Violazioni di sistemi `sicuri`

Violazioni
di sistemi ‘sicuri’
OPM FEDERALE, ANTHEM,
HACKING TEAM.
REGISTRO GENERALE
DEL TRIBUNALE DI MILANO...
Marco R. A. Bozzetti,
OAI founder
L’attenzione per la sicurezza
informatica sembra crescere nei
vertici aziendali delle grandi imprese
a livello mondiale, data la crescita
di attacchi informatici che mettono
in crisi, talvolta fortemente, la loro
continuità operativa, oltre alla
loro immagine e reputazione. Tale
crescente attenzione è sicuramente
acuita dalle notizie, ormai quasi
quotidiane e pubblicate anche
sulla stampa nazionale non tecnica,
di attacchi informatici e dei loro
impatti. Numerosi gli attacchi ai
sistemi informatici di grandi realtà
statunitensi, dalla Anthem alla OPM
federale, dalla United Airlines alla
borsa di New York e al sito web
del Wall Street Journal, tanto che
lo stesso presidente Obama ha
evidenziato in un suo discorso che
ci sono significative vulnerabilità nei
sistemi informatici americani. Anche
in Italia gli attacchi continuano, e
riguardano ambiti ritenuti, per le
loro funzioni, altamente sicuri. Ecco
alcuni degli attacchi che più hanno
fatto parlare di sé.
92
settembre 2015
Milioni di identità digitali USA in
mano al cyber crime
Tra aprile e giugno 2015 è stato
scoperto uno dei più grandi furti
di identità digitali nella storia
dell’informatica: decine di milioni
di identità digitali con numerose
informazioni riservate sottratte dal
sistema informatico del personale
del governo US (OPM, Office
of Personnel Management). La
scoperta è avvenuta in due momenti
consecutivi: il primo ad aprile che
ha individuato il furto di 4,1 milioni
di informazioni personali relative ai
dipendenti del Governo Federale.
A giugno 2015 è stato scoperto il
furto di informazioni personali più
grande: 21,5 milioni di Social Security
Number, 19,2 milioni di richieste
di assunzione e di verbali sugli
incontri e sulle verifiche effettuate
coi possibili candidati e coi possibili
‘contractor’, 1,8 milioni di identità
digitali di parenti o coabitanti dei
dipendenti, più di 1 milione di
impronte digitali. Le informazioni
della banca dati OPM sono riservate
e personali, e includono attuali
e precedenti attività, contatti,
amicizie, competenze, studi,
interessi, situazione economica,
malattie, viaggi, problemi personali e
familiari. Il furto di tali informazioni
può innescare scenari assai critici,
soprattutto per il personale che
svolge compiti decisionali o riservati
o addirittura sotto copertura. Ma
chi e come ha violato il sistema
informatico di OMP, che si dovrebbe
presumere altamente sicuro? Alla
data della stesura del presente
articolo non ci sono ancora
certezze e le indagini sono in corso,
così come non ci sono ancora
indicazioni sull’uso criminale dei dati
sottratti. Un elemento preoccupante
sul livello di sicurezza è che l’attacco
è partito più di un anno fa. L’attacco
dovrebbe essere basato su qualche
malware, incluso Sakula, e l’indagato
principale qualche gruppo di hacker
cinesi. Sakula, una volta installato
su una macchina, può svolgere
viarie funzioni, tra le quali accedere
da remoto, lanciare programmi e
shell, scaricare dati. Esso è già stato
usato in attacchi ATP, in particolare
in un attacco dalle caratteristiche
simili a quello di OPM alla società
di assicurazione medica Anthem,
conosciuta anche come WellPoint,
la seconda come dimensioni negli
USA. In questo caso il furto di
informazioni personali e mediche,
sia dei dipendenti che dei clienti,
riguarderebbe 80 milioni di individui
Secondo autorevoli fonti del
Department of Homeland Security
(DHS), l’attacco a OPM rientrerebbe
in un piano a lungo termine per il
furto di informazioni nella Pubblica
Amministrazione statunitense,
chiamato ‘bulk personally identifiable
information’. Esso costituirebbe uno
dei 9 attacchi di questo genere già
individuati nell’ultimo anno. DHS ha
imposto per tutte le amministrazioni
e agenzie statunitensi un piano a
breve, entro 30 giorni, per ridurre
le vulnerabilità dei loro sistemi
informatici.
L’attacco al Tribunale di Milano
A fine giugno 2015 ha avuto larga
pubblicità il blocco del Registro
Generale (Re.Ge.) del Tribunale di
Milano, causato da un ransomware
involontariamente attivato da un link
in un messaggio di posta elettronica
che segnalava l’arrivo di un pacco
postale da ritirare. Cliccando sul link,
il malware si è attivato non solo nel
pc che aveva aperto la posta, ma
anche sulle cartelle condivise nella
LAN del Tribunale fino al Re.Ge
di tutto il Tribunale. Quest’ultima
è un’applicazione molto datata,
risale al 1989, e per tale motivo
in continua manutenzione e con
una banca dati ‘di scorta’ replicata.
Questo ha permesso di ripristinare,
pur con qualche disservizio, il
sistema. Come evidenziato nel
Rapporto 2015 OAI, i ransomware
continuano ad essere diffusi in
Italia, e nella maggior parte dei
casi sono attivati con tecniche di
social engineering, in primis phishing
con allegati o con link malevoli.
L’obsolescenza delle applicazioni
enfatizza il fenomeno.
Il caso Hacking Team
Agli inizi di luglio un significativo
attacco a una società di sicurezza
informatica milanese, la Hacking
Team, ha avuto larga risonanza
anche a livello internazionale. Il
furto di circa 400 GB ha reso
pubblici documenti e messaggi
riservati inerenti il prodotto di
punta della società, Galileo - RCS,
Remote Control System, venduto
a numerose polizie e governi nel
mondo. Sono stati anche rubati parti
dei codici sorgente del prodotto (o
tutti?), con conseguenze facilmente
immaginabili. Scopo dichiarato
di RCS-Galileo è il controllare,
all’insaputa degli interlocutori, le
loro comunicazioni via internet, le
conversazioni VoIP, Skype incluso, di
decifrare i loro file e le loro poste
elettroniche, anche se criptate. Non
solo: RCS è in grado di inserire
file sul sistema target, come se
fossero stati creati dagli utenti.
Questo fatto potrebbe rimettere
in seria discussione varie accuse e
processi. L’uso di RCS ha consentito
l’incriminazione e la cattura di
numerosi malviventi e l’eliminazione
delle loro organizzazioni criminali.
Ma la creazione di false prove
tramite lo strumento RCS, se
provata, rimetterebbe in discussione
sentenze, processi e indagini in
corso, almeno nei paesi realmente
democratici. La disponibilità del
codice di RCS o di una sua parte,
attualmente su Torrent, consente
da un lato di individuarlo in un
prossimo futuro tramite gli antimalware, dall’altro la creazione di
suoi derivati, magari migliorati e più
potenti, da parte del cyber crime.
Hacking Team è da tempo nel
mirino di organizzazioni per i diritti
umani e la tutela della privacy che
l’accusano di fornire i suoi servizi
anche a regimi dittatoriali e violenti.
La società ha sempre negato. Non
sono al momento note le modalità
con cui è stato attuato l’attacco,
e nemmeno chi lo ha attuato. Le
ipotesi più realistiche includono
l’opera di hacktivist contrari alle
attività di Hacking Team, l’opera
di concorrenti che hanno così
fortemente compromesso immagine
e reputazione della società, e
infine l’opera di qualcuno all’intero
dell’azienda. Anche in questo
ultimo caso le motivazioni possono
essere varie, ma riconducibili a due
tipologie: contrasti interni e relativa
‘vendetta’, oppure collegamenti con
enti esterni. L’attacco ad Hacking
Team facilmente ricorda la metafora
del ciabattino con le scarpe rotte.
Ma non erano ben protetti? Ma non
se ne sono accorti subito, bloccando
l’attacco? Non conosco le misure
tecniche e organizzative in atto, e il
livello di sicurezza garantito. Anche
questo caso, però, conferma che la
sicurezza informatica assoluta non
esiste e che occorre comunque
predisporre soluzioni di recovery,
incluse quelle legali, per poter
far fronte ad attacchi magari non
previsti e prevedibili.
Marco R. A. Bozzetti, OAI founder
[email protected]
settembre 2015
93