Attualità

Società

Cyber security: siamo sotto attacco?

L'azione di hacking WannaCry dei giorni scorsi, senza precedenti per la sua portata, avrebbe potuto avere conseguenze ancora più gravi. Facciamo il punto con Dolman Aradori, responsabile della Business Service Line di Security per NTT Data Italia
Print
Cyber security: siamo sotto attacco?

Come mai l’attacco informatico WannaCry si è diffuso così facilmente su scala globale, colpendo centomila sistemi in 105 paesi?
Genericamente un malware, dopo aver compromesso un sistema, resta silente sul sistema stesso o cerca di compromettere sistemi adiacenti senza farsi scoprire. In questo modo in futuro l’attaccante potrà decidere cosa fare del computer compromesso (rubare informazioni riservate, usarlo per altri attacchi, o altro ancora). Per tale motivo solitamente le comunicazioni dei “classici malware” sono “limitate” al minimo.
Nel caso di WannaCry si è trattato di un attacco combinato ad alto tasso di replicazione.
Il primo pc di un’azienda è stato infettato perché un utente ha cliccato erroneamente sul link di un’email di phishing e il malware si è auto installato sul pc cifrandone i dati e chiedendo un riscatto. Da quel momento il malware ha iniziato ad agire diversamente comportandosi come un worm ovvero scansionando la rete locale dell’azienda alla ricerca di pc Windows con un certo tipo di vulnerabilità al fine di replicarsi autonomamente.
Sembra che WannaCry sia stato sviluppato dal gruppo hacker “The Shadow Broker” usando informazioni della National Security Agency Usa pubblicate da WikiLeaks nella sua campagna denominata “Vault7”. Gli attaccanti hanno puntato molto sul fatto che non tutti gli utenti e le aziende sono stati rapidi a installare le patch di sicurezza, di conseguenza il worm in caso di rilevazione di uno o più pc vulnerabili si è replicato velocemente generando un contagio che in alcuni casi è stato pandemico, esponenziale.
L’estensione dell’attacco dimostra come, ad oggi, l’aggiornamento non sia stato eseguito globalmente, ove possibile. Inoltre nei paesi come Cina e Russia nei quali c’è elevata presenza di sistemi Windows duplicati illegalmente (copie “pirata”) e sui quali solitamente non vengono installate patch, c’è stato un tasso molto elevato di sistemi colpiti.

In questo caso è stato chiesto un riscatto: quali sono in generale i motivi per cui avvengono attacchi informatici di questa entità?
Sicuramente per WannaCry una motivazione è stata il ritorno economico: se anche una piccola percentuale degli utenti dei sistemi infettati avesse ceduto al ricatto, gli attaccanti disporrebbero di un consistente ricavo.
In generale gli attacchi avvengono per motivi più disparati: si può passare da una manifestazione di forza di un gruppo di hacker a una connotazione terroristica o di guerra cibernetica tra paesi. Nel caso specifico di WannaCry, data la velocità di diffusione del ransomware gli attaccanti, oltre alla motivazione economica, hanno avuto lo scopo di produrre un’eco su scala mondiale, tentando di indebolire le reti e le infrastrutture informatiche, soprattutto quelle più obsolete e meno aggiornate. Si potrebbe dire che è stato tentato di mettere in ginocchio Internet e i servizi erogati attraverso di essa.

Cosa utilizzano gli hacker per colpire?
Gli hacker sfruttano in sintesi due tipologie di strumenti. Da un lato sviluppano software – malware, virus o worm – che hanno uno scopo specifico, come ad esempio carpire dati, attivare intercettazioni abusive, rendere inutilizzabile un servizio informatico, sottrare denaro, perpetrare frodi. Dall’altro lato studiano le vulnerabilità dei sistemi informatici e le modalità con le quali possono attaccarli attraverso i propri software.
Il vettore di attacco più utilizzato per introdurre i software sviluppati dagli hacker tramite le vulnerabilità identificate sono le email di phishing, tramite le quali si convince un utente a cliccare su un link che installa il software fraudolento.

Cosa dovremmo fare per proteggere i nostri sistemi informatici, porre barriere sicure per i nostri dati e limitare i danni?
Non esiste una soluzione unica ma la protezione deve avvenire tramite l’adozione di programmi e best practice di cyber security che consentano alle aziende di agire a attraverso soluzioni organizzative, tecnologiche e procedurali. Nel caso specifico di Wannacry sarebbe stato opportuno installare le patch di sicurezza su tutto il parco installato dei sistemi Windows e tale attività richiede la preventiva definizione di un processo strutturato e periodico per l’aggiornamento. Tuttavia diverse aziende non riescono a installare gli aggiornamenti nel momento in cui vengono emessi in quanto essi devono essere provati e certificati negli ambienti di produzione, ovvero deve essere verificato che non generino impatti nell’erogazione dei servizi verso i clienti interni ed esterni. Nasce pertanto l’esigenza di bilanciamento tra la gestione del rischio di attacco informatico e la gestione del rischio di mancata erogazione dei servizi digitali.
È inoltre possibile l’utilizzo di alcuni strumenti innovativi che studiano in modo automatico i comportamenti del traffico in rete - behavioural analysis - segnalando anomalie e fenomeni da tenere sotto monitoraggio. 
A livello preventivo è importantissimo tenere copie di backup dei propri dati su dispositivi esterni non collegati al computer. In questo modo la perdita di eventuali dati sarà sempre contenuta.
Un’ulteriore azione è l’aumento della cultura nell’ambito della cyber security tramite l’attivazione di processi di awareness a tutti i livelli aziendali, dai neoassunti al ceo.
Infine occorre attuare la protezione di tutti gli endpoint digitali dai pc agli smartphone ai tablet tramite l’utilizzo di antivirus e strumenti che possano rilevare e segnalare preventivamente il livello di sicurezza delle applicazioni e app scaricate da internet.

Una volta subito l’attacco che fare?
In prima istanza è necessario rivolgersi a esperti, capaci di contenere la diffusione del malware e di recuperare i dati soggetti a cifratura. In generale occorre adottare best practice di sicurezza quali l’isolamento delle macchine infette, l’aggiornamento delle patch di sicurezza di tutti i server e dei pc che potenzialmente possono rientrare nel perimetro dell’attacco. Contemporaneamente bisogna comprendere la dinamica di diffusione delle infezioni in modo da rallentarle o inibirle attraverso blocchi mirati del traffico in rete da implementare attraverso i firewall o altri strumenti di sicurezza perimetrale.
Infine è opportuno attivare collaborazioni, utilizzare protocolli condivisi e usufruire dei canali di comunicazione verso gli enti pubblici competenti, quali possono essere il Cert  nazionale e la polizia postale, al fine di attuare uno scambio bidirezionale di informazioni inerenti l’attacco e, in tal modo, accelerarne la risoluzione. Si citano, a titolo di esempio, nel caso specifico di Wannacry, le linee guida “Ransomware: rischi e azioni di prevenzione” che costituiscono un ottimo strumento reso disponibile dal Cert nazionale.

Insomma, forse questa è la vera guerra di oggi, quella che colpisce la rete dove tutti noi ormai viviamo e lavoriamo. Come, oltre a una ferrea sicurezza, possiamo anche noi singoli contribuire mantenere e accrescere libertà e potenzialità senza soccombere a chi vuole toglercela?
Ognuno di noi proietta sui “digital domain” una propria immagine virtuale costituita da dati personali, informazioni di navigazione, dati presenti sui social network. Questa immagine negli ultimi tempi è diventata più rilevante perché aziende, cittadini e pubblica amministrazione si affidano sempre più ai servizi digitali generando una dipendenza quale diretta conseguenza della semplificazione che tali servizi producono sulla nostra vita. La contropartita è costituita dai rischi che si corrono utilizzando le reti; rischi che aumentano quando non si adottano cautele e misure che possono e devono essere attuate a livello del singolo individuo. Di conseguenza è fondamentale che gli utenti dei servizi digitali acquisiscano una maggiore consapevolezza (“awareness”) sull’utilizzo di tali strumenti e sui rischi che ne conseguono sia in qualità di dipendenti di un’azienda sia in quanto cittadini utilizzatori di Internet. È perciò importante che cittadini e dipendenti vengano “educati” a un corretto utilizzo di tali risorse, dato che piccole precauzioni e accorgimenti sono in grado di ridurre drasticamente il livello di rischio a cui si è sottoposti.
È inoltre importante favorire una maggiore comunicazione e informazione verso gli enti preposti (come la polizia postale per esempio), anche da parte dei singoli, così da contribuire a ridurre i tempi di rilevazione e contenimento degli attacchi informatici e, tramite una segnalazione tempestiva, incrementare l’efficacia delle azioni di contrasto.
In un mondo sempre più interconnesso, il destino della comunità è fortemente influenzato dal comportamento del singolo ed è quindi importante che ognuno faccia correttamente la propria parte.




ALTRI ARTICOLI di Attualità