La notizia dell’identificazione nel dark web di circa 40.000 credenziali “governative” su scala mondiale (in 30 paesi, tra cui l’Italia) riporta alla ribalta il problema dell’approccio del nostro Paese alla cyber security. Un approccio basato sulla “compliance”, che tiene in poco conto i profili di rischio oppure, peggio ancora, si assiste ad una corsa “ad hoc” sulle tematiche che di volta in volta si affacciano sui media per spingere ad incrementare il livello di sicurezza senza tenere conto di particolari criteri o strategie generali.
Cerchiamo di osservare il problema da due punti di vista diametralmente opposti e di capire come risolvere il problema senza scorciatoie, ma puntando sull’H factor, il fattore umano.
Account del governo nel dark web
La diffusione nel dark web di decine di migliaia di credenziali governative è stata rilanciata nei giorni scorsi da Group-Ib, il colosso russo della Cyber Threat Intelligence.
L’Informazione, apparentemente recente, è di fatto una somma di alert avvenuti nei mesi scorsi, anche a fine 2017 ed inizio 2018, sia dalla stessa società russa (tramite un proprio servizio di alerting sui propri clienti), che da altri esperti di dominio, anche italiani.
Le motivazioni dei bad actor
Al di là dei numeri più o meno corretti, riportati anche dai media italiani (c’è una piccola incongruenza tra i numeri riportati in Italia e le informazioni evidenziate da Group-IB), è importante comprendere le motivazioni a monte da parte dei bad actor, le cause che portano sempre più spesso a questo tipo di problemi e porre attenzione a come si dovrà obiettivamente evolvere il sistema di autenticazione e l’utilizzo della posta elettronica dei dipendenti pubblici ed in particolare di alcuni settori specifici, militari e non.
In Italia, troppo spesso l’approccio alla cybersecurity è basato sulla “compliance”, molto poco ai profili di rischio oppure, peggio ancora, si assiste ad una corsa “ad hoc” sulle tematiche che di volta in volta si affacciano sui media per spingere ad incrementare il livello di sicurezza senza tenere conto di particolari criteri o strategie generali.
Peggio ancora, si tende a sottostimare il problema, dopo un veloce commento e rassicurazione del consulente di turno, perché è asseritamente “normale” che ci siano tutti questi account compromessi in rete o – peggio ancora – consigliando di cambiare le password.
Ma cerchiamo di osservare il problema da 2 punti di vista diametralmente opposti.
Il valore degli account governativi
Gli attaccanti utilizzano sistemi di varia natura, perché alla fine questi account, sul mercato nero, hanno un loro valore per il cyber espionage, in particolare per quello state sponsored.
Il metodo più semplice è quello di fare dumping di sistemi “civili”, dove il dipendente “gov” ha inserito il proprio account per registrarsi. Molti casi, ricordiamo, erano infatti stati evidenziati anche per account “gov” italiani nei data breach di dropbox, linkedin etc. negli anni scorsi.
Questo è il primo punto su cui riflettere: non è corretto e va affrontato con la giusta determinazione che si utilizzino account istituzionali per servizi privati. È chiaro che tale utilizzo attiri gli attaccanti, che potranno trovare, nella migliore delle ipotesi (per loro!) materiale di interesse da raccogliere e, nella peggiore delle ipotesi, avranno imparato il “metodo” di invenzione delle password da parte dell’utente. Fare un profiling di come ragioniamo per scrivere password è una informazione molto utile per attacchi brute force, creazione di dizionari gold per cyber espionage o per spear phishing mirato.
Come ridurre il rischio
Per ridurre il rischio di questo tipo di attacchi, la materia va affrontata non solo sul piano tecnico in senso stretto, ma anche misurando ed innalzando il livello dell’H Factor (il fattore umano), oltre che attivando tutti i processi ed i feed di intelligence a supporto dell’identificazione di queste minacce.
Purtroppo, come anche evidenziato dal più recente report DBIR 2018, nel 68% dei casi ci vogliono mesi o più per scoprire un data breach nelle organizzazioni (che poi avranno le fatidiche ed inutili 72 ore per comunicare l’evento al Garante Privacy).
La Cyber threat Intelligence non è la rassegna stampa o operazioni di raccolta informazioni meramente open source. I processi di CTI servono a fare cyber threat hunting, ovvero ridurre i tempi tra incidente e rilevazione dello stesso.
Dal punto di vista dell’attaccante (come spiega la stessa Group-IB), questi ultimi data breach sarebbero invece avvenuti con l’utilizzo di spyware, formgrabbers e keylogger, come ad esempio Pony Formgrabber, AZORult e Qbot (Qakbot), utilizzando e-mail di phishing su account e-mail personali e aziendali. ENISA, a gennaio 2018, aveva posto l’accento sull’elevato numero di siti di phishing creati ogni mese (1.3 milioni al mese, con picchi di 2,3 milioni).
Qui, di contro, la difesa è più articolata (e tecnica) e riguarda anche l’utente in “mobilità”, ovvero quando utilizza servizi di log-in da postazioni non presidiate o sotto wifi pubbliche.
Vero che, anche in questo caso, esistono numerosi strumenti di protezione degli end point oltre quelli classici di “vecchia generazione”, oltre che spingere sulla già citata educazione degli utenti stessi.
Le vere domande da porsi
Le vere domande che ci dobbiamo porre, però, sono le seguenti. Vogliamo pensare di innalzare la sicurezza reale del sistema paese, approcciando una strategia di investimenti risk based? Vogliamo ridurre a zero l’utilizzo delle password classiche senza strong authentication? Vogliamo attivare tutti i processi di cyber threat intelligence a supporto della cyber security? Vogliamo misurare l’H factor e fare azioni di sensibilizzazione degli utenti che non siano i soliti corsi di sicurezza obbligatori e noiosi?
