Il “caso Equalize” o dei dossieraggi tramite accessi abusivi a banche dati istituzionali è l’emblema dell’Italia. Riflette insomma una situazione strutturale nel Paese, che facilita il verificarsi di questi episodi.
Al punto che probabilmente solo con interventi radicali sul sistema sottostante si può immaginare una svolta. Ad esempio si potrebbe proporre un cambio normativo per consentire un monitoraggio più stringente delle attività degli amministratori di sistema, per intercettare così accessi abusivi fatti con o senza la loro consapevolezza.
E non si può dire che alla sorte manchi il senso dell’ironia, visto che la vicenda è arrivata agli onori delle cronache pochi giorni dopo il recepimento in Italia della Direttiva Nis 2 che, testualmente, titola “relativa a misure per un livello comune elevato di cibersicurezza nell’Unione…”.
In prima battuta vale la pena evidenziare come questa operazione si sia evoluta nel tempo come emerge dalle carte dell’inchiesta.
Il metodo Equalize dei dossieraggi
Le indagini raccontano una storia per cui i protagonisti della vicenda “lavoravano” non per soldi, ma per denaro. La finalità di lucro, come peraltro lo dimostrano tutte le statistiche, è quella di gran lunga prevalente quando si parla di crimine cyber.
La prima parte della vicenda narra di talpe interne a diverse forze dell’ordine che, in cambio di soldi e regalie, estrapolavano dal Sistema d’Indagine Informatico (SDI). Questa pratica ha alcuni precedenti (vedi il recente caso del finanziere Striano) e sicuramente è destinata a ripetersi in futuro. Tuttavia, a Equalize i limiti apparivano evidenti sulla base anche di una tendenza ormai consolidata del crimine informatico: quella di strutturarsi e organizzarsi per ampliare il suo “mercato”.
Le stesse organizzazioni che fanno degli attacchi ransomware la loro specialità hanno adottato un modello molto simile a quello del franchising.
Non di meno operatori criminali noti come IAB (Initial Access Broker) che si occupano di fornire le informazioni per strutturare le prime fasi dell’attacco (utenze valide, vulnerabilità, profili di dipendenti dell’organizzazione) hanno letteralmente industrializzato la raccolta dei dati a partire proprio da quelli che vengono esfiltrati negli attacchi che hanno successo.
Il mercato ha una sua circolarità per cui gli operatori ransomware e i loro affiliati acquistano i dati dagli IAB e successivamente gli rivendono quelli che sono frutto delle esfiltrazioni (di certo delle vittime che non pagano, ma in non pochi casi anche di quelle che pagano).
Equalize, secondo le carte dell’indagine, riesce a scalare industrialmente con un’operazione che porta in primo piano una questione di fondo quando si parla di gestione della sicurezza delle informazioni e soprattutto dei sistemi che le ospitano.
Il metodo industriale
Nelle intercettazioni si trova un dialogo tra gli imputati particolarmente significativo, laddove emerge che il vero salto di qualità nelle attività di Equalize era avvenuto dopo l’infiltrazione di persone di loro fiducia all’interno di chi quel sistema lo progettava e manuteneva.
Una situazione che avrebbe consentito l’installazione nello SDI di un malware attraverso cui sarebbe stato possibile scaricare direttamente le informazioni. In particolare, si sarebbe trattato di un RAT (Remote Access Trojan) che avrebbe consentito di controllare da remoto il sistema e in particolare di aprire una backdoor, un canale di comunicazione nascosto, da cui sarebbe stato possibile scaricare massivamente i dati dello SDI attraverso la comunicazione diretta con i server di Equalize.
Questa opportunità rendeva di fatto superfluo il ricorso a “talpe” tra le forze dell’ordine che si prestassero a fare download estemporanei.
Un problema di gestione di sicurezza cyber
Il tema è senza dubbio quello più rilevante dal punto di vista della gestione della sicurezza cyber, perché il controllo sulle attività di chi amministra i sistemi è una di quelle problematiche che da molto tempo è sullo sfondo, senza mai essere emersa completamente.
Premesso che, come sosteneva Linus Torvalds, creatore del Kernel dei sistemi operativi Linux, “Dentro i confini del computer, sei tu il creatore. Controlli – almeno potenzialmente – tutto ciò che vi succede. Se sei abbastanza bravo, puoi essere un dio.
Su piccola scala molti anni fa un’Autority italiana si era posta il problema. La memoria deve risalire agli anni 2008 e 2009, quando il Garante per la Protezione dei Dati emise il “provvedimento del 27 novembre 2008 recante prescrizioni ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni di amministratore di sistema”.
Nella circostanza l’autorità garante evidenziava “… la rilevanza rispetto ai trattamenti di dati personali anche allo scopo di promuovere presso i relativi titolari e nel pubblico la consapevolezza della delicatezza di tali peculiari mansioni nella “Società dell’informazione” e dei rischi a esse associati”.
A rileggerlo oggi fa quasi tenerezza, in particolare faccio riferimento al punto 4.5 laddove si parla della registrazione degli accessi degli amministratori. Di fatto si chiedeva di tracciare i log-in e i log-out dei soggetti.
All’epoca tutti si domandarono quale utilità potesse avere dal momento che se non si registrava anche quali operazioni l’amministrazione svolgeva, sarebbe stato difficile comprendere se il comportamento del soggetto fosse stato inappropriato.
La spiegazione fu sostanzialmente quella di mettere alcuni paletti, evitando però possibili violazioni della privacy da un lato e dei diritti dei lavoratori dall’altro. Con la vicenda di Equalize e la possibile complicità dei gestori del sistema si torna sull’argomento e, se da un lato sarebbe interessante capire come questo provvedimento sia stato applicato nel caso dello SDI (quanto a dati personali non credo esista piattaforma comparabile), dall’altro sembra che non abbia funzionato, almeno dal punto di vista della prevenzione.
La stessa autorità ora è intervenuta con alcuni azioni suggerite per affrontare il problema.
Che fare perché non ricapiti
A questo punto è però lecito chiedersi se specifiche situazioni che possono essere considerate ad “alto rischio” non richiedano, per alcune specifiche figure, la compressione di determinati diritti.
Premesso che qualsiasi convivenza civile è basata sulla fiducia e aggiunto che si tratta di una china molto pericolosa, per contro appare piuttosto evidente la necessità di un monitoraggio più stringente delle attività degli amministratori di sistema.
Questo non soltanto come deterrente nei casi di “insider”, ma anche in un senso più generale rispetto ad altre forme di attacco informatico, per la semplice ragione che i criminali hanno proprio come obiettivo primario l’acquisizione dei privilegi più elevati sul sistema che intendono violare.
Difficile dire se dopo questo ennesimo episodio cambierà qualcosa, perché al momento la politica deve ancora ricomporsi e stanno fioccando le proposte più varie e in certi casi stravaganti. Se guardiamo al passato non possiamo essere ottimisti, ma prima o poi il vento potrebbe cambiare. Speriamo sia “prima, piuttosto che “poi”.