Marco Ramilli, ceo di Yoroi, un’azienda italiana specializzata in cyber sicurezza, ha spiegato come avvengono gli attacchi hacker come quello recentemente avvenuto contro Microsoft, come ci si può difendere e quale sarà il futuro del mondo cyber
Microsoft ha recentemente annunciato di aver sequestrato 42 siti web da un gruppo di hacker cinesi noti come Nichel o APT15. Questi hacker installavano malware sofisticati nei sistemi informatici di aziende e persone, rubando dati e sorvegliando le vittime per raccogliere informazioni. Per capire come è avvenuto un attacco di queste proporzioni e quale sarà il futuro della cyber security e della cyber sorveglianza, ne abbiamo parlato con Marco Ramilli, fondatore e Ceo di Yoroi, un’azienda specializzata in cyber sicurezza e difesa dello spazio virtuale.
Come funziona un attacco hacker come quello recentemente avvenuto nei sistemi di Microsoft?
Gli APT (Advanced Persistent Threats) sono attacchi sviluppati da organizzazioni sofisticate a volte affiliate ad un governo che fanno di “queste attività” un vero e proprio mestiere. Sono strutture organizzate ed estremamente verticali con capacità di sviluppo Malware e di intrusione specifiche. Nel caso in oggetto, APT15 ha avuto la capacità tecnica di sfruttare sistemi vulnerabili e non patchati, pubblicati online, come per esempio Microsoft Exchange, Microsoft Sharepoint e VPN server con vulnerabilità note.
Una volta insidiati all’interno del perimetro dell’organizzazione hanno utilizzato sistemi di “estrazione automatica di credenziali” ben noti, come per esempio Mimikatz, NTDSDump e WDigest, per estrarre le credenziali di dominio al fine di potersi muovere liberamente nell’active directory. Una volta effettuata tale operazione hanno installato sul sistema compromesso una backdoor della famiglia Leeson (sistema noto ed attribuito ad APT15) per ottenere accesso in ogni momento. L’operazione prevedeva principalmente la capacità di monitorare e collezionare informazioni sul sistema, come per esempio: Ip, nome-pc, utente collegato e address book attraverso l’accesso all’email etc. Prevedeva anche la capacità di eseguire codice sulla macchina ed installare ulteriori software.
Cosa comporta un attacco del genere in un’azienda internazionale? Dovranno cambiare tutti i loro sistemi di protezione dati oppure solamente il “muro virtuale” che li protegge?
La risposta ad un attacco di questa portata non è mai semplice e difficilmente può seguire delle linee prestabilite. Nonostante vi siano processi standard da percorrere al fine di garantire una elevata qualità di risposta, la contestualizzazione resta un elemento molto importante. Quello che credo possa essere più preoccupante a seguito di un attacco di tale portata se individuato su una organizzazione di “servizi”, è il rischio di compromissione della supply-chain.
Proviamo ad immaginare se per esempio fosse una grande organizzazione di system integration ad essere compromessa. Tale organizzazione può avere numerosi accessi ai sistemi informativi dei propri clienti che potrebbero, in questo modo, cadere nelle mani degli attaccanti. Gli attaccanti successivamente potrebbero continuare ad espandere il loro perimetro avviando operazioni di attacco verso tutti i clienti dell’organizzazione originariamente attaccata aumentando capacità di spionaggio ed eventualmente avendo la possibilità di “bloccare” una o più organizzazioni a “comando”.
In questo caso si presume che gli hacker stessero rubando dati per conto del governo cinese, ma ultimamente situazioni analoghe si stanno verificando in quasi tutto il mondo. Secondo lei, la cyber-sorveglianza sarà il nuovo futuro dello spionaggio? E come potranno i governi difendersi da una possibile guerra virtuale combattuta da hacker?
Io credo che la cyber-sorveglianza e l’affine cyberwar sia già attualità. Sorvegliare, spiare o combatte attraverso sistemi informativi è oggi molto più semplice e meno costoso rispetto al classico “human-int” in quanto usufruisce di un fattore di scala estremamente superiore di quest’ultimo. Con il classico processo di “human-int”, ovvero ove un essere umano entra fisicamente in gioco spiando uno o più esseri umani, il fattore di scala associato a questo processo può essere al massimo 1:n, ovvero un essere umano può spiare al massimo un numero ristretto (“n” per l’appunto) di altri esseri umani.
Contrariamente un captatore digitale ha la possibilità di spiare un numero indefinito e teoricamente infinito di sistemi digitali. Oggi nel mondo informatizzato (circa 1/3 del totale) ad ogni essere umano corrisponde almeno un sistema digitale, ma sempre più spesso ad ogni essere umano corrispondono più di un sistema digitale. Questo fatto rende da un lato più probabile riuscire a spiare/sorvegliare un essere umano attraverso il proprio dispositivo personale (si hanno più possibilità su più sistemi) dall’atro lato sempre più condivisioni ed attività “fisiche” vengono mappate digitalmente da ognuno di noi, e questo rende più semplice lo spionaggio/controllo massivo.
Lei è il Ceo di un’azienda composta da un team specializzato proprio in cyber security. Quali consigli darebbe ad una persona per proteggersi dagli attacchi hacker?
Si potrebbero dare consigli tecnici sull’utilizzo del secondo fattore di autenticazione, sul mantenimento dei sistemi aggiornati, su mantenere sempre attivo un sistema anti-intrusione, e soprattutto su utilizzare teams esterni alla propria organizzazione a garantire una buona postura di sicurezza, ma credo che il migliore consiglio che posso offrire, oltre ai classici consigli tecnici, sia quella di restare aggiornati, di leggere articoli di giornale sul tema, di capire un po’ di più come avvengono tali attacchi. Leggendo e comprendendo si avrà la possibilità di crearsi un’opinione propria e di conseguenza riuscire a prendere le migliori decisioni sulla propria organizzazione e/o sulla propria vita digitale, e capire quali tecnologie ed attività mettere in atto per reagire agli attacchi informatici.
Infine, le vorrei chiedere quale sarà, secondo lei, il futuro della cyber security?
Difficile prevedere il futuro, ma studiando il passato e gli ultimi avvenimenti credo che nel 2022 continueranno ad essere predominanti attacchi ransomware di tipo double-extortion e che dovremmo tutti concentrarci sulla supply chain. Credo che il digitale diverrà un asset molto importante per ogni organizzazione e che la cybersecurity possa influenzare notevolmente il business di ogni organizzazione. Per questo credo che sia necessario valutare la postura di sicurezza digitale anche in ambiti strutturali dell’economia come, per esempio, prima dell’erogazione di un finanziamento, in una operazione di M&A, prima accreditarsi in un portale fornitori e prima di usufruire di rimborso.