A fronte dei continui attacchi informatici che, sempre più spesso, colpiscono con successo privati e aziende, è quasi scontato chiedersi se sia davvero possibile riuscire a proteggersi in modo efficace. Una domanda che Sergio Fracasso, fondatore e titolare di SafeClick, si sente spesso rivolgere nel corso della propria attività di consulenza. Fracasso ammette però che “purtroppo non esiste la sicurezza al 100%”.
Un’ammissione che, immagino, costi molto ad un esperto di sicurezza come lei…
Effettivamente, per chi fa il mio lavoro, sarebbe bello disporre di un prodotto o di una soluzione capace di garantire l’invulnerabilità dei clienti. Al contrario, purtroppo, dobbiamo confrontarci con hacker sempre più preparati, accaniti e ben equipaggiati. Una situazione che porta ogni soluzione di sicurezza ad essere, prima o poi, superabile.
Dobbiamo quindi rassegnarci?
Al contrario, io credo che i criminali informatici possano essere contrastati, con successo, utilizzando le loro stesse armi: formazione, determinazione e dotazione informatiche adeguate. Operando con professionalità e con i corretti strumenti, infatti, è possibile creare barriere davvero efficaci e rendere la propria azienda difficilmente violabile. Questo anche in considerazione del fatto che, oltre agli attacchi tradizionali, sempre più spesso gli hacker prendono di mira anche i sistemi Scada che controllano gli impianti industriali e infrastrutture critiche. Inoltre, come dimostrano le recenti polemiche negli Stati Uniti le quali, delle strumentalizzazioni che si son fatte, risulta comunque evidente che gli attacchi informatici sono diventati una vera e propria arma da guerra
Per quale ragione stiamo assistendo ad una simile escalation negli attacchi?
Gli attacchi sono gestiti da organizzazioni criminali che, chiaramente, scelgono obiettivi in cui possono trovare soldi o con valore strategico. Basti pensare che, attualmente, esistono società private in grado di offrire servizi di attacco informatico ad un concorrente o persino ad un Paese nemico. Un’attività che, in alcuni casi, viene remunerata anche attraverso i bitcoin, per rendere ancor più complessa la loro individuazione. Quindi, di fronte ad attacchi compiuti da professionisti è necessario difendersi con la stessa determinazione.
Uno degli attacchi che, negli ultimi tempi, sembrano essere prediletti dagli hacker è rappresentato dal CryptoLocker. Perché non basta difendersi con un buon sistema di backup?
Negli ultimi sette anni, questa tipologia di attacco è cresciuta del 1900% e sta coinvolgendo qualunque tipologia di utente informatico. Si tratta di un attacco che può avvenire in qualunque istante e che può essere basato su porzioni di codice che, in questo momento, sono già all’interno di un nostro pc senza che noi lo sappiamo. Lo stesso si può “annidare” in mail di phishing (social hacking) o penetrare attraverso la compromissione di siti web. Un buon backup, quindi, è molto utile, ma non rappresenta la soluzione. “Cryptoloker” significa anche blocco dell’attività lavorativa, blocco di erogazione di servizi o, addirittura, blocco dei propri sistemi domotici, sempre più diffusi nelle ns. case e nelle ns. aziende. Per citarle un esempio, di recente è stato colpito un hotel di lusso – gli hacker hanno preso possesso del sistema informatico, obbligando gli ospiti a restare nelle loro stanze attraverso il blocco delle porte e chiedendo un riscatto ai gestori.
Quindi, quali sono i prodotti per difendersi meglio?
Non credo esista un prodotto in grado di garantire la sicurezza, ma ognuna delle proposte dei principali del mercato ha punti di forza e di debolezza. Per questa ragione è necessario affidarsi a esperti in grado di individuare, caso per caso, le soluzioni adeguate ad ogni specifica realtà. Non dobbiamo però dimenticare che, pur scegliendo e implementando il meglio, gli hacker sono al lavoro per trovare nuove modalità di attacco e, con il tempo, anche la miglior soluzione sarà violata. Pertanto è importante capire che questa materia si muove e lo fa molto in fretta – i sistemi vanno ben implementati e, successivamente, manutenuti e monitorati.
Quindi, a fronte di una richiesta di riscatto, non esiste alternativa al pagamento?
Assolutamente no. Non credo che piegarsi a questi ricatti sia una strada da prendere in considerazione. Perché anche i software degli hacker hanno delle vulnerabilità. Per questo noi usiamo le stesse armi di chi ci attacca. In pratica studiamo le loro attività, acquisiamo informazioni e operiamo a ritroso. Questo ci consente di sfruttare loro vulnerabilità a ns. vantaggio e di decodificare la chiave di criptazione e, quindi, di scardinarla per recuperare i dati e restituirli al legittimo proprietario. Resta comunque uno studio molto complesso e non sempre abbiamo esiti positivi – esistono molte variante del cryptolocker, il codice muta continuamente ed altrettanto velocemente studiamo delle cure.
Si tratta di un’operazione non semplice. Dove trovare tecnici in possesso delle competenze necessarie per strutturare una simile reazione?
Come ormai sanno tutti, buona parte degli attacchi provengono dall’Est Europa, dove si è sviluppata una generazione tecnici informatici particolarmente preparati. Professionisti che non sempre stanno dalla “parte del cattivo’ e che, quindi, stanno operando con noi per contrastare il crimine informatico. Il termine “hacker” non è assolutamente un sinonimo di “attività fraudolenta”.
Non è facile, però, entrare in contatto con queste figure. Come c’è riuscito?
La mia è una storia particolare e risale ai tempi in cui ero studente e volli sperimentare un sistema biometrico di sicurezza proposto da un’azienda israeliana. Durante i test scoprii una vulnerabilità, che segnalai all’azienda stessa. A seguito di questa scoperta, venni invitato nella loro sede e iniziai a collaborare con loro, sin quando non vennero acquisiti ed io intrapresi una nuova attività professionale. Per me è stata un’esperienza importante e, allo stesso tempo, mi ha permesso di creare una una rete di conoscenze con esperti informatici provenienti da diversi paesi, tra cui Russia, Ucraina e Romania. Un rapporto che continua e che prevede continui scambi di informazioni. In questo modo, tra l’altro, siamo costantemente aggiornati su quanto sta accadendo e, spesso, disponiamo di patch ancor prima che vengano messe sul mercato attraverso i canali ufficiali.
Le soluzioni che avete sviluppato, quindi, consentono sempre di non pagare il riscatto a chi è stato vittima di un attacco che ha criptato tutti i suoi dati?
Come dicevo, non esiste la certezza. Però, nel 90% dei casi, siamo riusciti a restituire tutti i dati ad un’azienda sotto attacco. Non dobbiamo però dimenticare che, molte volte, questi attacchi sono finalizzati a sottrarre dati, da rivendere o da rendere pubblici. Per questa ragione rimane comunque fondamentale predisporre adeguate difese preventive, così come occorre un’attenta analisi dell’intera rete per verificare la presenza di eventuali situazioni di potenziale rischio. La possibilità di operare a livello internazionale, ci consente di conoscere tempestivamente eventuali vulnerabilità ancora non comunicate attraverso i canali ufficiali. Questo perché gli attacchi 0 day saranno gli attacchi del futuro.
Perché i migliori hacker, ma anche i migliori esperti di sicurezza si trovano nei Paesi dell’Est Europa?
Perché in quei Paesi, da tempo, si è capita l’importanza dei dati e, per questa ragione, anche il sistema scolastico ha investito in modo sistematico sulla formazione di tecnici altamente preparati. In Italia, al contrario, non abbiamo ancora compreso realmente il valore dei dati e delle informazioni in possesso delle nostre aziende. E anche i dati personali, spesso sottovalutati, hanno un’importanza fondamentale. Basti pensare, ad esempio, a chi si è suicidato perché sono state diffuse alcune sue informazioni personali. É necessario far crescere la sensibilità di fronte a questo problema, perché le armi del futuro saranno soprattutto informatiche ed essendo un furto “astratto”, questo non viene ancora ben recepito sulla propria pelle
A fronte di una simile minaccia, come sono le nostre difese?
Purtroppo, in molte realtà aziendali le dotazioni sono obsolete o non aggiornate. Una condizione che favorisce gli attaccanti. Nel corso di alcuni penetration test sono riuscito a sottrarre facilmente documenti strategici di un’azienda. Il tutto senza che nessuno se ne accorgesse e in tempi estremamente rapidi. Un simile attacco, seppur simulato, ha evidenziato le falle del sistema di sicurezza e ha permesso di investire, in modo oculato, in un’infrastruttura davvero resiliente.
