Il caso Sony, il furto di dati su iCloud, ma anche tutti gli episodi di cyber-spionaggio emersi nel corso del 2014 e le crescenti minacce per aziende e consumatori che arrivano dal mondo digitale (device mobili compresi): chi c’è dietro e che natura hanno questi malware? Facciamo il punto con Paolo Palumbo, Senior Researcher, F-Secure Labs.
Corea del Nord o Guardians of Peace: che idea si è fatto del Sony Hack, lei che ha visto personalmente porzioni del codice maligno usato nel cyber-attacco?
Il caso Sony è uno dei più eclatanti attacchi contro un’azienda, per di più su suolo americano. Tutta la vicenda dimostra che la cosiddetta attribuzione resta molto complessa. Si tratta di un attacco estremamente sofisticato ed è difficile capire come sia progettato e attribuirlo con assoluta certezza a specifici autori.
L’Fbi è convinta della responsabilità della Corea del Nord.
Probabilmente le forze dell’ordine o i team di ricerca interni della Sony hanno elementi in più rispetto a quelli di cui dispongono le società private di security. Noi non abbiamo tutti i pezzi dell’attacco. Io ne ho viste delle porzioni: posso fare delle analisi, ma non delle attribuzioni certe. Ovviamente il caso del film “The Interview”, verso il quale la Corea del Nord aveva già espresso grande irritazione, sembra puntare contro la dittatura asiatica, ma non dimentichiamo che sugli schermi dei computer della Sony è apparsa l’immagine del marchio dei Guardians of Peace, che sembra più un gruppo di attivisti indipendente; inoltre sono state fatte alcune richieste alla Sony: non sappiamo di quale natura, ma certo se gli hacker chiedevano soldi cadrebbe l’ipotesi Corea del Nord; se chiedevano la rimozione del film l’ipotesi reggerebbe. Sicuramente il malware ha tracce che puntano verso la Corea del Nord, per esempio il linguaggio usato in alcune componenti è il coreano e ci sono similitudini con malware usato nel passato per attacchi contro Saudi Aramco e banche della Corea del Sud attributi alla Corea del Nord. Ma su questo caso continuano a emergere nuovi elementi: ne sentiremo parlare ancora.
Anche i danni per la Sony sono di lungo periodo?
Sicuramente. L’attacco ha portato una enorme devastazione in una grande corporation con un impatto economico e di immagine giganteschi. Non solo sono stati sottratti film non rilasciati al pubblico, ma anche rese note e-mail confidenziali di top manager, produttori e registi: ci sono commenti su attori e autori di sceneggiature, ci sono dati su collaborazioni della Sony con altre aziende. Sono fuoriuscite anche molte informazioni personali dei dipendenti della Sony e molti hanno cominciato a far causa all’azienda perché non ha protetto i loro dati.
Fin qui abbiamo parlato di un attacco verso un’azienda privata. Nei casi di cyber-spionaggio, in cui il malware viene usato da alcune nazioni contro altre, è più facile risalire ai responsabili? Dai recenti casi, come Turla e Regin, sembra di sì….
I casi recenti più eclatanti sono stati Sandworm, Operation Cleaver, Regin, Turla: i media ne hanno parlato molto e sono state fatte delle attribuzioni. E’ sempre bene essere cauti nel puntare il dito, ma qui le prove contro alcune nazioni sono molto forti, come per Stuxnet. Questi sono veri attacchi State-sponsored, caratterizzati da una cura e complessità che riflettono l’entità e qualità delle risorse che certi Paesi mettono in campo: il malware nel cyber-spionaggio è superiore a quello del caso Sony per complessità e anche capace di auto-proteggersi per non essere scovato o comunque per non essere facilmente analizzato. Regin è stato il più sofisticato di tutti, con la sua struttura modulare.
La cosiddetta cyber-guerra dunque esiste?
Ci sono degli Stati che usano tecniche digitali per raggiungere alcuni loro scopi. Gli Stati più dotati di risorse sembrano essere i cosiddetti “Five Eyes”, Usa, Uk Canada, Australia e Nuova Zelanda, ma anche Russia e Cina sono dentro questa cyber-guerra e ci sono attori nuovi come Iran e Corea del Nord. L’aspetto inquietante è che queste attività sono svolte in alcuni casi per spiare gli alleati: è questo che nell’Occidente ha destato scalpore. L’impatto non è solo tecnologico, ma politico.
Il malware che ha colpito la Sony ha avanzato delle richieste (non sappiamo di che tipo) ma non era un vero ransomware. Che cosa è invece esattamente il malware che chiede il riscatto?
E’ un tipo di codice maligno che nasce da un’evoluzione dei “vecchi” Winlocker, malware che bloccavano i computer con sistema Windows inserendovi immagini compromettenti e chiedendo il pagamento di soldi per rimuoverle. Oggi i ransomware sono diventati più complicati: crittografano i dati (come il famigerato Cryptolocker) sull’hard disc della vittima. In pratica, prendono una serie di files significativi dell’hard disc e ne creano copie crittografate di cui solo i criminali hanno le chiavi e chiedono poi un riscatto per sbloccare i files. La perdita di dati è ingente per gli utenti privati ma ancor più grave per le aziende. La prima regola è prevenire: non navigare su siti di reputazione dubbiosa o che offrono contenuti di natura illegittima. E poi effettuare sempre il back-up dei propri dati, soprattutto se sono sensibili. Un mix di tecnologie e comportamenti responsabili è la risposta per difendersi.
Anche su mobile?
La sicurezza dei dispositivi mobili oggi è sotto un fuoco incrociato perché questi oggetti sono compagni inseparabili delle nostre vite: contengono foto, account, app per home banking, e così via. Le minacce colpiscono soprattutto Android perché si possono installare applicazioni da terze parti diverse da Google, quindi anche qui il consiglio è di non scaricare app da siti non verificati. I malware possono sia agire sul telefonino facendo chiamate verso numeri premium a insaputa del proprietario, sia sottrarre i dati personali. iOs è un sistema più sicuro perché chiuso, ma non è esente da minacce come ha dimostrato il recente Wirelurker, perciò bisogna tenere la guardia alzata. Diverso è il discorso per chi fa jailbreaking: aggirare i sistemi di sicurezza del provider espone automaticamente l’utente alle vulnerabilità.
A proposito di Apple, che cosa ha pensato dell’attacco ad iCloud?
Apple non è l’origine del problema, nessuno è entrato dentro iCloud ma gli hacker hanno avuto accesso ai contenuti di alcuni account perché password e login sono stati oggetto di phishing oppure di attacchi brute force. Anche la violazione di iCloud in Cina non è certo dipesa da Apple. Anzi c’è da notare che ora che Apple e Google si sono mosse verso la crittografia completa (e quindi non possono restituire i loro contenuti nemmeno su richiesta delle autorità) alcuni governi cercano soluzioni “alternative” per aggirare queste misure adottate dalle aziende a favore della privacy dei loro utenti. E non parliamo solo di Cina: il direttore dell’Fbi in America si è lamentato pubblicamente delle misure di Apple e Google perché non darebbero possibilità alle forze dell’ordine di fare il loro lavoro e limiterebbero la loro azione investigativa.