Nei giorni scorsi un hacker di nome Kapustkiy ha violato il sito web del Dipartimento della Funzione Pubblica, riuscendo ad accedere al database contenente circa 45.000 record. L’hacker ha poi cercato di contattare gli amministratori del sito per notificare la falla ma, non avendo ricevuto risposta, ha deciso di pubblicare online a titolo dimostrativo 9.000 record trafugati.
Di storie come questa vene sono a migliaia: ogni giorno i nostri sistemi sono presi di mira da milioni di attacchi e va sottolineato l’ottimo lavoro di coloro che proteggono tali strutture. Tuttavia quanto accaduto merita qualche riflessione.
L’hacker in questione, Kapustkiy, è stato scoperto dal sottoscritto la scorsa settimana, quando fui informato di attacchi ai siti delle ambasciate Indiane in giro per il mondo. A dire il vero è stato Kaspursky ad avermi contattato essendo un accanito lettore di SecurityAffairs. Da allora è stato un susseguirsi di attacchi contro quei siti che trascurano gli aspetti di sicurezza pur gestendo dati sensibili e confidenziali, come ad esempio ai nominativi del personale di un’ambasciata.
Tutti i siti web presi di mira hanno una caratteristica comune: sono affetti da falle estremamente semplici da individuare e sfruttare mediante tool automatici reperibili ovunque sul web.
Ecco quindi come un diciassettenne come Kapustkiy può prendersi gioco di un sito web governativo in pochi minuti. E sì, non vi avevo detto che Kapustkiy è molto giovane e non attacca per motivazioni economiche, bensì per evidenziare le carenze di sicurezza in siti web di tutti il mondo. Di giovani aspiranti hacker ve ne sono tanti, e le ragioni del loro successo è nell’incapacità di proteggere in maniera adeguata i nostri siti, così come nel disegnare soluzioni software che sono affette da falle note da tempo e semplici da risolvere.
Non servono particolari competenze per colpire una infrastruttura informatica che non rispetti i principi di sicurezza. Non meravigliamoci, allora, quando vedremo le nostre informazioni rilasciate sul web: il problema è culturale. Dobbiamo cominciare a pensare alla sicurezza in maniera come ad una esigenze, ad una opportunità di business.
Un incidente informatico come un data breach può avere serie ripercussioni sulle proprie vittime. Pensate a quanto è successo a Yahoo che si è vista pubblicare in rete i dati di 500.000 milioni di utenti. L’incidente ha avuto ripercussioni su una trattativa in corso per l’acquisizione dell’azienda da parte del colosso Verizon che ha quindi chiesto uno sconto di 1 miliardo di dollari per i problemi derivati dalla violazione dei dati.
Ritornando al caso del sito italiano, una volta scoperta la falla il sito della Funzione Pubblica è stato posto in manutenzione. Sono passati almeno due giorni è il sito è ancora giù, probabilmente poteva esser gestito diversamente l’incidente.
E qui arriviamo alla vera nota dolente. Per esperienza personale, in molti casi non sono formalizzate procedure di risposta all’incidente informatico, né tanto meno il “disclosure” dell’attacco.
Spesso mi sono trovato dinanzi responsabili di servizi che non hanno ben chiaro quali procedure seguire in risposta ad un attacco informatico, eppure tali attività sono essenziali per agevolare le indagini e ripristinare in maniera celere il servizio preso di mira degli hacker. Ed allora è fondamentale promuovere attività per aumentare la consapevolezza della minaccia e l’adozione di “best practice” per la protezione dei nostri dati.
Altra riflessione è relativa alla natura dell’attaccante. Kapustkiy, che ho intervistato per primo e molto prima dell’attacco ai nostri sistemi, non ha cattive intenzioni, non opera per profitto, né per spionaggio o sabotaggio.
Tuttavia nel cyberspazio una pletora di attori malevoli appartenenti a sindacati criminali e gruppi di hacker governativi continuano ad attaccarci con metodiche sempre più sofisticate. Caderevittima di un attacco di SQL Injection è come dire morire di raffreddore, sicuramente possibile, ma presuppone che il sistema sia gravemente compromesso.
Non amo allarmismi, tuttavia è indispensabile che organizzazioni e cittadini prendano coscienza di quanto ci sta accadendo. Il crimine informatico con la sua azione comincia a corrodere una porzione crescente del nostro PIL, come a dire che per un certo numero di giorni al mese andiamo a lavorare per pagare i danni causati dall’operato di questi signori.
Accanto al crimine informatico abbiano i nation-state actor, ovvero hacker che operano per Governi e che possono attaccare in qualunque momento le nostre risorse. L’accesso ai dati di un’ambasciata potrebbero consentire di lanciare più sofisticati attacchi per esfiltrare informazioni sensibili che opportunamente utilizzate potrebbero addirittura portare a sovvertire un Governo.
Per la prima volte, negli scorsi mesi ci siamo resi conto di quanto possa essere pericolosa l’azione di hacker per la politica di un Paese. Le recenti elezioni presidenziali statunitensi sono state prese di mira da hacker operanti per conto di Governi stranieri al fine di influenzare la scelta del candidato alla Casa Bianca.
Promuovere un’adeguata postura in materia di cyber security deve essere parte della strategia di crescita del nostro Paese: se un diciassettenne può causarci problemi, pensate cosa potrebbe fare un Governo ostile.
Nessun commento:
Posta un commento