono. Le organizzazioni criminali esistono per fare soldi. Se mai si riuscirà a rendere antieconomica la creazione di malware, molti problemi di sicurezza si ridimensioneranno. Perciò, a un livello più generale, lavorare sulle motivazioni di attacco cercando di prevedere e anticiparne i comportamenti e da lì arrivare alla creazione di forme automatiche o quasi di protezione, può dare buoni risultati. È quanto si prefigge per esempio il progetto di ricerca Wombat – Worldwide Observators of Malicious Behaviours and Attack Threats (www.wombat-project.eu) – a cui partecipa un consorzio di centri di ricerca tecnologica e società private del settore della sicurezza, finanziato dalla Commissione Europea. I problemi di sicurezza richiedono il coinvolgimento di molti attori. E dunque occorre incrementare in ogni modo la collaborazione. L’errore è quello di credere che questi pericoli non ci riguardino. La domanda da porsi non è quante possibilità ci sono che un attacco APT colpisca proprio la mia azienda o l’ente per cui lavoro. La consapevolezza da raggiungere è un’altra e cioè che un attacco APT è qualcosa di totalmente diverso da quello portato dall’hacker della porta accanto. Le nuove minacce richiedono un ripensamento radicale delle proprie difese, in termini di prevenzione, detection e auditing. La sola prevenzione è un’arma spuntata. Cercare di tappare tutti i buchi da dove potrebbe arrivare l’attacco è un’impresa titanica; e poi ci sarà sempre qualcuno in grado di scardinare un sistema di sicurezza. E questo vale per qualsiasi sistema, non solo per quelli informatici: nulla è perfettamente impenetrabile se l’attaccante è motivato e dispone delle giuste risorse. Neppure dotarsi di costosi gadget di sicurezza e inventarsi policy di sicurezza tanto dettagliate quanto impossibili da mettere in pratica è una strada percorribile; meglio piuttosto investire in risorse in grado di svolgere audit periodici dai quali ricavare indicazioni utili sul grado di sicurezza dei propri sistemi. E disporre di strumenti efficaci per tracciare l’attacco nel malaugurato caso in cui questo dovesse aver luogo per avere maggiori garanzie di poter arrivare al colpevole. Non è – o almeno non è solo – la perdita di dati clamorosa, quella che finisce sui giornali a gettare a gambe all’aria un’azienda; a gettarvi discredito sono le mille piccole falle che possono compromettere la fiducia di chi legittimamente accede al dato, la risorsa più preziosa.

Un’intervista a tutto campo a un professionista dell’IT security

Raoul Chiesa, classe 1973, è uno dei primi hacker italiani. All’inizio degli anni 90 grazie alle sue poco meno che leggendarie intrusioni nei sistemi di istituzioni finanziarie, governative e militari, la sua fama varca i confini nostrani e si consolida nella comunità hacker internazionale. Fondatore e Cto di @Mediaservice.net, azienda specializzata in consulenza sulla sicurezza, Raoul si occupa professionalmente di IT security dal 1997. Insieme a un selezionato team di tecnici ed esperti ha collaborato a progetti nazionali e internazionali di alto livello. Da tempo Raoul è impegnato in giro per il mondo in un’opera di diplomazia tecnologica, tesa a promuovere un proficuo connubio tra lo spirito di ethical hacking delle origini e l’IT Security.

Quella che segue è un’intervista a tutto campo rilasciataci al ritorno da un giro di conferenze e technical sessions che lo hanno portato – unico rappresentante europeo invitato a partecipare – nella tana del lupo cinese.

 

Data Manager: In tempi di estrema precarietà trasformarsi in un cybercriminale – soprattutto in certi Paesi – è solo un altro modo per sbarcare il lunario. Sembra che chiunque possa farlo poiché non servono grandi competenze tecniche e gli strumenti con cui operare sono reperibili online. Per esempio pare che non sia così difficile affittare una botnet, sferrare un attacco mirato e impadronirsi di account bancari e numeri di carte di credito. Che cosa c’è di vero in tutto questo?

Raoul Chiesa: Purtroppo quanto affermi corrisponde assolutamente alla verità. Al di là della crisi economica – la quale, come si sa, spinge verso il white-crime anche chi, generalmente, non commette crimini – il mondo del cybercrime è davvero vasto. Nel contempo, però, il livello tecnico necessario si è drasticamente abbassato, c’è il “black market” e tutto è acquistabile, anche il know how che non si possiede. E le cifre sono spesso modiche.

Rimaniamo sulle botnet. Alcuni esperti notano che uno dei problemi è la difficoltà di misurare la portata dei danni che potrebbero provocare. L’impressione è che si conosca solo la punta dell’iceberg e che ciò che conosciamo è ancora poco per stimare i danni potenziali del fenomeno. Qual è il tuo punto di vista al riguardo?

Le botnet rappresentano uno degli aspetti più controversi del cyber crime e non solo: anche nel mondo dell’Information Warfare, per esempio, le botnet rivestono un ruolo importante, come negli attacchi a DDoS o il furto di informazioni sensibili. Tornando a noi, una botnet di per sé prevede bot “dormienti”, i quali vengono attivati a fronte di un’azione puntuale. Risulta quindi chiaro come non sia semplice avere cifre chiare sulle botnet in circolazione: concordo con te sulla definizione della classica “punta dell’iceberg”. A titolo di esempio, dopo il recente takedown di ESTdomains in Estonia, da parte dell’FBI e con il supporto di alcuni vendor, Trend Micro ha pubblicato un’infografica proprio per fare comprendere la portata, la vastità di quella botnet, comparandola ad altri “celebri” takedown quali Waledac, Coreflood, Rustock. Il grafico è reperibile al seguente link ed è abbastanza impressionante: http://blog.trendmicro.com/big-botnet-busts/.

Leggi anche:  Commvault estende il supporto a Google Cloud con Cloud Backup and Cyber Recovery avanzato per Google Workspace

Recentemente un collega mi ha segnalato questo episodio: dopo aver individuato un virus, entrato in azienda, pare sfruttando un attacco DDoS, il suo team IT ha scoperto che in realtà si trattava di malware che durante l’attacco DDoS si era rapidamente trasformato; ora la domanda forse scontata è: siamo sicuri di sapere cosa passa in mezzo a un attacco DDoS? Consideriamo per esempio malware come Tdl-4 la cui capacità di fare breccia è documentata; sino a che punto siamo certi che con il malware non passa anche altro?

Domanda da un milione di dollari! Non possiamo esserne sicuri. Ed è abbastanza scontato che una botnet – proprio per quanto affermavo all’inizio – ha generalmente più scopi: dal DDoS al furto delle credenziali di accesso per il finance online, sino allo spionaggio industriale e militare. La stessa cosa, per “analogia”, se mi passi il termine, sta accadendo da oramai molto tempo con le “Apps” per i cellulari. Moltissime sono le apps al cui interno è celato del malware, e sono proprio gli utenti a installarselo!

Sempre più spesso s’inciampa nell’ acronimo APT. In che misura queste minacce sono qualitativamente diverse rispetto a quelle precedenti?

Qui trovi uno che è un po’ “contro” il termine APT. O meglio: “APT”, che sta per Advanced Persistent Threat, è una terminologia esatta, coniata abbastanza recentemente da un Cert europeo, dopo che gli stessi avevano avuto modo di osservare svariati attacchi APT. C’è un “però”. Quando sento che la RSA è stata violata con un’APT, resto un po’ basito. Se si considera “APT” un attacco che si basa sulla leggerezza e ingenuità di un dipendente interno il quale – come nel caso della RSA – “abbocca” a un’email di Phishing (chiamiamolo Whaling o Spear Phishing, come volete) e apre un file XLS in allegato, beh, io più che di “APT” parlerei di stupidaggine. Vero è però che gli attacchi APT fanno largo uso di vulnerabilità 0-day e di exploit non pubblici. È su questo che “il gioco” si basa, sull’utilizzo di vulnerabilità non note, non presenti nelle signature degli AV e dei sistemi xIDS.

Secondo alcuni stiamo assistendo alle prove generali di una vera cyberguerra. Tra coloro che affermano che stiamo assistendo alle prove generali di un conflitto e che pur di vendere i loro prodotti o idee, già lo annunciano, e chi invece è più scettico al riguardo, dove è più realistico collocarsi?

Sono tra coloro che credono che la “cyberguerra” è già iniziata, da lungo tempo. Risale per esempio al 1989 l’arresto di Hagbard e Pengo, membri del Chaos Computer Club tedesco, in seguito alle centinaia di attacchi da loro lanciati verso svariati contractor del governo e dell’esercito USA. Ancor prima, nel 1982, ci fu un’esplosione in Siberia di 3 kilotoni, a causa di software modificato fatto inserire dagli americani da un’azienda canadese, fornitrice di software per centrali al governo russo. Stiamo insomma parlando di qualche cosa che è già iniziato molto tempo fa. Certamente, concordo anche con chi dice che tutte le avvisaglie cui stiamo assistendo altro non sono che le prove generali di un conflitto. C’è stata l’Estonia, nel 2007 e la Georgia nel 2008. C’è stato lo strano incidente di Vodafone Grecia nel 2005, l’attacco al Carbon Market, i tantissimi attacchi di Anonymous, Lulz e Team Pois0n, parlando anche del lato “hacktivist” della cosa; sicuramente lo scenario mondiale sta cambiando, e gli Stati ne sono coscienti.

In passato uno dei miti più diffusi nel campo della sicurezza era di attribuire alla mafia russa i peggiori reati online; oggi invece è la Cina a essere spesso sotto i riflettori. E sempre in tema di luoghi comuni, sono molti anche tra gli addetti ai lavori a essere convinti che la situazione sia sotto controllo e che il governo USA dispone di sistemi avanzati di difesa che li metterebbero al riparo da qualsiasi attacco informatico. Sino a che punto queste credenze aderiscono alla realtà?

In merito agli USA, mi sembra evidente che le cose non stanno come si afferma. Inoltre, il cyber crime è un reato globale e gli USA hanno compreso in questi anni come, senza la collaborazione di terze parti, non lo si possa sconfiggere da soli. Continua a essere vero che il crimine organizzato dell’Est Europa (Russia, Ucraina, Estonia e Moldavia in prima fila), insieme a qualche cosa in Africa del Nord e nell’America del Sud, tengono le redini del cyber crime, un business che, non dimentichiamocelo, stando al rapporto IB-Group 2011, “fattura” una cifra compresa tra i 6 e i 12 miliardi di dollari all’anno; ma è altrettanto vero che, quando si parla di spionaggio industriale, governativo e militare, i cinesi la fanno da padroni, oramai almeno dal lontano 2003.

Da tempo molti Paesi sono impegnati a protezione delle proprie infrastrutture critiche. Ci sono segnali di maggiore consapevolezza dei pericoli che si corrono e di adozione di misure attive anche nel nostro Paese?

Sono stati investiti tantissimi fondi della Comunità Europea proprio per azioni di awareness, information sharing, policy. In merito all’adozione di misure attive, non so darti una risposta. Osservo però – ancora una volta – gli USA, e noto come, nonostante gli enormi investimenti del governo statunitense, continui a esserci notizia, abbastanza regolarmente, di attacchi avvenuti con successo, proprio alle infrastrutture critiche e ai sistemi Scada/Pcs. Forse è ora di ripensare completamente al modello di sicurezza nel mondo dell’automazione industriale.

Abbiamo parlato di vecchie e nuove minacce sempre più difficili da fronteggiare. Il Cloud computing potrebbe migliorare le difese IT? Oppure sarebbe meglio promuovere progetti che innalzino la sicurezza a livello di infrastrutture?

Il Cloud è un’arma a doppio taglio da questo punto di vista. Il Cloud si accompagna a una serie di problematiche e di questioni non da poco, che spaziano dalla sicurezza dei dati alla loro proprietà, a problematiche legali internazionali. Nel mondo dell’hacking si dice che “Cloud is cool”, perché a fronte di un attacco – mirato e ben pianificato, disponendo di tempo e risorse – il “jackpot” diventerebbe la totalità delle aziende target che stanno su quel Cloud provider. D’altra parte, è anche vero che un big player dei Cloud Services dispone di possibilità di investimento nell’information security sicuramente maggiori rispetto a qualsivoglia azienda medio-grande. Sarà una delle prossime sfide del mondo della sicurezza ICT, vedremo che cosa accadrà.