La sicurezza è utopia. Benvenuta sicurezza

Indice

È successo di nuovo. Un’altra violazione ma questa volta hanno rubato ad un ladro, potremmo dire così.

HACKING TEAM sembra essere andata in tilt. La discussa società milanese specializzata in software di spionaggio è stata colpita ieri da un clamoroso leak, una diffusione di informazioni riservate via Twitter e torrent sottratte, come molti fanno notare a 24 ore dai fatti, probabilmente nell’arco di un lungo periodo di tempo. Si tratta di 400GB di materiale scottante e a tratti grottesco: documenti, ricevute, elenchi, screenshot di conversazioni e-mail dai quali si evince la clamorosa ragnatela di clienti governativi e non solo in oltre 30 Paesi, Italia inclusa. Molti dei quali non esattamente campioni di democrazia: Sudan, Marocco, Uzbekistan fra gli altri.

Vediamo di fare qualche riflessione…

La sicurezza è un concetto astratto. L’altro giorno ero alla Sapienza spiegando a dei ragazzi che, in informatica, bisogna ragionare sempre pensando che il proprio portale sia violabile, e che l’attacco sia già in corso. Alcuni miei colleghi considerano tale approccio troppo “radicale” ma quello che è successo ad Hacking Team dimostra il contrario.

La compagnia attaccata avrebbe chiesto nelle scorse ore a tutti i clienti a cui ha venduto il suo trojan Rcs – ministeri, agenzie di sicurezza, polizie e servizi di intelligence di mezzo mondo – di sospendere ogni operazione in cui il software fosse impiegato.

Un attacco di questo tipo, portato a segno con successo, denota una serie di elementi ben precisi:

  1. Chi attacca è al corrente di quali siano le barriere/difese che troverà. Le contromisure, nel caso di compagnie di questo tipo, non sono difensive ma controffensive e questo significa che ad un attacco seguirà un contrattacco dal quale difendersi.
  2. Chi attacca è a conoscenza, quindi, di come bypassare le difese e nove volte su dieci questo è sinonimo di falla nella sicurezza ma non tecnologica, bensì umana. C’è un chiacchierone, una talpa, un traditore, chiamatelo come volete ma le notizie sono uscite.
  3. La qualità di un gruppo di hacking si mostra nel lungo periodo e non per il singolo attacco o per la singola attività. Hacking Team, a quanto si legge su Repubblica, vendeva i suoi prodotti a soggetti istituzionali ma quanto segue dovrebbe far riflettere sulla qualità aziendale.

A quanto risulterebbe, quei 400GB sarebbero solo una parte del materiale in mano all’hacker che ha fregato gli hacker, il quale sarebbe stato in grado di svuotare i server della compagnia penetrando nei pc di Christian Pozzi e Mauro Romeo, amministratori di sistema della Hacking Team, nel corso delle ore attaccata e derisa da più fronti per gli scarsi accorgimenti che avrebbe preso per proteggere rete e dati societari. Oltre che per una serie di elementi, dai log dei collegamenti a siti porno nei pc aziendali alle elementari password utilizzate dagli impiegati del gruppo.

Entrare all’interno di una rete privata e penetrare, tra l’altro, nei sistemi di due amministratori di sistema, significa avere bachi nella sicurezza grandi abbastanza da essere ritenuti critici. È come se io rubassi a Fort Knox che è una città popolata dall’esercito. Dovrei essere decisamente stupido a provarci senza avere più che una garanzia di riuscirci.

Ora tutti si chiedono chi può esserci dietro questo attacco. In molti libri gialli si dice “l’assassino potrebbe essere ancora tra noi”. Chi sarà l’ingegnere sociale e chi l’inconsapevole?

Questo attacco però dimostra esattamente quanto affermavo alla Sapienza. Bisogna riflettere e pensare a cosa fare quando si è sotto attacco. Riflettere fuori dagli schemi, predisporre metodologie adeguate di risposta.

Riflettete…hanno rubato 400 GB capite? 400 GB che corrono sulla rete e nessuno vede e sente nulla.

La sicurezza non è tema per informatici, ascoltate un informatico. La sicurezza è tema per giuristi, letterati, esperti e solo dopo, per ultimi, per informatici. Qualche anno fa entrai in una struttura nella quale il proprietario, a seguito della manomissione della porta d’ingresso, aveva inventando un congegno che letteralmente “strappava” i cavi di alimentazione da alcune macchine. Alcuni sorrisero ritenendo stupida quella soluzione. Lui estrasse un foglio e disse.

Ho fatto stimare il valore dei dati in questi dischi. Hanno mediamente il triplo del valore del pezzo di HW. Preferisco che tutto vada distrutto piuttosto che rubato. Il danno sarebbe incalcolabile per me e i miei clienti.

È un approccio anche quello, forse radicale sì, ma sicuramente fuori dalla portata della media degli hacker e dei tecnici. In fondo, riflettiamoci un secondo, ancora oggi vengono vendute a circa 150 euro le buste con autodistruzione dei documenti.

Approcciare la sicurezza quindi non è solo installare un firewall, prendere un sistemista Linux, approntare delle difese software o hardware. È costruire un meccanismo armonico fatto da singole maglie in grado di funzionare assieme e all’unisono. Si passa dalla gestione dei dipendenti, dal controllo delle attività, al semplice buonsenso ma, soprattutto, all’etica e alla sensibilizzazione verso il proprio lavoro cosa che, a quanto si legge dall’articolo, i due amministratori di sistema non avrebbero avuto.