Violazioni di sistemi `sicuri`
Transcript
Violazioni di sistemi `sicuri`
Violazioni di sistemi ‘sicuri’ OPM FEDERALE, ANTHEM, HACKING TEAM. REGISTRO GENERALE DEL TRIBUNALE DI MILANO... Marco R. A. Bozzetti, OAI founder L’attenzione per la sicurezza informatica sembra crescere nei vertici aziendali delle grandi imprese a livello mondiale, data la crescita di attacchi informatici che mettono in crisi, talvolta fortemente, la loro continuità operativa, oltre alla loro immagine e reputazione. Tale crescente attenzione è sicuramente acuita dalle notizie, ormai quasi quotidiane e pubblicate anche sulla stampa nazionale non tecnica, di attacchi informatici e dei loro impatti. Numerosi gli attacchi ai sistemi informatici di grandi realtà statunitensi, dalla Anthem alla OPM federale, dalla United Airlines alla borsa di New York e al sito web del Wall Street Journal, tanto che lo stesso presidente Obama ha evidenziato in un suo discorso che ci sono significative vulnerabilità nei sistemi informatici americani. Anche in Italia gli attacchi continuano, e riguardano ambiti ritenuti, per le loro funzioni, altamente sicuri. Ecco alcuni degli attacchi che più hanno fatto parlare di sé. 92 settembre 2015 Milioni di identità digitali USA in mano al cyber crime Tra aprile e giugno 2015 è stato scoperto uno dei più grandi furti di identità digitali nella storia dell’informatica: decine di milioni di identità digitali con numerose informazioni riservate sottratte dal sistema informatico del personale del governo US (OPM, Office of Personnel Management). La scoperta è avvenuta in due momenti consecutivi: il primo ad aprile che ha individuato il furto di 4,1 milioni di informazioni personali relative ai dipendenti del Governo Federale. A giugno 2015 è stato scoperto il furto di informazioni personali più grande: 21,5 milioni di Social Security Number, 19,2 milioni di richieste di assunzione e di verbali sugli incontri e sulle verifiche effettuate coi possibili candidati e coi possibili ‘contractor’, 1,8 milioni di identità digitali di parenti o coabitanti dei dipendenti, più di 1 milione di impronte digitali. Le informazioni della banca dati OPM sono riservate e personali, e includono attuali e precedenti attività, contatti, amicizie, competenze, studi, interessi, situazione economica, malattie, viaggi, problemi personali e familiari. Il furto di tali informazioni può innescare scenari assai critici, soprattutto per il personale che svolge compiti decisionali o riservati o addirittura sotto copertura. Ma chi e come ha violato il sistema informatico di OMP, che si dovrebbe presumere altamente sicuro? Alla data della stesura del presente articolo non ci sono ancora certezze e le indagini sono in corso, così come non ci sono ancora indicazioni sull’uso criminale dei dati sottratti. Un elemento preoccupante sul livello di sicurezza è che l’attacco è partito più di un anno fa. L’attacco dovrebbe essere basato su qualche malware, incluso Sakula, e l’indagato principale qualche gruppo di hacker cinesi. Sakula, una volta installato su una macchina, può svolgere viarie funzioni, tra le quali accedere da remoto, lanciare programmi e shell, scaricare dati. Esso è già stato usato in attacchi ATP, in particolare in un attacco dalle caratteristiche simili a quello di OPM alla società di assicurazione medica Anthem, conosciuta anche come WellPoint, la seconda come dimensioni negli USA. In questo caso il furto di informazioni personali e mediche, sia dei dipendenti che dei clienti, riguarderebbe 80 milioni di individui Secondo autorevoli fonti del Department of Homeland Security (DHS), l’attacco a OPM rientrerebbe in un piano a lungo termine per il furto di informazioni nella Pubblica Amministrazione statunitense, chiamato ‘bulk personally identifiable information’. Esso costituirebbe uno dei 9 attacchi di questo genere già individuati nell’ultimo anno. DHS ha imposto per tutte le amministrazioni e agenzie statunitensi un piano a breve, entro 30 giorni, per ridurre le vulnerabilità dei loro sistemi informatici. L’attacco al Tribunale di Milano A fine giugno 2015 ha avuto larga pubblicità il blocco del Registro Generale (Re.Ge.) del Tribunale di Milano, causato da un ransomware involontariamente attivato da un link in un messaggio di posta elettronica che segnalava l’arrivo di un pacco postale da ritirare. Cliccando sul link, il malware si è attivato non solo nel pc che aveva aperto la posta, ma anche sulle cartelle condivise nella LAN del Tribunale fino al Re.Ge di tutto il Tribunale. Quest’ultima è un’applicazione molto datata, risale al 1989, e per tale motivo in continua manutenzione e con una banca dati ‘di scorta’ replicata. Questo ha permesso di ripristinare, pur con qualche disservizio, il sistema. Come evidenziato nel Rapporto 2015 OAI, i ransomware continuano ad essere diffusi in Italia, e nella maggior parte dei casi sono attivati con tecniche di social engineering, in primis phishing con allegati o con link malevoli. L’obsolescenza delle applicazioni enfatizza il fenomeno. Il caso Hacking Team Agli inizi di luglio un significativo attacco a una società di sicurezza informatica milanese, la Hacking Team, ha avuto larga risonanza anche a livello internazionale. Il furto di circa 400 GB ha reso pubblici documenti e messaggi riservati inerenti il prodotto di punta della società, Galileo - RCS, Remote Control System, venduto a numerose polizie e governi nel mondo. Sono stati anche rubati parti dei codici sorgente del prodotto (o tutti?), con conseguenze facilmente immaginabili. Scopo dichiarato di RCS-Galileo è il controllare, all’insaputa degli interlocutori, le loro comunicazioni via internet, le conversazioni VoIP, Skype incluso, di decifrare i loro file e le loro poste elettroniche, anche se criptate. Non solo: RCS è in grado di inserire file sul sistema target, come se fossero stati creati dagli utenti. Questo fatto potrebbe rimettere in seria discussione varie accuse e processi. L’uso di RCS ha consentito l’incriminazione e la cattura di numerosi malviventi e l’eliminazione delle loro organizzazioni criminali. Ma la creazione di false prove tramite lo strumento RCS, se provata, rimetterebbe in discussione sentenze, processi e indagini in corso, almeno nei paesi realmente democratici. La disponibilità del codice di RCS o di una sua parte, attualmente su Torrent, consente da un lato di individuarlo in un prossimo futuro tramite gli antimalware, dall’altro la creazione di suoi derivati, magari migliorati e più potenti, da parte del cyber crime. Hacking Team è da tempo nel mirino di organizzazioni per i diritti umani e la tutela della privacy che l’accusano di fornire i suoi servizi anche a regimi dittatoriali e violenti. La società ha sempre negato. Non sono al momento note le modalità con cui è stato attuato l’attacco, e nemmeno chi lo ha attuato. Le ipotesi più realistiche includono l’opera di hacktivist contrari alle attività di Hacking Team, l’opera di concorrenti che hanno così fortemente compromesso immagine e reputazione della società, e infine l’opera di qualcuno all’intero dell’azienda. Anche in questo ultimo caso le motivazioni possono essere varie, ma riconducibili a due tipologie: contrasti interni e relativa ‘vendetta’, oppure collegamenti con enti esterni. L’attacco ad Hacking Team facilmente ricorda la metafora del ciabattino con le scarpe rotte. Ma non erano ben protetti? Ma non se ne sono accorti subito, bloccando l’attacco? Non conosco le misure tecniche e organizzative in atto, e il livello di sicurezza garantito. Anche questo caso, però, conferma che la sicurezza informatica assoluta non esiste e che occorre comunque predisporre soluzioni di recovery, incluse quelle legali, per poter far fronte ad attacchi magari non previsti e prevedibili. Marco R. A. Bozzetti, OAI founder [email protected] settembre 2015 93