Nel mio lavoro capita spesso di imbattersi nel termine Cyber Security, tristemente diventato noto negli ultimi anni a causa delle vicende legate al terrorismo. Tuttavia il termine Cyber Security ha una storia e una valenza che pochi conosco. Vediamo di chiarire cosa significa questo termine e come se ne dovrebbe parlare.
Che cosa è la Cyber Security
Per poter parlare adeguatamente dell’argomento, è opportuno soffermarsi sulla sua definizione e la prima cosa che salta alla vista è che si tratta di due termini ben distinti. Il primo Cyber, identifica l’ambiente in cui viene inserito il secondo, vale a dire Security. L’enciclopedia Treccani definisce il termine sicurezza come:
La condizione che rende e fa sentire di essere esente da pericoli, o che dà la possibilità di prevenire, eliminare o rendere meno gravi danni, rischi, difficoltà, evenienze spiacevoli, e simili.
Questa definizione, come potete notare, contiene due elementi chiave: il primo è un dato oggettivo espresso dal verbo “rende” ed il secondo è un dato percettivo espresso dalle parole “fa sentire”. La Treccani, però, si spinge anche oltre offrendo una definizione di sicurezza in ambito tecnologico[note]Enciclopedia Italiana – VII appendice.[/note].
Esenzione da rischi o danni inaccettabili, ove per rischio si intende la combinazione di probabilità del verificarsi di un danno e gravità di tale danno, e per danno la lesione fisica e/o danno alla salute delle persone, ovvero alla proprietà, ovvero all’ambiente. La s., che assume nelle attuali tecnologie elevata priorità, non può essere considerata in termini assoluti, come assenza totale di rischio, ma come s. relativa. Essa può essere così conseguita attraverso la riduzione del rischio a un livello tollerabile, determinato dalla ricerca di un bilanciamento ottimale tra il presupposto di s. assoluta e le prerogative del prodotto, processo o servizio, come: beneficio per l’utilizzatore, adattabilità ed efficacia allo scopo, congruenza del costo, rispetto delle convenzioni proprie della società.
Ciò che salta immediatamente agli occhi è che il termine sicurezza viene confinato all’interno di un perimetro di relatività. È impossibile darne un concetto assoluto, poichè è impossibile scongiurare in modo assoluto il verificarsi di eventuali danni. Di conseguenza la miglior strategia è quella di mitigare i danni cercando di renderli tollerabili o, nel migliore dei casi, irrisori.
Il secondo termine è cyber ovverosia cibernetico. Il significato è riportato di seguito, come da definizione originale[note]Prima definizione di Norbert Wiener, 1947[/note].
La comunicazione e il controllo nell’animale e nella macchina.
Va osservato che questo termine si fonda su due importanti parole comunicazione e controllo. Di questi credo sia inutile fornire una definizione enciclopedica ma basti dire che la loro unione all’interno di un contesto comune, comporta la conduzione (o che dir si voglia presa di comando) di un determinato aspetto. Nel nostro caso la sicurezza.
Di conseguenza potremmo definire la cyber security come la capacità di mantenere sotto controllo tutti gli aspetti legati alla sicurezza del dominio delle macchine. Un termine che, se apparentemente generico, svela in realtà un mondo quasi infinito ma comunque con dei limiti. Il primo è proprio il confine delle macchine, il secondo è la sicurezza stessa.
Presente ma anche il futuro
La cyber security è un business anche se i recenti eventi (attentati terroristici, attacchi hacker a siti governativi, il fenomeno Anonymous, etc…) dovrebbero far riflettere sull’importanza di questo tema. Se ne parla male perché oggi il termine cyber security viene isolato in un contesto meramente tecnologico, mentre dovrebbe essere inserito contestualmente in uno normativo ma, soprattutto, sociale.
Edward Snowden, più volte citato all’interno di questo blog, ha dimostrato come il problema della privacy su internet, non fosse solo qualcosa di “tecnico” ma, prima di tutto, di “sociale”. Durante una delle tante interviste [note]Intervista rilasciata a Glenn Greenwald.[/note] rilasciate ai giornalisti di mezzo mondo, l’analista statunitense ha affermato:
Chiunque nella mia posizione avrebbe potuto accedere a informazioni riservate da vendere sul mercato libero alla Russia; hanno sempre una porta aperta, come d’altronde l’abbiamo noi. Io avevo accesso ai nomi di tutti i collaboratori dell’NSA, all’intera rete di intelligence e alle strutture sotto copertura di tutto il mondo. Tutte le stazioni, le missioni, tutto quanto. Avrei potuto danneggiare gli Stati Uniti? Basterebbe un pomeriggio per disattivare il sistema di sorveglianza. Ma non era questa la mia intenzione.
Il punto chiave è la valenza sociale delle sue parole. Il sistema di sicurezza statunitense è un’architettura che, per quanto complessa, può essere ripristinata nel dovuto tempo ma la compromissione di diritti umani, l’esposizione di identità segrete a paesi stranieri (e magari non alleati) come si ripristina? Ecco quindi che per parlare di cyber security è indispensabile avere una mano nel mondo tecnologico e un’altra in quello sociale.
Questa è un’epoca in cui i valori sociali sono messi a dura prova. Fino a pochi anni fa, nessun gruppo di hacking si sarebbe sognato di dichiarare guerra a terroristi di qualsivoglia natura. Eppure il gruppo Anonymous sembra avere intenzioni “bianche” usando mezzi “neri”. Si potrebbe definire così la loro caccia all’illegalità e al terrorismo. Caccia che, per quanto emblematica e preziosa possa essere, viene svolta con mezzi illeciti. Ma perché? Da quanto dicono loro, perché non vi è altra maniera per raggiungere lo scopo desiderato. Ed ecco che un’azione illecita viene mischiata ad uno scopo socialmente irreprensibile: la lotta al terrorismo, e l’intera operazione assume un che di fiaba alla Robin Hood che, rubando ai ricchi e donando ai poveri, rubava comunque.
CyberSecurity tra ingegneria sociale e programmatori
Una dimostrazione del fatto che quando si parla di cyber security si parla di un fenomeno sociale, oltre che tecnico, è dato anche dalla modalità con cui viene svolto l’attacco. In questi anni è emersa con forza la figura dell’ingegnere sociale che, in un certo qual modo, può essere paragonata a quella della “vecchia” spia. Si tratta di un individuo che, generalmente, fa parte di un team incaricato di lanciare l’attacco cyber. Il Kaspersky Lab Daily Blog, tramite l’autore Santiago Pontiroli[note]https://blog.kaspersky.it/ingegneria-sociale-ovvero-come-hackerare-il-sistema-operativo-umano/2266/[/note], ci dice che:
Nel campo della sicurezza informatica, questa espressione fa riferimento a una serie di tecniche adottate da cybercriminali per manipolare le proprie vittime con lo scopo di ottenere informazioni sensibili e di convincerle a eseguire determinate operazioni; in questo modo, gli hacker riescono a entrare nei dispositivi delle vittime e a comprometterli definitivamente.
Questa definizione, non propriamente accademica, fa capire relativamente bene il concetto principale dell’ingegneria sociale: non si tratta di penetrare un sistema informatico. Si tratta di corrompere un essere umano: raggirandolo, comprandolo, spiandolo, studiandolo e, alla fine, mettendolo nei guai con la legge. Kevin Mitnick, uno dei più importanti hacker degli anni 80-90, racconta che l’accesso ai computer che erano, successivamente, oggetto o mezzo di attacco, gli veniva fornito spontaneamente dall’amministratore stesso. Forse una definizione più completa e precisa di ingegneria sociale la fornisce proprio la Wikipedia[note]https://it.wikipedia.org/wiki/Ingegneria_sociale[/note].
Il social engineer comincia con il raccogliere informazioni sulla vittima per poi arrivare all’attacco vero e proprio. Durante la prima fase (che può richiedere anche alcune settimane di analisi), l’ingegnere cercherà di ricavare tutte le informazioni di cui necessita sul suo bersaglio: e-mail, recapiti telefonici, ecc. Superata questa fase, detta footprinting, l’ingegnere passerà alla fase successiva, cioè quella che gli permetterà di verificare se le informazioni che ha ricavato sono più o meno attendibili, anche telefonando all’azienda del bersaglio e chiedendo cortesemente di parlare con la vittima. La fase più importante, quella che determinerà il successo dell’attacco, è lo studio dello stile vocale della persona per la quale vuole spacciarsi (ad esempio cercando di evitare in tutti i modi l’utilizzo di espressioni dialettali e cercando di essere quanto più naturale possibile, sempre utilizzando un tono neutro e cortese). In questa fase l’attaccante avrà sempre vicino a sé i propri appunti con tutte le informazioni raccolte nella fase di footprinting, dimostrandosi pertanto sicuro nel caso gli venisse posta qualche domanda.
Mai singoli, sempre in gruppo
Gli attacchi, ormai, non avvengono quasi mai da una singola persona. Generalmente un’attacco cyber avviene da un gruppo che, purtroppo, può essere geograficamente dislocato in continenti generalmente diversi. Un gruppo è formato almeno dalle seguenti figure.
- Il Finanziatore è colui che, per ragioni personali, ideologiche, politiche, economiche, è disposto a pagare l’attacco cyber e a finanziare le persone. Generalmente, tramite il tracciamento dei flussi di denaro, è possibile risalire agli altri membri del gruppo. Oggi, tramite la rete TOR e l’impiego dei BitCoin, diviene più difficile effettuare questa operazione di tracciamento ma è comunque possibile. Può conoscere solo il leader del gruppo e non gli altri membri e potrebbe essere completamente all’oscuro dei tempi e delle modalità con cui avverrà l’attacco.
- Il Leader è il capo del gruppo, colui che pianifica e gestisce l’intero attacco cyber. Non ha bisogno di un motivo ideologico, anzi spesso è spinto solo da una motivazione puramente economica. Conosce tutti i membri del gruppo ed è al corrente dei tempi e delle modalità con cui verrà lanciato l’attacco. È l’unico punto di contatto tra il finanziatore e il gruppo.
- L’HardCoder è un programmatore altamente qualificato, incaricato generalmente di creare il cavallo di troia utilizzato durante l’attacco. Può non essere a conoscenza della finalità dell’attacco, né tantomeno del momento in cui avverrà l’attacco ma conosce esattamente la modalità con cui verrà eseguito l’attacco. Per ridurre tale conoscenza, il leader può utilizzare più hardcoder, in grado di comporre “pezzi” separati del cavallo di troia. Ciascuno, quindi, avrà una visione parziale di ciò che sta creando.
- L’ingegnere sociale è una spia avente la finalità di creare le condizioni per le quali sia possibile sferrare l’attacco cyber. I mezzi che userà non saranno necessariamente di natura tecnologica, bensì sociale a sfondo investigativo. Sarà in grado di cambiare la sua identità, affiancare la vittima (o le vittime) attraverso rapporti sociali di varia natura, o anche facendosi assumere dall’azienda. È a conoscenza dello scopo dell’attacco, ma potrebbe non essere a conoscenza di cosa faccia il cavallo di troia costruito dall’hardcoder.
- L’inconsapevole è la vittima dell’ingegnere sociale. È colui che, una volta corrotto, autorizza l’ingegnere sociale ad entrare in possesso delle informazioni richieste o a lanciare l’attacco cyber. È inconsapevole in quanto viene raggirato. Per la legge sarà responsabile, generalmente, di aver violato le leggi di tutela delle password, della propria postazione di lavoro e di aver condiviso informazioni “sensibili”. In sostanza avrà la colpa di essersi fidato ed esser stato “poco professionale” (per usare un eufemismo).
Quando un attacco cyber viene scoperto, normalmente, il team che ha prodotto quell’attacco si è sciolto. Rimangono attivi, per un certo periodo (molto breve a dire la verità) l’ingegnere sociale e il leader. Essi quindi rappresentano la pista più calda che hanno gli investigatori. L’inconsapevole, di conseguenza, diviene l’unico mezzo (e capro espiatorio) utilizzabile dal team per attirare l’attenzione da altre parti. Questo significa che, per qualche settimana, gli investigatori potrebbero essere indotti a sospettare di attività illecite svolte dall’inconsapevole ma, in realtà, create ad arte dall’ingegnere sociale.
Tecniche di protezione
Proteggersi da un attacco cyber non è facile. Ogni azienda è protetta da antivirus, firewall, HSM[note]Hardware Secure Module: sono macchine cifranti.[/note]. Eppure il punto debole non sono i dispostivi hardware. Gli attacchi più importanti avvengono su sistemi isolati, o su sistemi SCADA, più “stupidi” rispetto a sistemi ordinari. Il punto più debole è sempre uno: l’uomo.
Che sia per una negligenza nella chiusura di un protocollo, di una porta o una leggerezza nell’affidare un’informazione o un sistema a qualcuno, l’errore più grave è sempre quello umano. Trascurare questo punto, significa aver già perso la guerra.
Ci si protegge adeguatamente, attraverso step ben precisi.
- Sensibilizzazione verso una maggiore cultura della sicurezza. Bisogna far capire i rischi, le conseguenze e sensibilizzare le persone ad essere più responsabili.
- Formazione del personale nei confronti delle tecniche di hacking, nel mantenimento della sicurezza quotidiana. Questo aspetto è ancora oggi troppo poco osservato. Non si può chiedere ad una persona di utilizzare quotidianamente una media di 5 password, ciascuna di 8 caratteri alfa-numerico-simbolici con maiuscole e minuscole, che cambiano ogni giorno. È una misura idiota. Si deve formare la persona per riconoscere prima di tutto le minacce potenziali che arrivano nella sua casella di posta. Il comportamento da assumere con le persone con le quali interagisce e solo dopo dotarsi di adeguati sistemi di sicurezza.
- Dotazione HW/SW intelligente. Potremmo dire “lavoro che vai usanze che trovi“. Non ha senso dotare tutti di password che poi, necessariamente, appuntano su un pezzo di carta o all’interno di una nota nel cellulare. Ha senso che l’azienda disponga di adeguate misure di sicurezza, in linea con le informazioni che gestisce e che tali misure non siano solo “tecnicamente aggiornate” ma anche “socialmente organizzate”.
Un piccolo esempio…
Come sapete tutti, esistono informazioni classificate (che non si possono divulgare) ed informazioni pubbliche. Questo piccolo esempio, molto banale a dire la verità, serve dimostrare come un’informazione non classificata possa diventare rivelatrice di informazioni ben più importanti. Generalmente faccio questo esempio durante i convegni o nelle aule di formazione per spiegare quanto sia labile il concetto di “non classificato”. Per praticità viene ritratto uno scenario molto semplice.
Obiettivo: colpire una base militare inoculando un trojan all’interno di uno computer della base incaricati di gestire la gestione degli armamenti.
Scenario: l’ingegnere sociale è in fase preparatoria. Deve localizzare prima di tutto dove possono trovarsi questi computer. Così apre Google Maps e nota che la caserma è composta da tre edifici che chiameremo (A, B e C). Sull’edificio A ci sono notizie di convegni che si sono tenuti all’interno. Ci sono fotografie che ritraggono gli eventi e molto materiale circa i singoli meeting. Sull’edificio C non si trova nulla, allora l’ingegnere sociale si collega a Google StreetView e prova a vedere se trova qualche altra informazione. L’edificio è un semplice palazzo in mattoni, due piani, niente di che. Apparentemente non ci sono elementi rivelatori ma l’ingegnere sociale sorride e capisce che i sistemi che sta cercando sono, con tutta probabilità, nell’edificio B. Come ha fatto?
Gli stabili incaricati di contenere materiale, o informazioni, soggetti a classifica, devono avere armadi blindati, sistemi di protezione adeguati e…sbarre alle finestre. Per economicità le caserme non montano le sbarre a tutte le finestre, rendendo evidente quelle stanze nei quali sono contenute informazioni sensibili.
Stiamo, chiaramente, parlando di un esempio, ma ciò che vorrei dimostrare è la flessibilità di pensiero che non poggia la sua analisi su qualche strana ricerca informatica, bensì sul concetto di “risparmio” umano che ha portato il personale militare a proteggere solo alcune finestre piuttosto che tutte.
Reclutamento e fascino del “cattivo”
Pochi parlano di questo aspetto che, in realtà, è assai delicato e molto spesso sottovalutato. Molti ragazzi sono attratti dalla carriera dell’hacker, convinti che questa possa essere un modo semplice, avvincente, elettrizzante e fascinoso di fare soldi. Non è così e purtroppo nessuno ne parla. L’ingegnere sociale, in modo particolare, è una persona che deve esser pronta a fare scelte morali assolutamente discutibili, con le quali convivere giorno dopo giorno. Deve essere in grado di carpire informazioni nei modi più efficaci (e spesso moralmente biechi) senza alcun senso di colpa. Spesso ha due o tre vite parallele, fatte di rapporti sentimentali, amicali, completamente alterati e senza riuscire davvero a proteggere nessuno di questi.
Ci sono storie di giovani che hanno, inevitabilmente, finito per coinvolgere i loro genitori, i loro amori con le relative famiglie, in indagini federali senza, tra l’altro, incassare neanche un quattrino dall’operazione. C’è una frase di Kevin Mitnick che mi piace ricordare:
Non ho mai considerato l’hacking un videogame, ma all’improvviso è diventato un videogame, quando ho iniziato a sfidare il Governo. E alla fine ho perso.
È una fine inevitabile, soprattutto per chi non sa stare alle regole di un mondo che non ha niente a che invidiare a quello dei narcotrafficanti o dei mercanti d’armi. Di Mitnick vorrei riportare, infine, alcune frasi rilasciate ad un’intervista.
Attualmente dirige un’azienda di sicurezza informatica. Pensa che le aziende e le autorità si proteggano a sufficienza?
Affatto. per quanto riguarda le falle di sicurezza, durante i nostri test d’intrusione abbiamo messo a segno il 95% degli attacchi. Quando siamo autorizzati dal committente a utilizzare le tecniche di social engineering, la percentuale sale al 100%.
E quanti utenti si comportano ancora incautamente?
Non esiste una patch contro la stupidità (ride). È facile manipolare gli uomini per rifilargli informazioni false. Le correggeranno automaticamente. Già tempo fa ho sfruttato questo difetto e continuo ancora oggi.
Mitnick ha ragione: non esiste una patch contro la stupidità però è a queste persone che aziende e multinazionali affidano segreti veramente delicati. Occorre meditare su questi aspetti.
Conclusioni
Forse mi sono dilungato un po’ ma questo argomento merita tutta l’attenzione del caso. Ma allora, come è possibile riuscire a proteggersi concretamente? La sicurezza informatica richiede un’attenzione costante e commisurata al livello di delicatezza del dato.
Immaginate di essere gravemente malati (o che lo sia un vostro caro). Il medico al quale vi rivolgete dovrebbe porre la massima attenzione e professionalità nel trattamento della malattia giusto?
Ecco quella professionalità, più che sul punto di vista tecnico (lo strumento per fare una lastra o un’ecografia), si basa sulla capacità di interpretare i dati e prenderli seriamente.
L’unico modo per far fronte ai potenziali attacchi di cyber security è essere come un buon medico: costantemente attento ai propri pazienti (persone e sistemi), avendo cura di non eccedere nella sicurezza, né di essere troppo lasco. Bensì di avere una giusta concezione di ciò che deve essere protetto e delle modalità per farlo, avvalendosi di un equipe professionalmente ineccepibile.