Verso la metà dello scorso marzo l’amministrazione comunale di Atlanta, uno dei centri economici e finanziari più importanti degli Stati Uniti, è rimasta praticamente bloccata per cinque giorni a causa di un attacco di ransomware definito dagli esperti come uno dei più sostenuti e determinati mai lanciato contro una città americana. Si parla di una richiesta di riscatto di 50.000 dollari, che non si sa nemmeno se sia stata pagata o meno: fatto sta che il blocco dei sistemi è stato pressoché totale per cinque giorni, durante i quali gli ottomila impiegati comunali non hanno potuto svolgere alcun lavoro ed i circa sei milioni di cittadini dell’area metropolitana non hanno potuto ottenere dal comune alcun servizio informatico.
Le prime indagini sulla vicenda di Atlanta sembrano attribuire l’attacco ad un gruppo criminale denominato SamSam specializzato in estorsioni basate su ransomware, che si ritiene aver attaccato con successo, nel solo 2018, oltre una trentina di organizzazioni di natura pubblica statunitensi, tra cui ospedali, università e persino dipartimenti di polizia, raccogliendo oltre un milione di dollari in riscatti. Naturalmente però l’attribuzione è quanto mai incerta, e la possibilità di perseguire i colpevoli pressoché prossima a zero.
Gli attacchi alle infrastrutture critiche
È questo, in ordine di tempo, il più recente attacco portato con successo verso un nuovo tipo di bersaglio sensibile: una infrastruttura critica in senso lato, del tipo che l’Europa grazie alla Direttiva NIS sta imparando a chiamare “operatore di servizi essenziali”. In questo caso si è trattato di un’amministrazione comunale, ma alla stessa classe di bersagli appartengono anche altri tipi di amministrazioni pubbliche, oltre ai più classici ospedali e strutture sanitarie, scuole ed università, strutture aeroportuali, operatori elettrici, telefonici o dell’energia. La scelta di questi tipi di vittime non è casuale da parte dell’estorsore che opera l’attacco: è infatti la scelta ottimale in termini di massimizzazione del profitto, perché hanno tutte moltissimo da perdere e sono tutte sostanzialmente impreparate a fronteggiare situazioni di sabotaggio informatico su ampia scala.
Da qualche tempo negli Stati Uniti questo tipo di attacchi sta diventando quasi una routine: un survey pubblicato nel 2016 dalla ICMA, associazione che sin dal 1914 riunisce i manager ed i dirigenti della pubblica amministrazione locale (comuni e contee), indicava che già allora circa un quarto delle amministrazioni locali si trovava frequentemente sotto attacco, a volte perfino al ritmo di un attacco all’ora; e che oltre un terzo degli attacchi ricevuti erano finalizzati alla richiesta di un riscatto.
E le aziende private non sono da meno: solo poche setttimane fa, a fine marzo, la Boeing ha reso noto di essere stata vittima di un “ritorno di fiamma” da parte di una vecchia conoscenza, quel WannaCry che giusto un anno fa si è reso responsabile di un’epidemia di ransomware su scala mondiale, con oltre duecentotrentamila computer colpiti in circa centocinquanta nazioni. Non è stato chiarito come abbia fatto WannaCry a propagarsi nella rete IT di Boeing, dove ha infettato un “numero limitato” di computer: teoricamente le patch emesse da Microsoft per correggere le vulnerabilità del protocollo SMB, che sono all’origine della grande capacità del malware di diffondersi tra le reti, avrebbero dovuto essere sufficienti ad eradicare completamente la minaccia dalla faccia della Terra. Evidentemente però non tutti i sistemi del mondo sono stati aggiornati, soprattutto quelli attestati su reti interne non raggiungibili direttamente da Internet.
Le minacce ai sistemi cyber-fisici
Ma in altre parti del mondo le cose vanno addirittura peggio: ad essere sempre più frequentemente attaccati sono infatti i sistemi ciber-fisici, ossia quelli che controllano impianti automatici dalle funzioni importanti o addirittura vitali per la comunità, che vanno da cose come i semafori stradali o l’illuminazione urbana fino a veri e propri impianti industriali in ambito elettrico o petrolchimico. L’attacco forse più strano si è verificato a Dallas un anno fa, nell’aprile del 2017, quando ignoti intrusi attivarono ripetutamente nel cuore della notte le 156 sirene di emergenza sparse su tutto il territorio cittadino. Quello più pericoloso si è invece verificato ad agosto del 2017 in Arabia Saudita, dove il bersaglio era un importante impianto petrolchimico e lo scopo del malware, che apparentemente non è stato raggiunto solo per un bug nel codice, era quello di farlo saltare in aria; l’attacco era verosimilmente indirizzato verso i controllori della diffusissima famiglia Triconex, prodotti dalla Schneider Electric, impiegati in oltre 18.000 impianti industriali in tutto il mondo. E proprio pochi giorni fa, ai primi di aprile di quest’anno, quattro aziende statunitensi che gestiscono una rete di gasdotti nel Paese hanno dovuto interrompere le comunicazioni coi propri clienti a causa di un attacco condotto contro l’azienda che offre loro il servizio di scambio dati tra di essi ed i fornitori di gas.
Il trend, insomma, è evidente e preoccupante: oramai gli attacchi in rete sono divenuti un mezzo facile e comune per fare soldi con poco rischio, o in seconda battuta per portare avanti in tutta tranquillità sabotaggi e rivendicazioni di natura ideologica o politica. Con la differenza che, rispetto al passato, i bersagli preferiti non sono più le grandi organizzazioni, le quali bene o male hanno oramai maturato la cultura della protezione ed hanno mezzi e risorse per difendersi, ma quelle piccole e poco preparate oppure quelle che hanno tanto da perdere e poca cultura della sicurezza, quali le pubbliche amministrazioni e le strutture sanitarie. Fra i bersagli più esposti ed a maggiore rischio, in quanto da poco entrati nel mirino dei malintenzionati, vi sono inoltre le reti ed i sistemi ciber-fisici, dai quali dipende non solo la sicurezza logica ma anche l’incolumità delle persone: essi, più di ogni altro, sono vulnerabili ad attacchi deliberati per via delle loro peculiarità tecnologiche ed anche storico-culturali, e per essere passati improvvisamente dallo stato di sistemi oscuri ed ignorati dai più ad essere protagonisti della scena dello sviluppo sociale.
Il problema, come spesso accade, è soprattutto culturale: per affrontarlo occorre superare i vecchi concetti di “security by obscurity” che per tanti anni hanno dato false tranquillità ai gestori di sistemi SCADA, e passare ad un concetto di sicurezza proattiva, presente by design nei sistemi di nuovo sviluppo e non inserita frettolosamente come retrofit a valle di un incidente. Chiudere la stalla dopo che i buoi sono scappati non è mai una buona strategia, ma attenzione che nel mondo ciber-fisico i buoi non rischiano solo la fuga ma addirittura la vita.