Zaia: “ora investiamo in sicurezza informatica”. Ed era finalmente ora!
Vabbò, tradimenti e chiusure: i problemi della sicurezza informatica in Italia
Non passa ormai giorno senza notizie di attacchi informatici. Argomento ancora poco comprensibile ai più, specialmente se abbinato poi a termini come ransomware, DDoS, malware, malspam. Quello che invece è ben comprensibile a tutti sono i danni provocati da questi attacchi.
Come ho scritto nell’articolo precedente, in questo ci sono spesso dietro motivazioni geopolitiche: ad esempio in questi giorni l’attacco/contrattacco Russia-Ucraina alle piattaforme di informazione e di logistica per favorire azioni militari; oppure qualche anno fa, lo spionaggio americano alle conversazioni telefoniche di Angela Merkel e alti vertici tedeschi. L’Informazione come “instrumentum regni”, parafrasando Machiavelli: il modo con cui al giorno d’oggi un Paese prevale su di un altro.
In tutto questo, qual è la conoscenza della Sicurezza Informatica in Italia? A parte alcune encomiabili eccezioni, la situazione è purtroppo spesso sconfortante. E visto che l’argomento non è preso sempre seriamente in Italia, provo a sintetizzare questa dannata leggerezza descrivendo quelle che qui chiamo le 4 fasi dei “Vabbò della Sicurezza”.
I 4 Vabbò della Sicurezza
Mi dispiace scriverlo, ma temo che questo sia il filo di pensiero di alcuni responsabili di Sicurezza Informatica in Italia, assunti negli anni ’80-’90 e che vivono ancora nel fasto e spensieratezza di quegli anni:
Il Vabbò della Derisione: “Eh vabbò, figuriamoci, mo chi mi attacca?”
Il Vabbò del Rifiuto: “Eh, mi stanno attaccando. Vabbò, ma tanto che ne sanno di come è fatta la mia infrastruttura? Figurati se lo scoprono.”
Il Vabbo’ dell’Incredulità: “Hanno visto come è fatta la mia infrastruttura. Vabbò, ma tanto che possono farmi ‘sti hacker?”
Il Vabbò della Resa: “Hanno pieno accesso ai miei dati. Vabbò, ma come hanno fatto?”
Beh, la realtà è che su questi 4 “Vabbò” un hacker ci costruisce su una carriera. Vi ricordate lo sfortunatamente celebre hack alla Regione Lazio, che disabilitò i servizi informatici laziali incluso quello per le vaccinazioni Covid-19? Bene. Succede poi che l’hacker finisca anche per sbeffeggiarti con un bel “Hello, Lazio!”.
Immagine ANSA dell’hack alla Regione Lazio
Oppure, come accaduto pochi giorni fa, ti costringe a sbraitare di fronte a una macchinetta dei biglietti di Trenitalia che non funziona.
Reazioni
Se le informazioni tecniche trapelate al pubblico sono corrette, i due casi che ho citato sopra (Regione Lazio e Trenitalia) sono vergognosi. Da licenziare immediatamente in tronco dirigenti e squadre responsabili: disastri simili non hanno un unico colpevole, ma sono il risultato di incuria e incompetenza di molti perpetrate in lunghi anni.
Ma dico io. Regione Lazio: a prescindere dal modo dozzinale con cui hanno violato i tuoi sistemi, come accidenti ti è calato in mente di mettere il backup dei tuoi dati online sulla stessa rete di produzione? E la narrazione fantasiosa che ne è seguita (che prima parla di backup criptato dagli hacker, poi cancellato, poi magicamente ritrovato), mi fa sorgere il fortissimo sospetto che il riscatto sia stato pagato eccome. Spero di sbagliarmi, ma non sono il solo a pensarlo. Facendo un parallelo con la vita di tutti i giorni, la Regione Lazio ha praticamente lasciato le chiavi di casa nel buco della serratura, e quelle di scorta in bella vista sopra lo zerbino: benvenuti ladri.
E poi, altra cosa che noto spesso: ma come accidenti fai a non conoscere l’Inglese (come, da notizie tragicomiche che trapelano, pare essere il caso di Trenitalia)? È già fatto grave per chi lavora in Informatica nelle posizioni base / entry level. Figuriamoci poi per dirigenti e responsabili. Se chi si professasse esperto di Italianistica non avesse mai letto Dante, quale sarebbe la vostra reazione? Parimenti, se chi si occupa di Sicurezza Informatica non conosce l’Inglese ed è incapace di aggiornarsi davanti a sfide che vengono da tutto il mondo, cosa pensate possa succedere? Ve lo dico io: “Hello, Lazio!”; “Hello, Italia!”
E qui parlo di cose basilari. L’Abc. Non entro neanche nel merito delle competenze informatiche, quelle vere, in coding e sviluppo software, perché la conclusione è ovvia.
In tutto ciò, la classica reazione italiana è quella dei meme e degli sfottò. Ci si ride su. Nel caso del recente ransomware a Trenitalia (un ransomware, una cosa semplice da prevenire con sistemi decenti), i commenti sono del tipo “Attacco hacker a Trenitalia. Ora si spiega perché i treni stiano incredibilmente arrivando in orario”. A me invece questa vergogna ha fatto tornare in mente lo sfogo di Marcello Lippi molti anni fa quando allenava un’Inter di giocatori svogliati. Volgare sicuramente, ma giusto. Oggi, invece di chiedere giustamente teste, rimpiazzandole con persone capaci per avere finalmente un servizio degno, ci si limita solo a ridere e fare battute. Rabbia che si sublima in una risata. Riso amaro.
Spesa vs investimento
Ci tengo a rimarcare una cosa. Non c’è onta nel subire un attacco informatico: qualsiasi compagnia / ente di buone dimensioni o che gestisce informazioni di valore deve aspettarsi attenzioni indesiderate. È purtroppo la norma. Paradossalmente, questo è anche indice di importanza: una compagnia che non ha attacchi informatici vuol dire che è irrilevante.
Però c’è attacco e attacco
Penso a Stuxnet, che nel 2010 in Iran paralizzò siti industriali dediti al programma nucleare. Qui gli hacker che avevano costruito questo worm avevano sfruttato varie vulnerabilità zero-day di Windows fino addirittura a compromettere hardware e distruggere centrifughe per l’arricchimento dell’uranio. Si può essere d’accordo o meno con i fini, ma non si può negare che questo attacco sia stato un capolavoro di ingegneria. Così come si può disprezzare la vita dissoluta di un Caravaggio, ma allo stesso tempo si può rimanere incantati davanti ai suoi dipinti.
Penso poi all’attacco di Regione Lazio e Trenitalia, e mi viene invece lo sconforto. Un semplice ransomware, che poteva facilmente essere bloccato con difese minime. E invece gli hai spalancato le porte. Se sopra parlavo di Caravaggio, qua invece pensando ai sistemi di sicurezza messi in piedi da Regione Lazio e Trenitalia mi vengono in mente “opere”.
Immagine tratta dall’ articolo di The Guardian sulle peggiori riparazioni artistiche di sempre
Se pensiamo alla Contabilità Aziendale, una delle lezioni più importanti è come classificare un esborso monetario: come spesa, oppure come investimento? Se pensiamo alla Sicurezza Informatica, il concetto è lo stesso. Se si continua a pensare che la Sicurezza Informatica sia una spesa da minimizzare, i risultati saranno sempre equivalenti agli obbrobri sopra. Se invece si cominciasse a fare un’analisi seria dei rischi e costi dovuti a una scarsa Sicurezza Informatica, si comprenderebbe bene che questa rappresenta invece un serio investimento per il futuro. Niente riscatti da pagare, nessun danno di immagine, architetture software moderne che come bell’effetto collaterale finiscono anche per rendere più motivato il dipendente che vi lavora e migliora il servizio al cliente. Non è questo un investimento da massimizzare?
Ingegneria Sociale e Tradimento
Sia ben chiaro. Molti degli attacchi informatici hanno un grado di sofisticazione tecnologica assai ridotto. La bravura di un hacker non è tanto quella tecnica, quanto quella di intelligence, ossia di scoprire informazioni: e questo un film cult come “Wargames” lo fa capire bene. Una catena è tanto forte quanto l’anello più debole, e quell’anello quasi sempre è rappresentato dalla persona umana. Per questo un hacker, per conseguire il suo obiettivo, fa molta “social engineering” (ingegneria sociale): studia le sue vittime, riesce ad adescarle ad esempio con phishing sempre più verosimile, e prosegue fino ad avere accesso ad account con privilegi sempre maggiori.
Da manuale è l’hack a Twitter del 2020, compiuto da Graham Ivan Clark, un teenager di 17 anni: “Mr. Clark (l’attaccante) convinse uno dei dipendenti di Twitter di essere un collega nel dipartimento di tecnologia e che aveva bisogno delle credenziali del dipendente per accedere al portale servizio clienti - afferma una dichiarazione sotto giuramento penale della Florida. Alla fine dell’attacco, gli hacker avevano violato 130 account e sollevato nuovi e significativi interrogativi sulla sicurezza di Twitter.”
Non c’è solo l’ingegneria sociale. Ci sono anche altre strategie “vecchia scuola” meno tecnologiche, ma molto efficaci e che a loro modo purtroppo raggiungono lo scopo. Una di queste è il tradimento del dipendente. Un “rogue employee” (come lo chiamano gli Americani) che può passare informazioni a un rivale. È questo il caso di Leonardo (ex Finmeccanica): colosso italiano in settori quali aerospazio, armamenti e cybersicurezza. Eppure qui alcuni dipendenti (tra cui addetti proprio alla cybersecurity) hanno trafugato dall’interno per anni segreti industriali e informazioni relative a velivoli civili e militari. Oppure, senza ricorrere ad enti esterni, un “rogue employee” può lucrare sulla compagnia stessa in base ai privilegi tecnologici in proprio possesso: un altro film cult come “Office Space” (in italiano “Impiegati... male!”) è a suo modo illuminante in questa scena.
Infine, un traditore nel senso letterale della parola. Questo pare essere il caso di Walter Biot, ufficiale della Marina Militare, arrestato con l’accusa di avere venduto segreti militari italiani ai russi. Caso che sinceramente, da Italiano, mi auguro verrà smentito negli appositi tribunali, ma che comunque lancia un serio avvertimento su questi rischi.
E allora?
In un mondo in cui - purtroppo - molte persone hanno un prezzo, fino anche a vendere il proprio Paese agli stranieri, c’è solo una strategia valida. Assumere che tutto sia pubblico.
Lo stesso Der Spiegel, nel caso dello spionaggio americano contro la Merkel, riporta che la cancelliera tedesca “ha spesso detto, tra il serio e il faceto, che lei opera con l’assunzione che le sue chiamate telefoniche siano monitorate”. Anche se lei aveva in mente attacchi dai nemici, e non da coloro considerati come alleati. Ripeto. Bisogna assumere che tutto sia pubblico. Come diceva Claude Shannon, il padre della Teoria dell’Informazione, “the enemy knows the system being used”: “il nemico conosce il sistema in uso”. Bisogna quindi partire sempre dal presupposto che il ladro sappia la planimetria della casa, in modo da organizzare le difese in maniera veramente efficace.
D’altronde, se passiamo nella sfera pop, gli esempi in questo non mancano. Fu proprio trafugando gli schemi tecnici della Morte Nera che l’Alleanza Ribelle scoprì e sfruttò la vulnerabilità fatale nel condotto di ventilazione. Se Darth Vader avesse creduto un po’ meno nella Forza e ascoltato un po’ di più Shannon, questo non sarebbe mai successo
Lo ripeto ancora. Bisogna assumere che tutto sia pubblico. Codice, infrastruttura, flussi. Ma allora, in cosa consiste la sicurezza? Lo spiega benissimo, un crittografo militare del 1800: il suo celebre principio afferma che la sicurezza di un sistema crittografico deve risiedere unicamente nella scelta delle chiavi; qualsiasi altra cosa, (incluso l’algoritmo stesso) deve essere considerato informazione pubblica.
La custodia delle chiavi crittografiche segrete riveste quindi un ruolo fondamentale, e il sistema deve essere comunque organizzato per garantire l’operatività quotidiana e il suo ripristino in caso di disastro o emergenza. Il tutto richiede un cambio drastico di prospettiva a livello umano. Comprendere che il modo migliore per difendersi sia aprirsi, e non tenere invece tutto nascosto nella convinzione (errata) che non succederà nulla: è un rovesciamento totale di una filosofia a cui molti erano abituati e che forniva un falso senso di sicurezza. E capisco che non sia semplice abituarsi.
Sicurezza aperta
“L’attacco è il segreto della difesa” è questo uno dei commenti nell’Arte della Guerra di Sun Tzu. Vuol dire che la proattività risulta molto più decisiva nello sconfiggere il nemico che non l’attendere passivamente un suo attacco a cui si può risultare impreparati.
Se trasliamo questa filosofia dall’ambito militare a quello civile informatico, vediamo che la difesa migliore di un sistema informatico consiste NON nel chiudersi a riccio (la cosiddetta “security through obscurity”, ossia sicurezza tramite segretezza), perché prima o poi il nemico verrà in possesso di quello che si teneva nascosto e sfrutterà le varie e molte debolezze. La difesa migliore consiste nel progettare il sistema informatico sin dall’inizio in maniera sicura (“security by design”) tenendo a mente che il nemico lo conosce o lo conoscerà alla perfezione (con l’eccezione delle chiavi crittografiche). A questo punto, ha pienamente senso condividere al pubblico codice software, design, algoritmi: essere totalmente trasparenti in modo da promuovere collaborazione attiva della comunità degli sviluppatori.
Forse pochi se ne rendono conto, ma ormai la stragrande maggioranza dei servizi che usiamo (Facebook, Amazon, Google) si basa su Linux: un sistema operativo totalmente aperto, che negli anni ha scalzato il dominio di Windows dal mondo server. Lo stesso Android, sistema su cui molti di voi staranno leggendo questo articolo, segue nelle sue componenti base questo principio di apertura.
Allo stesso tempo, vanno assolutamente create e incentivate iniziative di “bug bounty”. Ossia, ricompense alle persone che trovano bug, vulnerabilità e magari offrono soluzioni. D’altronde questo è alla base della cosiddetta Legge di Linus, che prende il nome proprio dal creatore di Linux, Linus Torvalds: “Dato un numero sufficiente di occhi, tutti i bug vengono a galla”.
Il “bug bounty” è un sistema di collaudata efficacia molto usato dalle grandi compagnie americane, ad esempio Facebook/Meta. Non lo è invece ancora affatto in Italia: vuoi perché ci si sente più sicuri tenendo tutto chiuso (sbaglio colossale come ho spiegato prima), vuoi per la dannata scarsa considerazione dell’Informatica in Italia. Pagare qualcuno a passare tempo al computer e strimpellare parole strane di codice? Per di più “ragazzini” (come spesso sono etichettati). Figuriamoci se ha importanza… Certo. Fino a quando non si viene salutati da un bel “Hello, Lazio!”.
Che dire a quel punto? Eh, vabbò…
Che cos'è la sicurezza informatica?
La sicurezza informatica, nota anche come sicurezza digitale, è la pratica volta a proteggere le informazioni digitali, i dispositivi e le risorse personali. Compresi le informazioni personali, gli account, i file, le fotografie, e persino il denaro.
Integrità - Assicurare che le informazioni corrispondano a quanto previsto, e che nessuno abbia inserito, modificato o eliminato elementi senza autorizzazione. Ad esempio, modifica dannosa di un numero in un foglio di calcolo.
Confidenzialità - Proteggere i propri segreti, e garantire che solo le persone autorizzate possano accedere ai file e agli account dell'utente.
Usare password complesse e univoche: le password valide devono contenere almeno 14 caratteri, non devono essere parole inglesi e non devono essere riutilizzate in più account.
Mantenere aggiornato il software: i sistemi operativi come Windows, MacOS, iOS o Android, nonché le app e i browser devono essere aggiornati con le patch e le correzioni più recenti del produttore.
Backup dei dati - I dati importanti devono essere archiviati in una posizione sicura, e dovrebbe essere possibile ripristinare una copia integra e verificata di questi dati in caso di problemi con il file.
Anche se le app e i dispositivi di sicurezza, come il software antimalware e i firewall, sono essenziali, non è sufficiente collegare questi strumenti per essere sicuri. La sicurezza digitale richiede la creazione di un insieme di processi e procedure ben ponderati. Ad esempio:
La sicurezza informatica è uno sport di squadra
Se vedi qualcosa di sospetto o pensi di essere rimasto vittima di un attacco informatico, contatta un consulente di fiducia. Se sei in ufficio o in una scuola, segnala la situazione all'ufficio informatico dell'organizzazione il prima possibile. È possibile che sia un falso allarme, ma l'amministratore sarebbe molto sollevato dallo scoprire che si tratta solo di un falso allarme, invece di scoprire che si è verificato qualcosa di grave e nessuno ha segnalato nulla.
Inoltre, non esitare a condividere procedure consigliate, suggerimenti o risorse per la sicurezza con amici e familiari che possano trarne vantaggio. Se pensi che siano utili, è probabile che lo siano anche per loro.
Zaia: “ora investiamo in sicurezza informatica”. Ed era finalmente ora!
Era ora di sentire qualche dichiarazione relativa all’incidente informatico subito dalla ULSS6 Euganea di Padova, colpita dal ransomware Lockbit.
Questo dopo le notizie di ieri che riportavano una nuova falla di sicurezza all’interno dei portali regionali (Sorveglianza Covid Regione Veneto), attraverso la quale è possibile accedere ai dati sanitari dei pazienti della quale abbiamo parlato nella giornata di oggi.
Infatti poco fa, il presidente Zaia ha riportato che la regione Veneto, da oggi in poi farà ricorso a consulenti di cyber security esterni dicendo che questa
“falla nei sistemi che apre a una serie di attività illecite, non deve più accadere”.
Infatti come riporta la Tribuna Treviso, Zaia ha anche detto che si tratta appunto di
Advertisements
“un fatto gravissimo”.
riferendosi alla “broken access control” scoperta dallo stesso giornale, il quale ha scritto: “due clic e via, in un attimo e con competenze informatiche poco più che basiche, si scaricano certificati covid di altri utenti.”
Zaia ha anche affermato che si tratta:
“di una situazione inquietante e impressionante perché mette a repentaglio i dati sensibili dei pazienti e fa ventilare l’ipotesi che si possano eseguire attività illegali”.
anche se “ventilare” potrebbe non essere la parola giusta, perché di fatto le attività illegali sono già avvenute e stanno accadendo nelle underground, ma siamo anche d’accordo che quanto ha riportato sia la strada giusta, ovvero investire nella sicurezza informatica
Ora occorre comprendere, oltre ai “proclami”; come questo “miglioramento” avvenga all’interno delle infrastrutture informatiche della regione Veneto. In questo caso non si parla di dare dettagli riguardo all’incidente di sicurezza ma solo di dettagliare come questo verrà fatto.
Advertisements
Perché sappiamo che la vicenda risulta ancora aperta e, considerato quanto accaduto, sappiamo anche che ci sono precisi obblighi di legge da rispettare, ma non possiamo pensare che anche questa violenta violazione cada nel dimenticatoio come è avvenuto a quella della Regione Lazio.
Ricordiamoci che l’incidente alla Regione Lazio è avvenuto ad Agosto del 2021 e sono ad oggi passati ben 6 mesi dalle ultime notizie che risalgono a settembre del 2021.
I criminali informatici sono rapidi, efficaci e pervasivi. Se noi continueremo ad essere lenti, inefficaci e pieni di burocrazia, questo modello ci impedirà di competere efficacemente con loro. Anche se di questo ne abbiamo parlato abbondantemente sull’articolo del perché l’Italia si è posizionata al terzo posto negli attacchi ransomware, che vi invitiamo a leggere.