sicurezza

Cia e Wikileaks, lezioni di sicurezza da trarre per un’azienda

La gran parte degli attacchi subiti da grandi organizzazioni nel 2016 è stata praticata con tecniche banali: attacchi a sistemi non aggiornati, vulnerabilità note o, semplicemente, phishing. E questo vale per imprese e organizzazioni italiane, europee e mondiali

Pubblicato il 24 Mar 2017

Claudio Telmon

Information & Cyber Security Advisor” P4I

ciber security_400357804

Continuano gli effetti della pubblicazione dei file di Vault7, o meglio di una parte di essi. Cisco ha annunciato di aver individuato in quei documenti una vulnerabilità di un gran numero di modelli dei propri router, e fioriscono i webinar sulle conseguenze della scoperta di questo “arsenale” della CIA.

Per ragionare sulle conseguenze di questa pubblicazione da parte di Wikileaks, è utile partire però da un’altra notizia, che ha fatto certamente meno scalpore ma che per chi si occupa di sicurezza informatica è significativa. La settimana scorsa si è svolta infatti l’edizione 2017 di Pwn2Own. Si tratta essenzialmente di una competizione di hacking, in cui i gruppi partecipanti vengono messi di fronte a browser, sistemi operativi e ambienti virtualizzati, e li devono violare. Il team vincitore di quest’anno, fra l’altro, ha praticato un attacco che, attraverso una vulnerabilità (sconosciuta) di Microsoft Edge, una di Windows e una di VMWare, è riuscito sostanzialmente a prendere il controllo del sistema bersaglio del suo attacco, partendo dal browser di una macchina virtuale, arrivando fino alla macchina fisica. Un attacco in grado di mettere in seria difficoltà le infrastrutture di molte aziende e di servizi in cloud. Tempo necessario: 90 secondi. Ma gli altri team partecipanti non sono stati da meno, e fra browser, sistemi operativi ed altro software, molto poco è uscito indenne dalla competizione, come e più degli altri anni. Il team vincitore è cinese, e la Cina sembra farla da padrona nella competizione.

Torniamo adesso all’attività di spionaggio da parte delle agenzie degli Stati Uniti, ma partiamo da qualche anno fa. Nel 1998 diventa di pubblico dominio l’esistenza del sistema detto Echelon, una rete mondiale attraverso cui Stati Uniti, Inghilterra, Australia e Nuova Zelanda spiavano il resto del mondo. C’è il forte sospetto che la rete sia stata utilizzata anche per favorire industrie statunitensi nei confronti, ad esempio, delle concorrenti europee. La cosa suscitò relativamente poche reazioni, forse i tempi non erano maturi? Nel 2010 il “Cablegate” porta alla luce, fra l’altro, la stretta relazione fra Stati Uniti e Regno Unito, nonché l’interesse a sorvegliare alcuni personaggi politici. Ma l’anno d’oro è il 2013: da una parte, Edward Snowden, con il “Datagate”, porta alla luce alcune iniziative di sorveglianza globale da parte degli Stati Uniti, alle quali avrebbero partecipato anche agenzie di paesi europei. Secondo alcuni articoli[1], le agenzie europee non avrebbero agito sempre a favore del proprio paese, passando agli Stati Uniti informazioni su aziende nazionali. A fronte delle proteste suscitate (negli Stati Uniti) da queste rivelazioni, gli Stati Uniti hanno avviato alcune iniziative di normative per la tutela dei cittadini (degli Stati Uniti) da queste attività di spionaggio. Ma sempre del 2013 è la notizia che gli Stati Uniti avrebbero sorvegliato, fra l’altro, il cellulare di Angela Merkel. In quell’occasione, c’è stata qualche reazione in più anche in Europa, a parte la telefonata di protesta: qualche tempo dopo, è stata diffusa infatti la notizia che la cancelliera avrebbe cominciato ad utilizzare un nuovo cellulare cifrato, più resistente agli attacchi… almeno quando parla con chi utilizzi uno strumento analogo.

Il fatto è che lo scopo delle agenzie di spionaggio è spiare. Di solito lo fanno a sostegno degli interessi politici ed economici del proprio paese, e questo interesse economico fa sì che non si escluda lo spiare i propri “alleati”. Non stupisce certo che la CIA avesse strumenti e persone a supporto di questa attività anche in ambito cyberspace. Qual’è quindi la notizia? Dovrebbe preoccupare che questi strumenti siano stati diffusi? Il Rapporto Clusit 2017[2] appena pubblicato, analizza fra l’altro circa un migliaio degli attacchi noti di maggiore impatto subiti da grandi organizzazioni nel 2016. La gran parte di questi attacchi è stata praticata con tecniche banali: attacchi a sistemi non aggiornati, vulnerabilità note o, semplicemente, phishing. La realtà dei fatti è che per attaccare la maggior parte delle aziende o organizzazioni italiane, europee o, in generale, mondiali, non servono gli strumenti dell’NSA. Certo, fino a quando non saranno pubblicate le patch, quegli strumenti daranno qualche arma in più anche a gruppi meno dotati di quelli che hanno vinto il Pwn2Own, ma, questo vale per tutti gli 0-day[3] scoperti e poi pubblicati, e ogni anno ce ne sono molti. Per le poche organizzazioni con una sicurezza tale da richiedere realmente l’utilizzo di strumenti sofisticati, si tratta di un problema noto, con il quale sanno di doversi confrontare ogni giorno.

Cosa si può fare quindi?

La maggior parte delle aziende ed organizzazioni, più che preoccuparsi della CIA e degli 0-day, dovrebbe preoccuparsi del fatto che tutt’ora, attacchi automatici come quelli che diffondono il ransomware riescono ad entrare nei loro sistemi: attraverso gli stessi canali, passano attacchi altrettanto o più pericolosi, ma che si fanno notare meno. Le recenti vicende dei fratelli Occhionero potrebbero suggerire che anche alcuni politici e alcune istituzioni potrebbero curare di più la propria sicurezza, o almeno quella del ruolo che rappresentano e delle informazioni che trattano.

Come cultura generale, dovremmo cominciare davvero ad affrontare il cyberspace con le stesse logiche con cui affrontiamo il mondo materiale: nessuno si stupisce che la CIA sia in grado di entrare in una casa o in un’azienda, ma ci preoccupiamo che non ci riescano ad entrare almeno i ladri comuni. Invece spesso, con la scusa che “tanto la sicurezza assoluta non esiste”, non ci preoccupiamo neanche della sicurezza “decente”.

E poi, se è vero che la maggior parte delle informazioni personali e delle aziende sono ormai accessibili dai nostri smartphone, ci potremmo chiedere quanto sia opportuno (e legittimo) che per la maggior parte di questi non siano mai disponibili aggiornamenti di sicurezza, diventando vulnerabili poco dopo essere stati acquistati e rimanendo tali per il resto dei loro giorni.

[1]     Vedi ad esempio http://www.theregister.co.uk/2015/04/24/bnd_nsa_spying_collaboration/

[2]     https://clusit.it/rapporto-clusit/

[3]     https://it.wikipedia.org/wiki/0-day

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati