L’apertura dell’inchiesta su Eye Pyramid con i fratelli-hacker Occhionero finiti in prima pagina per lo spionaggio di account eminenti ha portato molti a chiedersi se il sistema di cyber sicurezza italiano funzioni e se non ci sia una grave mancanza di risorse o di un maggior coordinamento. Marco Gioanola, Senior Consulting Engineer di Arbor Networks, risponde: no, i fratelli spioni non sono due geni informatici e no, non servono necessariamente più soldi per rendere inviolabile la cyber difesa italiana: “Dobbiamo proseguire rapidamente nello sforzo di mettere in piedi un’infrastruttura di protezione con un efficace coordinamento tra i vari centri. Quello che ci manca è la cultura della sicurezza informatica come cooperazione tra aziende, Internet Service Provider e autorità, non un’occasione per assegnare appalti per le tecnologie. Gli attacchi informatici vanno segnalati subito, senza timore di uscire allo scoperto, perché solo la conoscenza tempestiva permette di bloccare l’attacco e acquisire strumenti per rispondere e evitarne di nuovi”.
Ecco la conversazione di Formiche.net con Gioanola.
Arbor Networks, che è la divisione sicurezza di NetScout, ha appena pubblicato il suo dodicesimo Worldwide Infrastructure Security Report (WISR). Che cosa è emerso sulla sicurezza informatica?
Lo scenario delle minacce informatiche è stato trasformato dall’introduzione delle botnet IoT. C’è una proliferazione di oggetti connessi e questo estende la superficie d’attacco. Prima dovevamo mettere in sicurezza il computer, poi è arrivato il cellulare, adesso i device da proteggere sono una miriade, dall’auto connessa alla webcam alla lampadina intelligente. Il WISR di quest’anno illustra nel dettaglio il meccanismo d’azione delle botnet IoT, come Mirai, e le modalità con cui gli aggressori informatici riescono a sfruttare i dispositivi IoT trasformandoli in arma. Fornisce anche consigli pratici sulle misure di difesa.
Con la Internet of Things quindi aumentano gli attacchi DDoS (Distributed Denial of Service): più device da aggredire, più estese le botnet. C’è il rischio di incidenti giganteschi.
Sì, le botnet IoT rivoluzionano il settore per l’ingente numero di dispositivi coinvolti. Il più grande attacco DDoS registrato quest’anno ha raggiunto gli 800 Gbps, con un aumento del 60% rispetto all’attacco più grande del 2015 (500 Gbps). Arbor Networks ha iniziato a pubblicare il report WISR nel 2005 per monitorare e analizzare gli attacchi DDoS e da allora la dimensione è cresciuta del 7900%; nei soli ultimi cinque anni, si è verificato un incremento del 1233%. Ma oltre alle dimensioni, sono aumentate la frequenza e la complessità degli attacchi DDoS. Per esempio, nel 2016 il 53% dei service provider indica di ricevere oltre 21 attacchi al mese, con un aumento del 44% rispetto all’anno scorso; il 45% degli intervistati che operano in ambito istituzionale (organizzazioni aziendali, enti governativi, istituti scolastici) riferisce oltre 10 attacchi al mese (+17%). La complessità dipende invece dal crescente impiego di molteplici vettori simultanei, cioè, si attacca con più device di natura diversa, e questo richiede un sistema di difesa agile imperniato su più strati.
Qual è il punto debole della catena? La Internet of Things è un insieme di cose poco sicure?
Ovviamente i grandi player, come Apple, Google o Microsoft, sono attenti a rendere i loro device sicuri, ma nel mondo c’è una proliferazione di device connessi a Internet di miriadi di piccoli produttori con scarsa attenzione alla cyber security, come telecamere, webcam, piccoli elettrodomestici…Il loro obiettivo è, giustamente, rendere il dispositivo facile da usare ma spesso a scapito della sicurezza. In alcuni ambiti, come l’automotive, è immaginabile che a un certo punto si arrivi a degli standard o addirittura a delle norme, perché se un’auto sbanda per colpa di un bug nel sistema occorrerà capire a chi attribuire la responsabilità giuridica. Ma nel caso di una lampadina o di un contatore intelligente? Il territorio è pressoché inesplorato.
Gli attacchi DDoS che effetto hanno?
Intanto riescono a bloccare l’accesso a molte funzionalità del web – tanto per semplificare, un sito diventa inaccessibile, va in tilt. E poi, ovviamente, provocano costi economici, pari a migliaia o talvolta milioni di dollari. Nel nostro studio, il 61% degli operatori di data center dichiara di aver subito attacchi che sono riusciti a saturare completamente la banda; il 25% dei data center e dei cloud provider ha dovuto sostenere costi superiori a 100.000 dollari a seguito di un grande attacco DDoS e il 5% cita costi superiori al milione di dollari. Il 41% delle organizzazioni istituzionali riferisce di aver subito attacchi DDoS in grado di eccedere la capacità di rete totale. Comunque la nostra indagine mostra anche che le aziende oggi sono più attente alle minacce informatiche e migliora il livello di adozione di tecnologie di difesa e di risposta. L’approccio multilivello è in generale la chiave per proteggersi: si va dalla security by design, ovvero incorporata nel device, al comportamento consapevole degli utenti finali, fino alla cooperazione tra gli attori coinvolti, come gli Internet service provider.
In Italia che cosa funziona o non funziona?
L’Italia sugli attacchi DDoS non vive trend diversi dal resto del mondo. Tuttavia il nostro paese ha una grande penetrazione delle connessioni Internet mobile e quindi nei rilevamenti di Arbor risulta in posizione alta come sorgente di attacchi o intrusione, per esempio come parte delle botnet. Siccome gli utenti Internet italiani non sempre sono accorti sui temi della cyber security, oltre ad essere vittime degli attacchi, diventiamo spesso complici inconsapevoli. I fratelli Occhionero che facevano? Mandavano email e qualcuno cliccava senza pensare alle conseguenze.
La solita raccomandazione di non aprire link e allegati?
Sì certo, anche se ovviamente questi meccanismi cosiddetti di phishing e social engineering non sono del tutto banali: i pirati informatici costruiscono email e documenti con grande accuratezza per simulare quelli legittimi, inducendo la vittima a cliccare e aprire, e convincono subdolamente a inserire credenziali durante la navigazione Internet che vengono poi usate per accedere alle caselle di posta elettronica. E così parte lo spionaggio.
E’ vero che i due fratelli Occhionero hanno sfruttato un malware vecchio di anni?
Sì, in parte Eye Pyramid è un software maligno scritto vari anni fa. Ma va considerato che oggi i malware sono molto dinamici, cioè esistono mercati di scambio e compravendita dove si possono acquistare o noleggiare i codici malware che poi vengono modificati o innestati in altri pezzi di software maligno. Sul dark web si trovano molti strumenti e si possono variare a piacere. Tracciarli, per le forze dell’ordine, è complicato e intanto anche persone con competenze informatiche medie e tempo a disposizione possono diventare degli hacker. Non immaginiamo i fratelli Occhionero come dei geni della cyber pirateria. Abbiamo assistito ad atttacchi informatici molto più sofisticati.
Però c’è voluto tempo per portare alla luce l’attività di spionaggio. Come mai la nostra struttura di cyber difesa è così lenta?
Io non sarei troppo negativo. A un certo punto una delle email sospette è stata intercettata dall’Enav, analizzata e inviata alla Polizia Postale che ha messo in moto l’infrastruttura di protezione. Direi che in Italia il sistema non funziona male, ma siamo ancora agli inizi e abbiamo accumulato ritardi rispetto ad altri paesi avanzati: dobbiamo proseguire rapidamente nello sforzo di mettere in piedi un’infrastruttura di protezione con un efficace coordinamento tra i vari centri. Quello che ci manca è la cultura della sicurezza informatica come cooperazione tra aziende, Internet Service Provider e autorità, non un’occasione per assegnare appalti per le tecnologie. Le indagini in questo campo sono complesse e in Italia c’è scarsa trasparenza: gli attacchi informatici vanno segnalati subito, senza timore di uscire allo scoperto, perché solo la conoscenza tempestiva permette di bloccare l’attacco e acquisire strumenti per rispondere e evitarne di nuovi. Se si considera questo aspetto, i soldi appaiono molto meno rilevanti: direi quasi, è l’ultimo dei problemi. Lo scoglio è la mancanza di scambio di informazioni nel pubblico e tra pubblico e privato. La cyber difesa è efficace e il sistema proattivo se si basa su best practice e le best practice possono nascere solo da condivisione, trasparenza e cooperazione. Altrimenti resta tutto come è ora: ci difendiamo anziché proteggerci e siamo intrappolati nella rincorsa dietro a un attaccante che è intelligente e usa mezzi sempre nuovi.
