Ulteriori dettagli sull’attacco SolarWinds apparsi di recente sulla stampa internazionale ci danno l’occasione per analizzare a posteriori gli effetti di questo attacco e fare alcune riflessioni sulla cybersecurity e sulle scelte future che la soluzione di questo problema imporrebbe.
Spionaggio o attacco hacker? Poco cambia
Sin dall’inizio, nell’esaminare quanto accaduto, gli esperti sono stati concordi nell’affermare che si è trattato di un’operazione di spionaggio su larga scala, per il semplice fatto che nessuna azione dannosa è seguita alla compromissione dei sistemi se non l’intercettazione di informazioni. Come giustamente osserva B. Schneier nel suo blog la differenza tra un’azione di spionaggio e un attacco cyber è solo di pochi keystrokes, per il resto si usano le stesse tecniche e gli stessi strumenti.
Quindi, da marzo a dicembre 2020 un gruppo di spie (probabilmente anche tutti i gruppi a loro contigui) hanno potuto accedere indisturbatamente a 17.000 reti sparse per il mondo e ai sistemi a queste collegati. Siccome sappiamo che:
- una volta ottenuto l’accesso a un sistema, la prima cosa che un hacker fa è quello di installare sul sistema dei root kit che gli consentono di operare indisturbato per il resto dei suoi giorni o almeno sino alla completa reinstallazione del sistema,
- una volta che una vulnerabilità è stata svelata la stessa viene sfruttata da altri gruppi di intelligence/hacking per compromettere il maggior numero di sistemi possibile,
possiamo concludere che a oggi diverse decine di migliaia di sistemi in giro per il mondo (tra i paesi colpiti Canada, Mexico, Belgio, Spagna, UK, Israele, Emirati Arabi) siano di fatto sotto il controllo di “estranei” e molto probabilmente lo saranno per diversi mesi/anni a venire. Questa è la situazione di fatto a cui imprese ed organizzazioni devono iniziare ad adeguarsi: “imparare a convivere con il nemico in casa”, è un cambio di prospettiva importante ma che bisogna incominciare ad affrontare visto l’efficacia che le più recenti azioni di intrusione informatica stanno assumendo, e la difficoltà dei sistemi di protezione a farvi fronte.
Solarwinds e Governo Usa, riassunto di quanto accaduto
Nella prima decade di dicembre 2020 la società FireEye durante un audit interno scopre un trojan all’interno di un prodotto di terze parti, che la stessa Fireye utilizza per la gestione della propria rete. Il nome del prodotto è Orion e la società che lo produce SolarWinds. Per effettuare l’attacco gli hacker hanno avuto accesso ai server della società SolarWinds, si presume tra l’autunno 2019 e marzo 2020, e sono riusciti ad inserire una backdoor in un aggiornamento software (patch) di Orion. Non è noto con precisione come sia avvenuto l’accesso, ma è noto che i server in questione erano protetti dalla password “solarwinds123”.
A partire da marzo e sino a giugno 2020 i clienti di SolarWinds che hanno scaricato e installato quell’aggiornamento hanno anche involontariamente installato sui loro sistemi la backdoor che consentiva agli hacker il libero accesso alle loro reti. SolarWinds ha dichiarato che circa 17.000 clienti hanno installato questa patch. Tra gli utilizzatori di Orion compaiono tra gli altri: l’esercito americano, il Dipartimento di Stato amaricano, la Casa Bianca, l’NSA, 425 delle aziende Fortune 500, e centinaia di università e college.
Gli ultimi dati stimano in almeno 250 le reti sicuramente compromesse tra queste: il Dipartimento di Stato statunitense, Dipartimento of Homeland Security, il Dipartimento del Tesoro, Sandia Lab. (dove sono sviluppate le armi nucleari), più tante altre.
Anche grandi corporation sono state coinvolte: tra queste Fireeye, Microsoft, Crowdstrike, Malwarebytes, tutti nomi di un certo rilievo nel panorama della cybersecurity. L’attacco sembra provenire da ambienti di intelligence russi.
Le ripercussioni dell’attacco SolarWinds agli Usa
Ma torniamo a SolarWinds che secondo noi ha introdotto importanti elementi che scompigliano lo scacchiere internazionale della cybersecurity e potrebbero avere importanti ripercussioni sullo stesso. Vediamo quali.
- Attaccando con successo una delle roccaforti della cybersecurity a livello mondiale, almeno in termini di consapevolezza ed investimenti (i dipartimenti del governo statunitense tra cui Dipartimento della Homeland Security tra le cui mission principali annoveriamo proprio la protezione delle strutture governative dagli attacchi informatici), SolarWinds ha segnato probabilmente la fine di un’epoca contrassegnata dal dominio incontrastato degli Stati Uniti nel settore della cybersecurity. Negli anni scorsi la struttura governativa statunitense è stata sottoposta a diversi attacchi anche spettacolari (vedi l’attacco a OPM che ha consentito l’esfiltrazione di 22 milioni di record relativi a personale dell’amministrazione statunitense) ma mai un attacco aveva colpito l’infrastruttura nel suo insieme e così massicciamente. Indubbiamente una prova di forza particolarmente significativa, che ci induce a concludere che oggi le principali potenze economiche del pianeta (Usa, Cina e Russia) posseggono arsenali “cyber” equivalenti, almeno per quanto riguarda il fronte della “offesa”, cioè possono farsi male allo stesso modo a vicenda. Fatto tutt’altro che scontato sino a qualche anno, quando il presidente degli Stati Uniti poteva pronunciare queste parole: “And, frankly, we got more capacity than anybody both offensively and defensively.”.
- SolarWinds è l’ennesima riprova che a oggi non esiste alcuna organizzazione al sicuro dal rischio di compromissione. Non sappiamo quanto sia stato investito nella realizzazione di sistemi di protezione delle reti vittime di SolarWinds, dalla stampa emergono dati che fanno pensare a qualche miliardo di dollari. Una cifra astronomica. Eppure, anche questi sistemi sono caduti vittime di un’intrusione. Ancora una volta si concretizza nei fatti la forte asimmetria tra attacco e difesa che contraddistingue da sempre la cybersecurity. Un dato sicuramente molto scoraggiante per chi è in prima linea nella predisposizione di sistemi di difesa, ma dall’altra sottolinea l’estrema complessità del tema e la necessità per lo stesso di avere quell’attenzione che finora non gli è stata riservata. Predisporre un’infrastruttura resiliente agli attacchi di cybersecurity è un’attività molto complessa e oggi nessuno al mondo può dirsi al sicuro.
- Le ultime tecniche di attacco più significative sviluppate: StuxNet, EternalBlue e SolarWinds portano tutte la firma dei servizi di intelligence. In realtà già dal 1986 i servizi segreti sono tra i protagonisti del mondo dell’hacking come ben descritto nel libro di C. Stoll “The cuckoo’s egg”. È quindi sempre più evidente il fatto che l’insicurezza informatica sia una delle principali fonti, probabilmente oramai la principale, utilizzate dai servizi di intelligence per lo svolgimento dei loro obiettivi istituzionali. A fronte di questo dato eclatante non si capisce perché molti governi persistono ad assegnare a queste entità anche il compito di predisporre piani e misure di protezione cyber dei vari stati nazionali. Forse, il motivo è da ricercare nel fatto che sono la componente più preparata in materia all’interno dell’amministrazione. Ma al di là del divario tra offesa e difesa sopra menzionato che è anche un divario culturale, va considerato che realizzare sistemi con elevati gradi di protezione significa inibirne l’accesso a chiunque non autorizzato e conseguentemente anche ai servizi di intelligence. Non a caso, la storia ci insegna che quando coinvolti in grossi progetti di protezione nazionale i servizi di intelligence hanno sempre operato per mitigarne l’efficacia. Molto emblematici in questo senso i tentativi avviati oltre oceano per imporre schemi di crittografia “indebolita” e backdoor in standard e prodotti commerciali, tentativi che stanno trovando oggi anche il loro approdo in ambito europeo. È indubbio che servizi di intelligence e law enforcement debbano svolgere il loro ruolo e rappresentare le proprie istanze il problema è se e fino a che punto la politica ed i governi debbano assecondarle. È una questione strategica di straordinaria importanza che permeerà lo sviluppo della rete nei prossimi anni e che la governance mondiale è chiamata ad effettuare. Si tratta di una scelta molto difficile e coraggiosa che richiede saggezza, competenze e visione. Le prime avvisaglie sul fronte europeo in questo senso non sono particolarmente incoraggianti. Una risoluzione del consiglio d’Europa del Novembre 2020 si intitola “ Security through encryption and security despite encryption” quasi ad indicare una terza via, una mediazione nel mondo della cybersecurity in cui l’applicazione della crittografia ai protocolli di rete (una delle componenti cardine di una strategia di protezione) non necessariamente debba esserci per tutti. La storia e la scienza però ci insegnano che non esiste un sistema sicuro per alcuni ed insicuro per altri, la sicurezza informatica è maledettamente binaria o c’è o non c’è. SolarWinds è l’ennesima dimostrazione di questa affermazione.
- Un’ultima considerazione, da fare riguarda il GDPR. Molte delle organizzazioni compromesse da SolarWinds, trattandosi di apparati governativi e di grosse organizzazioni, quasi sicuramente rispettano i dettati degli articoli 5 e 32 del GDPR in merito alle misure di sicurezza che devono essere adottate da un’organizzazione a protezione dei dati personali da questa conservati. Nell’eventualità che i dati personali trattati da queste organizzazioni fossero esfiltrati, i diretti interessati non potranno avvalersi del risarcimento previsto dal GDPR (art. 82 commi 1 e 2) semplicemente perché le organizzazioni coinvolte hanno rispettato i dettati della direttiva. Siamo quindi di fronte a un diritto (alla privacy) che è stato violato, ma per il quale la legge non prevede alcuna forma di risarcimento. Legare la difesa di un diritto alla tecnologia e al suo stato di avanzamento è un errore strutturale non trascurabile. SolarWinds ha dimostrato che anche i sistemi di protezione più avanzati possono essere compromessi, e sarà così per molto tempo a venire. Cosa ne facciamo allora dei diritti di quelle persone legati a questi sistemi? (Per un approfondimento).
- Ultima considerazione, anche un po’ folkloristica, in merito alla preparazione dell’attuale classe dei C-executives nella gestione del mondo ICT. Tra le notizie di contorno legate all’intrusione è emerso che il CEO di SolarWinds è stato in grado in 10 anni di triplicare i margini di profitto dell’azienda che sono passati dai 152 milioni di dollari nel 2010 ai 453 milioni di dollari nel 2019. Le principali voci di spesa che nel corso degli anni hanno contribuito, con le loro decurtazioni, a questi risultati sono, a detta degli analisti, quelle legate al capitolo della sicurezza. A riprova di ciò segnaliamo che i server su cui risiedevano gli aggiornamenti del software Orion erano accessibili con la password “SolarWinds123” e non ultimo il trasferimento della progettazione software in uffici satellite della Repubblica Ceca, Polonia e Bielorussia che avevano ampio accesso al software Orion compromesso. Sarebbe molto istruttivo quindi se CEO e CIO delle varie realtà operanti nel cotesto ICT potessero leggere tra le righe della storia SolarWinds anche un insegnamento sulla strategicità degli investimenti in sicurezza. La sicurezza sappiamo tutti ha un costo non trascurabile, il problema è che spesso non siamo in grado di quantificare il costo della non-sicurezza. Nel caso di SolarWinds sembra enorme. Stiamo parlando di decine di miglia di server compromessi con i relativi dati e segreti industriali. Difficilmente le perdite possano controbilanciare i 300 milioni di dollari guadagnati dall’azienda senza parlare dei bene non quantificabili di cui abbiamo parlato approfonditamente nei paragrafi precedenti.
Conclusioni
In conclusione, Solarwinds è un attacco informatico che probabilmente non ha la complessità tecnica di Stuxnet ed Eternalblue ma che ha definitivamente sancito uno stato dello scenario cybersecurity mondiale che da diverso tempo si ipotizzava ma non aveva ancora trovato conferma. La situazione venutasi a creare suggerirebbe a tutti di posare le armi ed avviare un programma di disarmo cibernetico per rendere la rete più sicura e quindi più fruibile per tutti. Ma questa è ragionevolezza e sappiamo che solo in poche occasioni riesce ad avere la meglio sugli interessi lo cali e particolari delle singole realtà.
Portiamo la cybersecurity “dentro” imprese e PA: il cambio di passo che serve
