Rapporto semestrale 2014/1

Transcript

Organo direzione informatica della Confederazione ODIC
Servizio delle attività informative della Confederazione SIC
Centrale d’annuncio e d’analisi per la sicurezza dell’informazione MELANI
www.melani.admin.ch
Sicurezza dell’informazione
La situazione in Svizzera e a livello internazionale
Rapporto semestrale 2014/1 (gennaio – giugno)
MELANI – Rapporto semestrale 2014/I
Sicurezza dell’informazione – La situazione in Svizzera e a livello internazionale
Indice
1
Argomenti principali dell’edizione 2014/1 .................................................................. 3
2
Introduzione ................................................................................................................. 4
3
Situazione attuale delle infrastrutture TIC a livello nazionale ................................... 5
3.1
3.2
3.3
3.4
3.5
3.6
3.7
4
Situazione attuale delle infrastrutture TIC a livello internazionale ......................... 14
4.1
4.2
4.3
4.4
4.5
4.6
4.7
4.8
4.9
4.10
4.11
4.12
4.13
4.14
5
Heartbleed nell’OpenSSL ............................................................................... 14
Casi di spionaggio .......................................................................................... 17
Attacchi contro impianti industriali occidentali................................................. 18
Conflitti nello spazio cibernetico ..................................................................... 20
NSA – ulteriori pubblicazioni .......................................................................... 20
Reattività dei truffatori di fronte all’attualità ..................................................... 23
Perturbazioni della sicurezza aerea a seguito di esercitazioni militari? ........... 24
Scoperta e furto di password .......................................................................... 24
Nuove varianti di DDoS .................................................................................. 26
Attacchi alle monete virtuali ............................................................................ 27
Successi registrati nei confronti dei truffatori .................................................. 27
Vulnerabilità dei sistemi cibernetici fisici ......................................................... 28
I router bersaglio di attacchi ........................................................................... 30
L’obbligo di conservazione dei dati viola la legislazione dell’UE ..................... 31
Tendenze / Prospettive .............................................................................................. 33
5.1
5.2
5.3
5.4
5.5
6
Tentativi di truffa ai danni di imprese svizzere .................................................. 5
Phishing – elaborato su misura per la Svizzera ................................................ 5
Un maggior numero di server C&C in Svizzera – una tendenza? ..................... 9
E-mail attaccata dagli hacker – colpita una deputata cantonale ..................... 10
Metodi moderni di allarme – possibilità e limiti................................................ 12
Dati sensibili visibili ........................................................................................ 12
Finestre insolite durante le sessioni di e-banking ........................................... 13
L’ingegneria sociale: una minaccia multiforme ............................................... 33
Media e giornalisti: bersagli attraenti .............................................................. 34
Evoluzioni in Internet dopo Snowden ............................................................. 36
Autentificazione a due fattori per tutti i servizi................................................. 38
Interventi parlamentari ................................................................................... 39
Glossario .................................................................................................................... 41
2/47
1 Argomenti principali dell’edizione 2014/1
• Falla di scurezza in una libreria crittografica fondamentale
Una falla nell’OpenSSL – una delle principali librerie crittografiche - resa pubblica il 7 aprile 2014 - ha interessato direttamente o indirettamente innumerevoli
utenti di Internet. L’OpenSSL è installato come standard su numerosi web server
e servizi Internet per rendere sicura la comunicazione. Attraverso questa lacuna
ormai nota, gli hacker possono visualizzare una parte della memoria del server
in questione dove si trovano per un breve periodo di tempo i dati trasferiti dagli
utenti.
► Situazione attuale a livello internazionale: capitolo 4.1
• Social engineering – una minaccia multiforme
Gli attacchi di social engineering sfruttano la disponibilità, la buona fede e
l’insicurezza delle persone per accedere per esempio a dati confidenziali o per
indurre le vittime a effettuare determinate operazioni. Gli esempi nei quali questi
metodi sono stati posti in atto sono numerosi e spesso sono citati nell’ambito dei
rapporti semestrali di MELANI. Anche nel corso dei primi sei mesi del 2014
MELANI ha ricevuto numerose comunicazioni da parte di imprese svizzere oggetto di tentativi di truffa con metodi di ingegneria sociale. Attualmente tutte le
imprese attive in Svizzera costituiscono bersagli potenziali di attacchi che ricorrono a metodi di ingegneria sociale, qualunque siano le loro dimensioni e il loro
settore di attività.
► Situazione attuale in Svizzera: capitolo 3.1
► Tendenze / Prospettive: capitolo 5.1
• Tentativi di phishing – elaborati su misura per la Svizzera
Nel primo semestre del 2014 si è nuovamente assistito a un numero sorprendentemente elevato di tentativi di phishing. Oltre alle e-mail di apparente provenienza internazionale si sono anche osservate alcune e-mail scritte su misura
per la Svizzera. In questo caso i criminali hanno preso di mira soprattutto le carte di credito delle vittime.
► Situazione attuale in Svizzera: capitolo 3.2
• Evoluzioni in Internet dopo il caso Snowden
La «sfera privata in Internet» ha risentito notevolmente in seguito alle prime rivelazioni di Snowden. Il singolo utente è piuttosto indifeso di fronte a questi sviluppi. Ma quali sviluppi su Internet sono cambiati in seguito alle conoscenze acquisite lo scorso anno dal caso Snowden? Questa questione, discussa in generale
nell’ultimo rapporto semestrale, viene approfondita e descritta sulla base di
esempi concreti nel presente rapporto.
► Tendenze / Prospettive: capitolo 5.3
• Attacchi contro impianti industriali occidentali
Alla fine del mese di giungo 2014 è stata resa pubblica una campagna di spionaggio e di (preparazione di) sabotaggi diretta contro impianti industriali e fornitori di energia occidentali. Secondo alcune indicazioni il gruppo di hacker, battezzato dalle ditte di sicurezza «Energetic Bear », «Crouching Yeti » o «Dragonfly », potrebbe essere stato attivo fin dal 2010. Gli attacchi venuti ora alla luce si
sono succeduti dal febbraio 2013 in diverse fasi e seguendo più percorsi.
3/47
2 Introduzione
Il diciannovesimo rapporto semestrale (gennaio – giugno 2014) della Centrale d’annuncio e
d’analisi per la sicurezza dell’informazione (MELANI) spiega le principali tendenze nel campo
dei pericoli e dei rischi che accompagnano le tecnologie dell’informazione e della comunicazione (TIC). Esso presenta un compendio degli avvenimenti in Svizzera e all’estero, illustra i
principali sviluppi in ambito di prevenzione e presenta in sintesi le attività più importanti degli
attori statali e privati. Le spiegazioni dei concetti di natura tecnica o specialistica (termini in
corsivo) sono riunite in un glossario (capitolo 6) alla fine del presente rapporto. Le valutazioni di MELANI sono di volta in volta evidenziate dal loro colore.
I temi scelti del presente rapporto semestrale sono accennati nel capitolo 1.
I capitoli 3 e 4 abbordano le avarie e i crash, gli attacchi, la criminalità e il terrorismo che
presentano relazioni con le infrastrutture TIC. Per il tramite di esempi scelti sono illustrati i
principali avvenimenti della prima metà del 2014. In merito il capitolo 3 tratta i temi nazionali,
il capitolo 4 i temi internazionali.
Il capitolo 5 presenta le tendenze e una prospettiva delle evoluzioni attese.
Il capitolo 5.5 contiene una scelta di interventi parlamentari con riferimento alle tematiche
della sicurezza dell’informazione.
4/47
3 Situazione attuale delle infrastrutture TIC a livello
nazionale
3.1 Tentativi di truffa ai danni di imprese svizzere
Nel corso dei primi sei mesi del 2014 MELANI ha ricevuto numerose comunicazioni da parte
di imprese svizzere oggetto di tentativi di truffa con metodi di ingegneria sociale («social engineering»). Prima dell’attacco viene effettuato un lavoro di informazione sull’impresa bersaglio, volto a farsi un’idea precisa dell’ambiente mirato: settore di attività, posti chiave, modelli
utilizzati per la posta elettronica. Successivamente viene inviata a un collaboratore del servizio di contabilità un’e-mail che sembra provenire da un quadro dirigente, ma che ne imita in
realtà la sua posta elettronica. Il contabile viene informato di un’operazione commerciale
confidenziale in corso e messo in contatto con uno «studio legale» incaricato di fornirgli le
indicazioni in vista del versamento. Anche qui i truffatori si spacciano per uno studio legale
esistente. I truffatori insistono in particolare sul carattere eccezionale della richiesta, sulla
necessità di discrezione e anche sull’urgenza della situazione. Talvolta vengono anche effettuate chiamate telefoniche parallele o preliminari all’attacco per sostenere lo scenario e incitare il bersaglio a effettuare un versamento a un conto controllato dai truffatori.
Si ricorre anche a metodi di ingegneria sociale, un tipo specifico di truffa che nel 2014 ha peraltro colpito diversi istituti bancari in Svizzera. Si tratta nella fattispecie di una delle possibili
modalità di valorizzare degli account di posta elettronica piratati, ad esempio grazie a un metodo di phishing. In questo genere di modus operandi i truffatori analizzano i conti di posta
elettronica ai quali hanno potuto accedere. Essi vi ricercano specificamente le comunicazioni
che il titolare del conto avrebbe potuto avere con la propria banca. In seguito i truffatori scrivono ai collaboratori della banca in questione, spacciandosi per il loro cliente, e chiedono loro di effettuare un trasferimento di denaro a un conto che essi controllano all’estero1.
Di fronte a questi fenomeni diretti contro le imprese, la regola di base consiste nel non fornire
nessuna informazione interna e nel non effettuare nessuna operazione nel caso di prese di
contatto che sembrano dubbie o insolite. Si raccomanda fortemente di verificare telefonicamente la legittimità di una richiesta o di un contatto, se essa sembra dubbia o insolita. I processi, in particolare quelli riguardanti i trasferimenti di denaro, dovrebbero essere chiaramente definiti all’interno dell’impresa e seguiti in ogni circostanza. MELANI raccomanda di evidenziare in particolare la prevenzione del personale nei confronti di questi fenomeni, in particolare del personale che occupa posti chiave.
3.2 Phishing – elaborato su misura per la Svizzera
Nel primo semestre del 2014 si è nuovamente assistito a un numero sorprendentemente
elevato di tentativi di phishing. Oltre alle e-mail di apparente provenienza internazionale si
sono anche osservate alcune e-mail scritte su misura per la Svizzera. In questo caso i criminali hanno preso di mira soprattutto le carte di credito delle vittime.
1
http://www.tio.ch/News/Ticino/803356/Pirata-informatico-preleva-un-milione-di-franchi-da-un-conto-luganese/ (stato: 1° settembre 2014).
5/47
L’offerta speciale di cioccolato
Nel febbraio di quest’anno si è assistito a un attacco preparato su misura per la Svizzera. In
un’e-mail indirizzata a un vasto numeri di destinatari, si affermava che il produttore di cioccolato Läderach proponeva un’offerta promozionale di praliné. Era possibile pagare direttamente e comodamente sul sito Internet con carta di credito. Solo osservando attentamente
l’indirizzo web si poteva capire che non era esatto: infatti era leaderach.ch invece di laederach.ch. La pagina Internet sulla quale dovevano essere inseriti i dati della propria carta di
credito non era crittografata.
Figura 1: Il sito di phishing -sembra appartenere al produttore di cioccolato Läderach.
La ditta Läderach ha pubblicato tempestivamente un’informazione in merito sul proprio sito
Internet. MELANI dal canto suo ha tentato di togliere dalla rete il sito Internet falsificato. Tuttavia, si sono susseguiti numerosi altri attacchi di questo genere. Gli attacchi sono poi cessati improvvisamente. È probabile che nella truffa siano incappate soltanto troppo poche vittime
perché ne valesse la pena per i truffatori.
Utilizzo abusivo del logo dell’Amministrazione federale a scopo di phishing
Un’altra ondata di phishing, osservata per la prima volta nel 2014, è stata decisamente più
accanita. I truffatori hanno tentato a più riprese di accedere per e-mail ai dati delle carte di
credito di utenti di Internet spacciandosi per l’Ufficio federale dell’energia (UFE) o per SvizzeraEnergia. I destinatari dell’attacco sono stati adescati con un presunto rimborso di CHF
165.00 che sarebbe ancora stato loro dovuto. Per consentirne il versamento ci si doveva collegare al sito Internet indicato. In questo sito – di aspetto sorprendentemente veritiero – non
si chiedeva soltanto il nome e l’indirizzo, ma anche il numero di carta di credito, compresi la
data di scadenza e il codice di verifica.
6/47
Figura 2: Il sito di phishing sembra appartenere all’Ufficio federale dell’energia.
Anche in questo caso è stato pubblicato un avvertimento da parte dell’UFE, come pure da
parte del Servizio nazionale di coordinazione per la lotta contro la criminalità su Internet
(SCOCI) e di MELANI. Si è inoltre tentato di disattivare rapidamente i siti di phishing. Tale disattivazione inizialmente non è riuscita in maniera ottimale sebbene i siti Internet si trovassero sempre sul medesimo server (basato in Repubblica Ceca). Appena un sito Internet veniva
disattivato, veniva messo in rete il successivo. Nel frattempo il processo di disattivazione è
stato ottimizzato in modo da poterlo disattivare nel giro di alcuni minuti in caso di evento.
Nonostante ciò si osservano regolarmente ulteriori ondate di phishing di questo genere.
Entrambi questi esempi mostrano quanto sia importante una reazione rapida, proprio fin dai
primi tentativi di una nuova variante. Infatti gli attacchi cessano in genere rapidamente se è
possibile sopprimere già in nuce le prime ondate e ridurre a un minimo i successi degli aggressori. In caso di mancata riuscita diviene più difficile arrestare le ondate di attacchi anche
se si accelerano i processi di disattivazione dei siti Internet, limitando in tal modo notevolmente i successi degli hacker.
Tentativi di phishing camuffati come sondaggi
Nel caso di un tentativo di phishing con utilizzo abusivo del logo di Swisscom si è ricorso a
un altro modo di procedere. Nella fattispecie le vittime venivano adescate mediante un sondaggio. Sono state innanzitutto poste dieci domande sui prodotti e sulla qualità delle prestazioni di servizi dell’impresa. Alla fine del sondaggio venivano poi chiesti il nome e l’indirizzo,
ma anche i dati della carta di credito rientravano tra le informazioni da fornire obbligatoriamente. Le intenzioni degli hacker erano chiare: le dieci domande senz’altro sensate erano
destinate a dissipare i dubbi delle vittime. Per quale altro motivo un truffatore dovrebbe condurre un sondaggio tra i clienti?
7/47
Figura 3: A sinistra una delle dieci domande; a destra è visibile un modulo sul quale devono essere indicati i dati della carta di
credito con la dicitura «Questo campo è obbligatorio».
I tentativi attuali di phishing mostrano che per i destinatari di e-mail sta diventando sempre
più difficile riconoscerli come tali. In genere si raccomanda prudenza nel caso delle e-mail
che richiedono l’indicazione di dati personali. Se nell’e-mail si chiedono password o dati di
carte di credito non necessari, molto probabilmente si tratta di un tentativo di truffa. Questa è
la ragione per la quale MELANI richiama regolarmente l’attenzione nei suoi avvisi: «Nessuna
impresa richiede per e-mail dati di accesso, password o dati di carte di credito».
Questa affermazione, che sembra semplice di primo acchito, pone le imprese di fronte a determinate sfide nell’epoca della comunicazione elettronica con la clientela. Come deve comunicare l’impresa con i propri clienti affinché essi non considerino la comunicazione come
e-mail fraudolenta? Ma ancora più importante: una comunicazione troppo alla leggera dell’impresa con i propri clienti può anche influenzarne negativamente il comportamento nei
confronti delle e-mail fraudolente.
Il fatto che si tratta di una tematica da prendere sul serio è dimostrato da presunte comunicazioni di phishing da parte della popolazione, che provengono in realtà da un’azienda seria.
L’esempio più evidente comunicato a MELANI nel corso del primo semestre proviene da
PayPal. In questo caso i destinatari sono stati invitati ad aggiornare i dati delle loro carte di
credito. I link al sito Internet era nascosto dietro un pulsante, cosicché non si poteva verificare e constatare facilmente sotto quale URL era registrato il sito. L’e-mail proveniva effettivamente da PayPal.
8/47
Figura 4: Comunicazione di un’e-mail di phishing che non lo è affatto. L’e-mail proveniva effettivamente da PayPal.
In casi del genere si raccomanda di NON cliccare in nessun caso il link nell’e-mail, ma di digitare manualmente l’URL nella riga dell’indirizzo del browser e quindi di navigare verso il sito corrispondente. In caso di dubbio ci si dovrebbe informare direttamente presso l’azienda.
Le aziende dovrebbero osservare i seguenti punti nell’invio di newsletter:
• inviare le e-mail possibilmente in formato testo;
• inviare le e-mail contenenti newsletter possibilmente con regolarità;
• inserire link nelle e-mail con parsimonia e limitarli ai propri domini;
• se possibile, usare link a siti crittografati (https://...) e comunicarli anche ai destinatari;
• non fornire link a siti Internet che richiedono il nome dell’utente e la password oppure altri
dati;
• rinviare alla newsletter sulla homepage del sito Internet;
• rivolgersi ai
disponibile.
clienti
con
nome
e
cognome,
purché
questa
informazione
sia
3.3 Un maggior numero di server C&C in Svizzera – una
tendenza?
La maggior parte dei computer infettati sono sorvegliati e comandati da uno più server di
controllo. Questi server, denominati «botnet command & control server» (server di comando
e controllo di botnet, abbr. «C&C») controllano le funzioni del pertinente malware. Nell’ultimo
semestre sono aumentate notevolmente le comunicazioni relative a server del genere localizzati in Svizzera. Anche MELANI ha potuto viepiù identificare e rendere inoffensivi server
C&C. Rispetto ai due anni precedenti 2012/2013 il numero di server C&C di botnet comunicati o individuati è più che raddoppiato in Svizzera.
9/47
Figura 5: Numero di server C&C di botnet individuati in Svizzera.
Per gran parte delle infrastrutture individuate si tratta di server C&C utilizzati per comandare
computer infettati da cavalli di Troia che attaccano l’e-banking – come ad esempio ZeuS, Citadel o KINS. Oltre a questi malware che attaccano solitamente un grande numero di utenti
di Internet, anche l’attenzione di MELANI è stata richiamata sulle infrastrutture utilizzate per
attacchi mirati a organizzazioni governative. Nel caso di tali attacchi si parla in gergo specialistico di un «Advanced Persistent Threat (APT)». Si sospetta che in molti di questi casi la
presenza di tentativi di spionaggio da parte di attori esteri.
Si pone quindi la questione del motivo per il quale criminali informatici, che operano in genere dall’estero, e altri attori utilizzino abusivamente la piazza Internet Svizzera per tali azioni.
Oltre al fatto che la Svizzera offre un’infrastruttura di gran pregio, bene collegata a Internet,
occorre d’altra parte tenere sicuramente conto dell’ottimo sviluppo della protezione dei dati in
Svizzera. La polizia e i servizi di intelligence operano all’interno di un quadro legale rigoroso
che devono rispettare quando operano su Internet. Nell’ottica del caso Snowden si tratta di
un vantaggio (legato alla piazza) che attrae le imprese sensibilizzate alla protezione dei dati
e alla sfera privata e anche le persone private. Inoltre le circostanze menzionate qui sopra
rendono attraente la piazza Internet svizzera ai cittadini e alle organizzazioni estere che intendono sottrarsi ai controlli in parte rigidi su Internet nel loro Paese. Purtroppo anche i criminali informatici sanno sfruttare queste circostanze per il proprio tornaconto.
Anche alcuni provider esteri di hosting hanno preso atto della situazione favorevole in Svizzera e hanno recentemente esteso la loro offerta al nostro Paese, tentando di attirare la
clientela con l’«offshore hosting di qualità svizzera». Questi provider di hosting chiudono sovente entrambi gli occhi quando si tratta di contenuti e infrastrutture dubbi che sono ospitati
sui server svizzeri.
MELANI verifica le comunicazioni di cittadini e di partner in merito a siffatte infrastrutture criminali e se necessario coinvolge i servizi corrispondenti a livello cantonale e federale.
3.4 E-mail attaccata dagli hacker – colpita una deputata
cantonale
Le e-mail in cui si afferma che una persona è bloccata all’estero e ha perso tutto il denaro
sono già note da molti anni. Nel loro contesto, con i dati di accesso rubati si accede
all’account di posta elettronica del mittente. Dopodiché il messaggio viene indirizzato a tutti o
a singoli contatti dell’account. Nel caso di queste e-mail si tratta perlopiù di false chiamate di
soccorso secondo le quali il mittente è bloccato da qualche parte all’estero ed è stato deru10/47
bato del suo cellulare, del suo denaro e del suo passaporto. Alla fine si chiede un versamento di denaro. MELANI riceve tuttora alcune comunicazioni di questo genere. Nemmeno i politici ne sono immuni. Dopo il caso che ha colpito due anni or sono il deputato Josef Brägger2,
la stessa sorte è toccata nell’aprile del 2014 a Rosmarie Heiniger, deputata cantonale del
PLR e sindaco di Gänsbrunnen3. Gli hacker hanno inviato in suo nome un’e-mail a tutti i contatti, secondo la quale la Heiniger si trovava in una situazione d’emergenza durante le proprie vacanze in Sudafrica e necessitava urgentemente di un aiuto finanziario. In un simile
caso può essere utile spiegare la situazione a tutti i possibili destinatari che figurano nella
propria rubrica, preferibilmente attraverso un indirizzo alternativo di posta elettronica o per
telefono/SMS. I truffatori si sono tuttavia preparati a questa misura che riduce notevolmente
le loro possibilità di successo e cancellano tempestivamente la rubrica e tutte le e-mail. A tutte le preoccupazioni e domande dei destinatari si aggiunge anche la perdita di tutti i contatti
e dell’intera corrispondenza e-mail.
Poiché attualmente le e-mail di solito non vengono scaricate e salvate sul computer, ma
possono essere elaborate via webmail e quindi su un cloud, spesso gli utenti considerano
superfluo fare un backup. La maggior parte degli utenti delega inconsapevolmente questo
compito ai provider di posta elettronica. Essi partono dall’idea che i provider provvedono al
backup. Ciò è vero nella misura in cui il provider effettua dal canto suo un backup per tutelarsi da problemi tecnici (ad es. guasti dei server). Tuttavia, in caso di accesso non autorizzato a un account e di cancellazione intenzionale dei suoi dati – anche tramite il regolare processo comandato dall’utente – il backup del provider ha un’utilità limitata. Si raccomanda
quindi urgentemente di effettuare un proprio backup regolare dei contatti e anche delle email.
I truffatori accedono generalmente ai dati mediante phishing. Nel frattempo numerosi tentativi di phishing mirano direttamente o indirettamente ai dati di login della posta elettronica. Una
variante in circolazione già da parecchio tempo lascia intendere che si deve ricevere un documento confidenziale. Per scaricare il documento in questione occorre cliccare su un link.
Si viene successivamente invitati a selezionare il provider di posta elettronica e a digitare il
proprio nome di utente e la password, che sono poi inviati ai truffatori.
Figura 6: Sito di phishing per accedere ai dati di login della posta elettronica.
2
http://www.tagblatt.ch/ostschweiz/thurgau/kantonthurgau/tz-tg/Kantonsrat-von-Unbekannten-gehackt;art123841,2977642
(stato: 1° settembre 2014).
3
http://www.oltnertagblatt.ch/solothurn/thal-gaeu-niederamt/kantonsraetin-rosmarie-heiniger-wird-opfer-eines-hacker-angriffs127848961 (stato: 1° settembre 2014).
11/47
3.5 Metodi moderni di allarme – possibilità e limiti
Tutti gli anni in Svizzera si effettua un test delle sirene d’allarme, così anche lo scorso 5 febbraio 2014. In tali circostanze l’informazione in caso di crisi avviene attraverso le autorità locali e le emittenti radio nazionali. Attraverso gli stessi canali verrebbe gestita la comunicazione in caso di crisi. Le emittenti nazionali della SRG/SSR sono protette in modo particolare
contro i guasti (cfr. in merito il Rapporto semestrale MELANI 2010/24). Tuttavia un numero
sempre maggiore di persone si informano oggigiorno anche via Internet, ad esempio sul sito
dell’Ufficio federale della protezione della popolazione (UFPP). Purtroppo proprio queste pagine non erano disponibili per un breve periodo il 5 febbraio 2014, data del test, e compariva
invece il messaggio di errore «Service unavailable» («Servizio non disponibile»). Le pagine
in questione non erano in grado di sostenere una forte affluenza.
Un simile avvenimento solleva la questione a quale condizione nell’era digitale debbano essere utilizzate o no moderne tecnologie di comunicazione per dare l’allarme. A tale scopo
sono in corso diversi esperimenti. La pagina dell’UFPP è stata quindi migliorata dopo il test
d’allarme per resistere meglio a questi eventi. Inoltre vi sono diversi progetti per
l’integrazione di nuove tecnologie di comunicazione in questo settore. Ad esempio, gli abitanti del quartiere Matte di Berna già oggi sono informati dall’organo dei pompieri anche via
SMS sulla situazione attuale in caso di pericolo di piene del fiume. A Basilea dal 2012 esiste
un sistema di abbonamento SMS per le persone non in grado di percepire acusticamente
l’allarme delle sirene5. Anche l’UFPP sta attualmente valutando l’introduzione futura di un sistema di allarme via SMS. Concretamente l’UFPP persegue l’introduzione in futuro di un allarme SMS mediante il «cell broadcasting». In questo caso si invia un messaggio a tutti i cellulari che hanno attivato questo servizio e si trovano nella medesima cella di telefonia mobile.
Per tutti questi progetti non si tratta di sostituire il sistema di allarme esistente, bensì di completarlo. Si prendono così in considerazione i nuovi bisogni della popolazione e si ottimizza la
portata dell’allarme. L’UFPP esamina inoltre il ricorso ad altri canali di comunicazione per allertare e informare la popolazione, ad esempio tramite gli attuali sistemi di informazione dei
trasporti pubblici oppure mediante le reti sociali.
I sistemi TIC moderni suscitano sempre nuovi desideri anche in settori nei quali la sicurezza
riveste la massima importanza. Ne è un esempio l’utilizzo del GPS nella sicurezza dei voli6.
In molti casi di tratta di ricorrere a sistemi che possono essere gestiti a costi più contenuti.
Questa efficienza non deve essere però raggiunta a scapito della sicurezza. I sistemi TIC
possono al contrario offrire un complemento a sistemi di sicurezza più vecchi e più stabili,
come lo evidenziano ad esempio i messaggi SMS in caso di catastrofi.
3.6 Dati sensibili visibili
Il 31 marzo 2014 il quotidiano NZZ ha pubblicato un rapporto secondo il quale documenti relativi alle procedure di candidatura erano stati archiviati per lungo tempo e senza particolare
4
Rapporto semestrale MELANI 2010/2, capitolo 3.7:
http://www.melani.admin.ch/dokumentation/00123/00124/01122/index.html?lang=it (stato: 1° settembre 2014).
5
http://www.polizei.bs.ch/aktuell/gehoerlose-hoerbehinderte.html (stato: 1° settembre 2014).
6
12/47
protezione su server dell’Università di Basilea direttamente collegati a Internet e potevano
essere rintracciati con l’ausilio di un motore di ricerca7.
Complessivamente erano liberamente accessibili oltre 1500 documenti fra i quali si trovavano, tra l’altro, lettere di candidatura, attestati, lettere di raccomandazione e diplomi. Le candidature possono infatti contenere numerose informazioni che non si vorrebbero mettere a disposizione di chiunque, in particolare dell’attuale datore di lavoro.
L’Università di Basilea ne è stata informata da uno degli interessati. La falla nei dati è stata
immediatamente chiusa e gli interessati ne sono stati informati. Motivo di questa falla è stato
apparentemente un errore al momento della migrazione dei server al software attuale. I diritti
di accesso alle cartelle dei file non sono stati correttamente ripresi all’atto della migrazione. I
documenti archiviati fino a quel momento in directory protette sono così stati resi visibili a tutti. L’Università di Basilea attualmente suppone che i dati siano stati accessibili dal 27 febbraio 2014 al 15 marzo 2014.
L’accesso alle directory interessate è stato immediatamente bloccato dopo che si è venuti a
conoscenza di questo errore. Per ogni singolo documento è stata inoltre presentata a Google
una richiesta di cancellazione dalla cache dei suoi server. Questo processo dispendioso è
indispensabile perché la sola eliminazione dei documenti dai server non è sufficiente. I documenti pubblicati sono memorizzati temporaneamente dai motori di ricerca.
Questo genere di pubblicazioni fortuite sono ricorrenti8 e non possono mai essere evitate
completamente. Esistono comunque determinate linee guida, che MELANI divulga da parecchi anni, per ovviare a tali guasti. A livello di protezione dei dati si dà molta importanza alle
misure tecniche. Tuttavia ciò non basta. Il salvataggio dei dati è in gran parte legato anche a
misure organizzative. Al riguardo occorre attribuire una determinata rilevanza a ogni file.
Ogni file deve essere salvato e protetto in modo diverso a seconda della sua importanza.
Nella fattispecie ci si deve pertanto chiedere per quale motivo i file siano stati salvati su un
server accessibile tramite Internet. Una configurazione errata dei diritti di accesso può così
causare notevoli problemi.
3.7 Finestre insolite durante le sessioni di e-banking
Nel corso del primo semestre sono stati comunicati a MELANI numerosi casi di apertura di
finestre di sondaggio durante le sessioni di e-banking. Questo sondaggio consisteva di semplici domande, come ad esempio sul sesso, sull’età e sulle preferenze. Successivamente si
faceva credere all’utente di avere vinto un iPad o un iPhone. Il regalo desiderato poteva essere selezionato immediatamente cliccandoci sopra. Si veniva poi deviati su un sito Internet
denominato «Bogabids», apparentemente gestito da Flamingo Intervest, al quale appartiene
anche la ditta «Ziinga». Ziinga è già stata citata in un caso analogo precedente9. Si tratterebbe in realtà di offerte apparentemente gratuite, che comportano un canone di abbonamento.
Nel testo scritto in caratteri piccoli si legge che il regalo può essere richiesto soltanto se si
versa il contributo di adesione di almeno un mese. A seconda del tipo di abbonamento prescelto l’importo può raggiungere i 100 dollari. In nessun caso si è potuto accertare un nesso
7
http://www.nzz.ch/aktuell/startseite/heikles-datenleck-an-der-universitaet-basel-1°18273869 (stato: 1° settembre 2014).
8
9
13/47
con l’e-banking e non si è neppure constatata una diffusione di malware attraverso questi siti.
Figura 7: Popup che appare durante la sessione di e-banking.
La bandiera svizzera sul sito Web della figura 7 suggerisce che tale sito Internet provenga
dalla Svizzera, circostanza che dovrebbe suscitare fiducia. Da un’analisi più attenta del sito
Internet emerge che vi sono archiviate e inserite le bandiere di 29 Paesi a seconda
dell’obiettivo dell’attacco. Questo elenco spazia dall’Australia, al Belgio, al Brasile, alla Finlandia fino agli USA. Gli attacchi non sono pertanto diretti verso la sola Svizzera, ma contro
diversi Paesi. È altresì variabile l’inserimento del testo dell’azienda o dell’indirizzo Internet
posto a sinistra della bandiera (www.test.ch). Questa dicitura può essere generata a piacimento introducendo una variabile nell’indirizzo Internet. Gli inserimenti potrebbero essere
generati da cosiddetti adware presenti sul computer. Questo genere di programmi sono sovente integrati come complemento di programmi gratuiti, driver gratuiti o codec video e manipolano il computer in maniera tale da inserire pubblicità al momento della navigazione in
Internet.
4 Situazione attuale delle infrastrutture TIC a livello
internazionale
4.1 Heartbleed nell’OpenSSL
Una falla rilevata nell’OpenSSL – una delle principali librerie crittografiche – resa pubblica il 7
aprile 2014, concerne direttamente o indirettamente un grandissimo numero di utenti di Internet. OpenSSL è installato come standard su numerosi server web e servizi Internet per
garantire la comunicazione. Da un’analisi condotta dal fornitore di servizi TIC Netcraft emerge che il 17,5 per cento di tutti i siti SSL che utilizzano il certificato di un emittente (affidabile)
di certificati avevano implementato la funzione vulnerabile10.
Ciò era stato causato da una falla di sicurezza della funzione «Heartbeat». Questa funzione
provvede in realtà al mantenimento di una comunicazione sicura per un determinato lasso di
tempo ed evita che essa debba sempre essere reinizializzata. Attraverso questa falla ormai
nota gli hacker possono visualizzare una parte della memoria di lavoro del server in questio-
10
http://news.netcraft.com/archives/2014/04/08/half-a-million-widely-trusted-websites-vulnerable-to-heartbleed-bug.html (stato: 1° settembre 2014).
14/47
ne, segnatamente gli ultimi 64 kilobyte, dove si trovano anche, per un breve lasso di tempo, i
dati trasmessi dagli utenti. In tal modo sarebbe possibile leggere le password, i dati delle
transazioni, ma anche i dati del server, come ad esempio le chiavi private.
Questa falla ha colpito non soltanto i provider di posta elettronica o gli istituti finanziari, ma in
genere i servizi web che offrono un login crittografato e utilizzano un software vulnerabile.
Tuttavia, sono stati colpiti anche servizi Internet che non sono basati sul web, come ad
esempio le app per smartphone, i servizi di chat, le memorie cloud, i servizi di streaming, i
servizi di posta elettronica e gli accessi VPN.
Se era piuttosto difficile captare un record completo di dati, era invece molto probabile che
materiale relativo alle chiavi e ai dati di accesso finissero nelle mani degli hacker e fossero
utilizzati soltanto sucessivamente. Per questo motivo i provider colpiti hanno dovuto assolutamente installare nuovi certificati oltre che chiudere la falla.
MELANI ha informato tutti i gestori di infrastrutture informatiche critiche e il pubblico sulle misure da adottare11. Si è potuto constatare che nel complesso l’attuazione in Svizzera è stata
rapida ed efficiente. Si sono invece verificate difficoltà nell’ordinazione dei certificati. La
quantità di nuovi certificati da emettere ha spinto gli emittenti ai limiti delle loro capacità, con
la conseguenza che sono talvolta trascorsi più giorni prima che un nuovo certificato potesse
essere consegnato.
Aspetti tecnici e lezioni imparate
La falla di sicurezza nell’OpenSSL ha fatto sì che si tematizzasse nuovamente l’uso di Perfect Forward Secrecy (PFS). Il motivo che sta dietro è che gli hacker che hanno captato un
flusso di dati crittografato non possono decrittografarlo a quel momento. Sussiste comunque
il pericolo che nonostante ciò prima o poi gli hacker si impossessino della chiave.
«Heartbleed» è l’esempio emblematico di come si possa accedere alle chiavi e ai certificati
in un momento successivo.
È a questo punto che interviene Perfect Forward Secrecy: normalmente si utilizzano chiavi di
sessione che sono nuovamente concordate a brevi intervalli. Per questo motivo l’hacker non
è in grado di decrittografare l’intero traffico dei dati, ma soltanto una parte. Senza la PFS
queste chiavi di breve durata sono generate da una sola chiave di lunga durata. Se
quest’ultima viene rubata, poi è possibile ottenere tutte le chiavi delle sessioni e quindi decrittografare l’intero traffico di dati. Con la PFS non è possibile trarre successivamente conclusioni dalle chiavi di breve durata, anche se si conosce la chiave di lunga durata. Ciò è dovuto
al fatto che la chiave di lunga durata viene unicamente utilizzata per firmare le chiavi di breve
durata. Con queste chiavi viene concordata di volta in volta una chiave di sessione mediante
uno scambio di chiavi «Diffie-Hellman». Se un server è compromesso, l’hacker viene a conoscenza solo della chiave di firma di lunga durata e della chiave di sessione delle connessioni attive a quel momento. Le chiavi di sessione di connessioni precedenti sono già state
cancellate e non possono più essere ricostruite12.
A seguito della problematica OpenSSL sono tornate al centro dell’attenzione diverse varianti
di SSL che tentano di risolvere il problema della OpenSSL-library (all’altezza dei tempi, ma
contenente numerose funzioni raramente utilizzate). La seguente tabella presenta brevemente le diverse librerie SSL a fonte aperta:
11
http://www.melani.admin.ch/dienstleistungen/archiv/01564/index.html?lang=it (stato: 1° settembre 2014).
12
http://de.wikipedia.org/wiki/Perfect_Forward_Secrecy (stato: 1° settembre 2014).
15/47
Biblioteca
Descrizione
OpenSSL
La libreria tuttora utilizzata più fre- OpenSSL è attualmente oggetto di
quentemente.
un’intensa verifica del codice (code
review), destinata a scoprire ed eliminare ulteriori errori.
Uno sviluppo ulteriore di OpenSSL, Il software è stato elaborato dagli sviche elimina le funzioni non utilizzate luppatori di OpenBSD, che si sono
e contemporaneamente tenta di ri- fatti un ottimo nome nel settore del
manere, per quanto possibile pros- software sicuro.
simo a OpenSSL e di mantenere
semplici le migrazioni.
PolarSSL è stato sviluppato perché PolarSSL è disponibile in doppia liOpenSSL era diventato troppo gran- cenza, sia sotto GPL v2 sia come lide e complesso e si focalizza sulle cenza commerciale.
funzioni necessarie alle connessioni
TLS.
Nel complesso GnuTLS ha una fun- GnuTLS è stato sviluppato da lungo
zionalità analoga a quella di Open- tempo in alternativa a OpenSSL e fa
SSL. Sono emerse frequentemente parte del progetto GNU.
falle di sicurezza.
LibreSSL
PolarSSL
GnuTLS
Osservazioni
MELANI raccomanda in generale di configurare le connessioni crittografiche in maniera tale
da raggiungere la massima sicurezza possibile13.
Con riferimento al SSL/TLS ciò significa:
•
utilizzare soltanto cipher sicuri, come ad esempio
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
oppure
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
•
Rendere possibile la Perfect Forward Secrecy affinché in caso di compromissione di una
chiave privata il traffico di dati eventualmente registrato non possa essere decrittografato
successivamente. Ciò si ottiene con gli algoritmi menzionati sopra.
•
Le chiavi private vanno tuttavia conservate in maniera possibilmente sicura, idealmente
su un Hardware Security Module (HSM).
•
Utilizzo di HSTS (HTTP Strict Transport Security). Mediante HSTS il server comunica al
browser le modalità di uso delle connessioni crittografate. Si garantisce così che il browser comunichi con questo server soltanto in maniera crittografata e con certificati validi.
•
Evitare un mixed content (una parte del contenuto è trasmessa in maniera crittografata,
mentre l’altra parte rimane non crittografata). Se si mescolano contenuti crittografati con
altri che non lo sono, gli hacker possono ad esempio manipolare eventualmente le informazioni di sessione avvalendosi dei contenuti non -crittografati.
•
Ricorrere a una Certificate Authority (CA) affidabile. In generale e specialmente in caso di
un incidente è vantaggioso che la CA rientri nella medesima giurisdizione. A seconda
dell’orientamento dell’azienda e della situazione di minaccia si dovrebbe provvedere affinché la CA corrispondente abbia la propria sede in Svizzera.
13
http://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/algorithms-key-sizes-and-parametersreport/at_download/fullReport (stato: 1° settembre 2014).
16/47
«Heartbleed» ha palesato che dal profilo dell’architettura può essere vantaggioso avere un
punto centrale di entrata per tutte le connessioni SSL, che possa essere sorvegliato in maniera appropriata ed essere rapidamente oggetto di una patch.
4.2 Casi di spionaggio
Anche nel primo semestre del 2014 alcuni casi di spionaggio hanno fatto notizia. In questo
senso l’azienda russa di sicurezza IT Kaspersky ha pubblicato il 10 febbraio 2014 un caso di
spionaggio con il nome spagnolo di «Careto» o di «Maschera» in italiano14.
Careto / The Mask
L’operazione «Careto» sarebbe in corso fin dal 2007, senza che fosse scoperta per oltre sei
anni. Questa campagna di spionaggio si è contraddistinta per la sua universalità e la sua capacità di adattamento. Il malware può colpire non soltanto diversi sistemi operativi come
Windows, Mac, Linux ecc., ma Kaspersky ha supposto che esistesse anche una versione
per smartphone. L’infezione è avvenuta mediante l’invio di e-mail di spear phishing. Queste
e-mail contengono link a siti Internet che approntano diversi exploits elaborati su misura per
le diverse vittime. Gli exploits erano nascosti in sottocartelle di siti Internet, in modo che fossero raggiungibili soltanto attraverso il link diretto, ma non in caso di visita casuale del sito Internet. Per fare apparire come legittimi i link gli hacker hanno imitato le pagine secondarie
dei principali quotidiani spagnoli, ma anche di giornali internazionali come «The Guardian» e
il «Washington Post».
Appena il malware viene installato, colpisce diversi canali di comunicazione, come ad esempio Skype, e tenta di raccogliere il massimo numero possibile di documenti di qualsiasi genere. Kaspersky ha rilevato oltre 380 vittime in 31 diversi Paesi, fra i quali anche la Svizzera.
Sono stati colpiti i più diversi comparti del settore pubblico (Governi, rappresentanze diplomatiche) e dell’economia privata (energia, ricerca, finanze). Nel caso di attacchi così complessi si presume ogni volta che il reato sia perpetrato da un autore statale. Il testo spagnolo
contenuto nel malware – che ne fa presumere l’origine nell’area ispanica – è tuttavia piuttosto sorprendente in questo contesto. È ovvio che può anche trattarsi volutamente di una falsa pista.
Uroburos/ Turla/ Snake/ Epic
Nel primo semestre del 2014 sono stati pubblicati i rapporti di diversi fornitori di servizi di sicurezza15 relativi a un complesso spionistico denominato «Epic», «Turla», «Uroburos» e
«Snake». Nel mese di marzo 2014 il fornitore tedesco di servizi di sicurezza TIC G-Data16 ha
pubblicato un rapporto sul software spia Uroburos. Questo malware complesso dispone inoltre di una funzionalità peer-to-peer. Ciò significa che la diffusione e la comunicazione funzionano anche in una rete interna, nel senso che non tutti i computer devono essere assolutamente collegati a Internet. Gli obiettivi menzionati sono istituzioni dello Stato, servizi di intelligence e grandi aziende. G-Data ritiene che la campagna sia iniziata nel 2011 perché i più
vecchi driver rintracciati sono stati compilati a quell’epoca. Un rapporto di «BAE Systems
Applied Intelligence» ritiene addirittura che il software fosse stato sviluppato già nel 200517.
Sembra che il software spia Uroburos sia stato utilizzato anche nel caso dell’attacco al Mini-
14
http://securelist.com/blog/research/58254/the-caretomask-apt-frequently-asked-questions/ (stato: 1° settembre 2014).
15
http://securelist.com/analysis/publications/65545/the-epic-turla-operation/ (stato: 1° settembre 2014).
16
https://blog.gdata.de/artikel/uroburos-hochkomplexe-spionagesoftware-mit-russischen-wurzeln/ (stato: 1° settembre 2014).
17
http://www.baesystems.com/what-we-do-rai/the-snake-campaign? (stato: 1° settembre 2014).
17/47
stero degli affari esteri belga, reso noto nel mese di maggio. È quanto ha annunciato il quotidiano belga «De Standaard», facendo riferimento a una fonte affidabile18. Nella fattispecie gli
hacker avrebbero preso di mira soprattutto documenti, analisi e rapporti sulla «crisi in Ucraina».
Operazione Newscaster
Un gruppo di hacker iraniani ha messo a segno con successo un attacco di spear phishing,
infettando nell’arco di tre anni oltre 2000 computer19. Per la sua operazione denominata
«Newscaster» il gruppo in questione ha creato una dozzina di falsi profili sulle maggiori reti
sociali. Le persone celate dietro questi falsi profili fingevano di lavorare in settori come il
giornalismo, l’armamento o il Governo, tutto questo nell’intento di convincere il maggior numero possibile di vittime ad accettare l’hacker come «amico». Ai fini dell’operazione è stato
addirittura pubblicato su Internet un falso sito di notizie presso il quale avrebbero lavorato i
presunti giornalisti. «Newsonair.org» ha copiato a questo scopo contenuti provenienti da altri
portali di news, pubblicandoli sotto il proprio nome. In una prima fase sono state inviate soltanto e-mail innocue, contenenti semplice corrispondenza. Si trattava soprattutto di infondere
fiducia presso vittime selezionate in maniera mirata. Una volta creata la fiducia sono state inviate e-mail appositamente predisposte con malware. Le persone mirate erano soprattutto
quadri militari e politici negli USA e in Israele.
Azione simbolica contro presunte spie cinesi?
Il Ministero della giustizia statunitense ha presentato querela per spionaggio cibernetico nei
confronti di cinque militari di nazionalità cinese20. Gli attacchi sarebbero stati sferrati tra il
2006 e il 201421. Gli imputati appartengono all’Esercito popolare cinese di liberazione. La
querela è di natura meramente simbolica, poiché queste persone non viaggeranno mai negli
USA o in Stati che hanno firmato una convenzione di estradizione.
Da molto tempo ormai gli attacchi mirati di spionaggio non sono più eventi isolati. Si è in presenza di un interesse costante per i dati sensibili e quindi di una forte pressione su di essi.
La Svizzera non ne è esclusa, proprio perché vi sono insediate numerosissime imprese di
punta che dispongono di know-how e di informazioni di grande valore.
4.3 Attacchi contro impianti industriali occidentali
Alla fine del mese di giugno 2014 è stata resa pubblica una campagna di spionaggio e di
(preparazione di) sabotaggi diretta contro gli impianti industriali e i fornitori di energia occidentali. Secondo alcune indicazioni il gruppo di hacker, battezzato dalle ditte di sicurezza
«Energetic Bear22», «Crouching Yeti23» o «Dragonfly24», potrebbe essere stato attivo fin dal
18
http://www.standaard.be/cnt/dmf20140512_01103164 (stato: 1° settembre 2014).
19
http://www.isightpartners.com/2014/05/newscaster-iranian-threat-inside-social-media/ (stato: 1° settembre 2014).
20
http://www.spiegel.de/netzwelt/netzpolitik/cyberspionage-usa-klagen-chinesische-regierungsbeamte-an-a-970259.html (stato: 1° settembre 2014).
21
22
http://www.crowdstrike.com/sites/all/themes/crowdstrike2/css/imgs/platform/CrowdStrike_Global_Threat_Report_2013.pdf
23
http://www.kaspersky.com/about/news/virus/2014/crouching-yeti-an-ongoing-spying-campaign-with-2800-highly-valuabletargets-worldwide (stato: 1° settembre 2014).
18/47
2010. Gli attacchi venuti ora alla luce si sono succeduti in diverse fasi dal mese di febbraio
del 2013 e seguendo più percorsi. In una prima fase sono state inviate e-mail contenenti
malware a collaboratori selezionati delle aziende mirate (spear phishing). Gli hacker hanno
inoltre infettato numerosi siti Internet che si occupano della tematica dell’approvvigionamento
energetico, contaminandoli con infezioni drive-by (attacchi waterhole). Il gruppo è infine anche riuscito a sostituire con versioni manipolate i pacchetti legittimi di software sui siti Internet dei produttori di comandi a memoria programmabile.
Gli hacker hanno utilizzato diversi tipi di malware per raggiungere il loro scopo:
•
Cavalli di Troia (Havex e Sysmain)
•
Backdoor (Karagany e Oldrea)
•
Altri strumenti per il singolo obiettivo di impiego (insediamento nella rete, furto di dati).
Per gli attacchi vengono sfruttate falle di sicurezza ormai già note. Le vittime sono principalmente aziende dell’Europa occidentale e statunitensi.
È interessante al riguardo la ricerca automatizzata di server OPC a livello locale e in rete.
Manipolando i server OPC si possono così perturbare i processi fisici che essi controllano. A
tale scopo il malware dispone anche della facoltà di identificare i server OPC mediante fingerprint e di trasmettere informazioni sui sistemi scoperti al command and control server
(server C&C).
La campagna persegue principalmente lo spionaggio. Essa si prefigge tuttavia di assicurare
una presenza duratura nei sistemi e nelle reti presi di mira e di offrire la possibilità di effettuare eventuali azioni successive di spionaggio.
L’infezione con cavalli di Troia del software dei produttori ha consentito di aggirare completamente le misure di sicurezza adottate dagli utenti – tali pacchetti di software devono infatti
essere installati esplicitamente per poter utilizzare un’apparecchiatura o un servizio.
Questa campagna illustra in maniera impressionante lo svolgimento degli attacchi alle infrastrutture critiche: mediante misure focalizzate si ricercano porte di accesso alle reti dei gestori per stabilire una presenza in prossimità dei sistemi mirati. Successivamente si raccoglie il
maggior numero possibile di informazioni (reconnaissance). Gli hacker si garantiscono
l’accesso per raccogliere ulteriormente informazioni e per poter effettuare eventualmente
manipolazioni.
Per tutelare l’interfaccia OPC esistono diversi approcci:
•
•
•
•
•
24
introduzione e aggiornamento regolare delle ACL (Access Control Lists) tra i client e i
server OPC tenendo conto dei least privilege;
suddivisione della comunicazione RPC in reti separate e connessioni punto a punto;
tunneling di simili connessioni;
sorveglianza degli accessi (login centrale e sorveglianza regolare dei log di accesso);
se il software è munito di una firma digitale, occorre anche verificare le firme prima
dell’installazione.
http://www.symantec.com/connect/blogs/dragonfly-western-energy-companies-under-sabotage-threat (stato: 1° settembre
2014).
19/47
MELANI raccomanda in generale di separare in maniera possibilmente forte i sistemi industriali di controllo dal resto dell’infrastruttura TIC e anche di rafforzarli nei confronti degli attacchi diretti; cfr. anche le misure di MELANI per la protezione dei sistemi industriali di controllo (ICS)25.
4.4 Conflitti nello spazio cibernetico
Oltre al conflitto nel Medio Oriente, nel quale Israele è attaccato da hacktivisti arabi, e alla
presenza persistente della «Syrian Electronic Army» nel sostegno al regime di Assad, ora
anche il conflitto in Ucraina fornisce a diversi attori un’occasione per effettuare operazioni
nello spazio cibernetico. Alla fine del mese di febbraio del 2014, prima e durante l’invasione
di truppe armate in Crimea, la telefonia mobile e l’accesso a Internet sulla penisola sono stati
perturbati da attacchi fisici alle infrastrutture per le telecomunicazioni e possibilmente anche
da attacchi cibernetici. Poco tempo prima i siti Internet del Governo ucraino sono rimasti
temporaneamente inaccessibili e diversi parlamentari hanno lamentato problemi nell’utilizzo
dei loro cellulari. All’inizio del mese di marzo, dopo la disattivazione in Russia dei siti Internet
di oppositori del regime, gli hacktivisti hanno attaccato i siti Internet del Cremlino, al punto da
renderli temporaneamente irraggiungibili. (Altri) hacktivisti, dal canto loro, hanno fatto lo
stesso ai siti Internet della NATO.
Attualmente non è possibile speculare in quale misura gli attacchi contro gli impianti industriali occidentali descritti nel capitolo precedente rientrino in questa tematica. Gli Stati Uniti
elaborano al momento uno scenario nel quale forze estranee potrebbero infiltrarsi
nell’approvvigionamento energetico statunitense per tagliare, se necessario, la corrente agli
USA.
Come già illustrato in precedenti rapporti semestrali, i conflitti nel mondo fisico provocano
sempre più frequentemente azioni e reazioni nello spazio cibernetico. Un attacco cibernetico
è logico al fine di danneggiare l’antagonista o perlomeno per esprimere una riprovazione, in
particolare quando una parte in conflitto non è o è difficilmente attaccabile con mezzi convenzionali, sia perché un attacco fisico provocherebbe un’escalation della situazione sia perché l’«avversario» non è in grado di sostenere una simile azione o semplicemente perché lo
scatenamento di un attacco fisico fallirebbe a causa dell’asimmetria del potenziale di forze.
Gli Stati la cui economia e/o le cui infrastrutture critiche dipendono fortemente da TIC funzionanti – e sono per questo motivo vulnerabili in questo settore – possono essere danneggiati
in maniera massiccia anche da piccoli gruppi di persone e addirittura da singoli autori.
Nel caso delle azioni nel ciberspazio deve infine essere preso in considerazione l’aspetto
della diffusione di informazioni (propaganda) da parte delle parti in causa perché in ogni conflitto ha il vantaggio chi domina o addirittura controlla la sfera delle informazioni.
4.5 NSA – ulteriori pubblicazioni
I rapporti relativi a Snowden e al caso della NSA si sono succeduti con minor frequenza anche nel corso del primo semestre. Intendiamo tuttavia riassumere brevemente in questa sede le principali pubblicazioni. Il capitolo 5.3 elenca le prime ripercussioni dei documenti pubblicati sull’evoluzione in Internet.
25
http://www.melani.admin.ch/dienstleistungen/00132/01557/index.html?lang=it (stato: 1° settembre 2014).
20/47
Gli USA mantengono segrete le falle di sicurezza dei sistemi di computer
In una pubblicazione attribuita a Snowden si sostiene che la NSA spesso sfrutta le falle di sicurezza individuate nei software per i propri scopi. Un consigliere del presidente Obama ha
dichiarato in merito che esistono senz’altro criteri per rendere note o meno le falle di sicurezza. Il loro sfruttamento potrebbe anche fornire importanti informazioni. I criteri in funzione dei
quali una falla di sicurezza potrebbe essere sfruttata o meno a scopo di spionaggio sono, ad
esempio, l’estensione della diffusione della tecnologia e la possibilità per altri di scoprire e
sfruttare una vulnerabilità. Esiste anche la possibilità di sfruttare prima una falla e poi di renderla nota al pubblico26.
Questa affermazione non è nuova. Già nel 2005 è stata osservata una campagna di spionaggio che sfruttava sistematicamente le vulnerabilità dei prodotti Microsoft. Si presume che
questa abbia avuto la sua origine in Cina.27
La NSA avrebbe inviato per posta hardware di rete di produzione americana appositamente
manipolato
Un’ulteriore pubblicazione di due avvocati e giornalisti Glenn Greenwald e Jacob Appelbaum
ha reso noto che la NSA intercetta «in parte» le apparecchiature di rete e le apparecchiature
periferiche inviate per posta per installarvi software di spionaggio. Collaboratori della «Tailored Access Operations (TAO)» inserirebbero in queste apparecchiature una tecnologia speciale che offre possibilità di spionaggio. Le apparecchiature sarebbero poi nuovamente imballate e spedite al destinatario. Sono stati colpiti, secondo Greenwald, anche i router e i
server di Cisco, un’azienda statunitense che produce e distribuisce gran parte dei componenti di rete utilizzati in tutto il mondo28. È pure degno di nota il fatto che proprio negli ultimi
anni gli USA abbiano fatto trapelare che non ci si dovrebbe fidare dei prodotti delle imprese
cinesi Huawei e ZTE, che producono anch’esse componenti di rete29. Si trattava in concreto
del pericolo che la tecnologia di entrambe queste aziende potesse spiare le reti statunitensi.
Nel mese di giugno del 2014 la Camera dei rappresentanti degli Stati Uniti ha approvato un
disegno di legge che vieterebbe alla NSA e alla CIA di finanziare a scopo di sorveglianza falle di sicurezza e backdoors nei prodotti TIC statunitensi30. Secondo il disegno di legge in
questione sarebbe parimenti vietata la prassi corrente e ormai nota al pubblico di controllare
in un secondo momento i dati già raccolti e ottenuti su cittadini statunitensi. Il disegno di legge deve ancora passare al vaglio del Senato.
Registrazione capillare in tutto il Paese di dati telefonici
È anche stata resa nota, sotto il nome in codice «Somalget», la registrazione delle conversazioni su cellulari in tutte le Bahamas. Un’analoga registrazione capillare delle conversazioni
26
http://www.tagesanzeiger.ch/digital/internet/USA-halten-Sicherheitsluecken-in-Computersystemen-geheim/story/12638578
27
28
http://www.droemer-knaur.de/buch/7943698/die-globale-ueberwachung (stato: 1° settembre 2014).
http://www.heise.de/newsticker/meldung/NSA-manipuliert-per-Post-versandte-US-Netzwerktechnik-2187858.html (stato: 1°
settembre 2014).
29
http://www.spiegel.de/netzwelt/netzpolitik/us-kongress-will-chinas-telekom-firmen-huawei-und-zte-aussperren-a860014.html (stato: 1° settembre 2014).
30
http://thehill.com/blogs/floor-action/house/210027-house-votes-to-limit-nsa-spying (stato: 1° settembre 2014).
21/47
telefoniche sarebbe stata effettuata in almeno un altro Paese. «Somalget» rientra nel programma «Mystic», nel cui contesto sono raccolte informazioni sulle telefonate in Messico,
nelle Filippine e in Kenya31. La differenza consiste peraltro nel fatto che nel caso di «Mystic»
sono registrati soltanto i metadati e in quello di «Somalget» anche i contenuti. La NSA ha
apparentemente sfruttato un accordo di collaborazione tra le autorità delle Bahamas e la
«Drug Enforcement Administration (DEA)» statunitense, volto alla sorveglianza di singoli
raccordi telefonici nella lotta contro lo spaccio e il consumo di droga, per avere accesso
completo alla rete di telefonia mobile
Influsso sugli standard di crittografia delle conversazioni
Nel primo semestre del 2014 sono stati pubblicati documenti secondo i quali il Government
Communications Headquarters (GCHQ), l’omologo britannico della NSA, avrebbe imposto fin
dall’inizio chiavi brevi nello standard di telefonia mobile A5/1. In origine erano state proposte
chiavi con una lunghezza di 128 bit, ma GCHQ avrebbe insistito negli anni Ottanta per una
chiave a 48 bit. Si giunse infine a un compromesso, utilizzando una chiave a 64 bit le cui ultime dieci cifre sono sempre uguali a zero. Così facendo è stato semplice fin dall’inizio decrittografare l’algoritmo A5/132. I primi attacchi sono stati resi noti fin dal 200033. Questo standard vecchio di 25 anni è tuttora utilizzato e viene lentamente sostituito dal successore A5/3.
L’anno scorso in questo ambito ha fatto soprattutto scalpore lo standard «Dual_EC_DRBG»,
un generatore di numeri aleatori sviluppato dalla NSA che non genera i numeri a caso come
dovrebbe accadere in realtà
La NSA e il GCHQ hanno apparentemente accesso ai dati di utenti delle app
Non è affatto una novità che diversi dati delle applicazioni per smartphone, le cosiddette app,
vengono trasmessi ai loro gestori. Abbiamo già indicato nel nostro rapporto semestrale
2011/234 che i diritti che l’app ottiene consapevolmente o all’insaputa dell’utente esulano da
quanto effettivamente necessario a un suo funzionamento senza intoppi. A ciò si è aggiunto
il fatto che secondo un rapporto pubblicato sul «New York Times», sul «Guardian» e su
«ProPublica» anche la NSA e il GCHQ captano questi dati raccolti dalle app degli smartphone e relativi ai loro utenti. Oltre a dati semplici riguardanti l’età, il sesso e il luogo di soggiorno
di un utente si possono ottenere, a seconda delle circostanze, anche dati complessi sul suo
profilo. Il valore di tali dati è parimenti elevato, ragione per la quale la NSA ha apparentemente speso oltre un miliardo di dollari per questo programma. In uno dei lucidi pubblicati
dalla NSA risulta che essa considera un caso fortunato l’utilizzo sempre più frequente di
smartphone.
WLAN negli aeroporti – i servizi segreti canadesi sorvegliano presumibilmente la rete
Nell’era della comunicazione mobile una delle prime cose che si fanno uscendo dall’aeroplano è accendere il cellulare e controllare le proprie e-mail oppure scaricare altre informazioni, questo preferibilmente tramite una WLAN messa a disposizione dall’aeroporto. È proprio qui che è apparentemente intervenuto il Communications Security Establishment Canada (CSEC), i servizi segreti del Canada, sfruttando la WLAN di un grande aeroporto canade-
31
https://firstlook.org/theintercept/2014/05/19/data-pirates-caribbean-nsa-recording-every-cell-phone-call-bahamas/ (stato: 1°
settembre 2014).
32
http://www.aftenposten.no/nyheter/uriks/Sources-We-were-pressured-to-weaken-the-mobile-security-in-the-80s7413285.html#.UtFDAvZuTGK (stato: 1° settembre 2014).
33
http://de.wikipedia.org/wiki/A5_%28Algorithmus%29 (stato: 1° settembre 2014).
34
22/47
se per localizzare le persone nel Paese. A ogni collegamento a una rete pubblica vengono
trasmessi metadati che consentono di identificare nuovamente il dispositivo in un momento
successivo. I dati ottenuti all’aeroporto possono essere utilizzati per seguire digitalmente la
persona mirata35.
La NSA è in grado di dirottare le connessioni a Internet
Secondo le pubblicazioni attribuite a Snowden la NSA sarebbe in grado di interrompere e dirottare qualsiasi connessione a Internet nel quadro del programma «Qfire». Nel caso di questi attacchi alle connessioni Internet condotti a livello decentralizzato la NSA potrebbe captare e manipolare i dati per quanto possibile vicini agli obiettivi36.
Anche l’OSCE dovrebbe essere tra gli obiettivi della NSA
Anche le organizzazioni internazionali sono particolarmente interessanti per gli attacchi di
spionaggio. I collaboratori di numerosi Paesi sono riuniti in uno spazio ridotto e utilizzano
molti mezzi di comunicazione elettronica. Già dal mese di agosto del 2013 è noto che la centrale delle Nazioni Unite a New York sarebbe stata intercettata dalla NSA37. Il quotidiano austriaco «Die Presse» ha pubblicato che anche l’OSCE a Vienna sarebbe stata nel mirino
dell’intelligence statunitense38, questo facendo riferimento a un giornalista tedesco che ha
potuto visionare i documenti di Snowden, in cui sarebbero stati menzionati soprattutto «obiettivi di politica estera» e «controllo e commercio degli armamenti».
4.6 Reattività dei truffatori di fronte all’attualità
Le truffe in ambito di anticipo delle spese costituiscono un fenomeno ampiamente noto e documentato. In questi casi i truffatori elaborano uno scenario nel quale la vittima avrebbe la
possibilità di beneficiare di una cospicua somma di denaro a seguito ad esempio di
un’eredità, di un fondo non rivendicato o di una vincita a una lotteria. In caso di risposta alla
prima presa di contatto si richiedono pagamenti adducendo diverse giustificazioni, ma la
somma promessa non sarà mai versata. Una delle specificità dei truffatori è la loro capacità
di adattamento sia alla vittima che al contesto. Ne è un esempio tipico il modo in cui i truffatori sfruttano l’attualità per aumentare le possibilità di ingannare le loro vittime. Nel corso del
2014 la Coppa del mondo di calcio in Brasile è stata ampiamente sfruttata dai truffatori. La
rarità dei biglietti e il carattere eccezionale dell’avvenimento hanno costituito un terreno fertile
per l’elaborazione di scenari nei quali la vittima si vedeva promettere una possibilità eccezionale di partecipare all’evento mediante pagamento anticipato. Si trattava ovviamente di
un’astuzia volta a raccogliere il denaro, ma anche informazioni personali.
La catastrofe aerea della compagnia Malaysia Airlines all’inizio del 2014 e in particolare la
confusione che regnava in seguito alla scomparsa dell’aereo ha parimenti costituito una fonte di ispirazione per diversi tipi di truffatori. In particolare, si sono rapidamente diffusi sui social networks alcuni link che promettevano l’accesso a un video dell’aereo ritrovato. L’utente
35
http://www.cbc.ca/news/politics/csec-used-airport-wi-fi-to-track-canadian-travellers-edward-snowden-documents-1°2517881
36
http://www.spiegel.de/fotostrecke/qfire-die-vorwaertsverteidigng-der-nsa-fotostrecke-105358.html (stato: 1° settembre
2014).
37
http://www.spiegel.de/politik/ausland/nsa-hoerte-zentrale-der-vereinte-nationen-in-new-york-ab-a-918421°html
(stato:
1°
settembre 2014).
38
http://diepresse.com/home/politik/aussenpolitik/3809719/NSAAffaere_Obama-laesst-OSZE-ausspionieren (stato: 1° settembre 2014).
23/47
che seguiva questi link correva il rischio di un’infezione perché invece di accedere al video
veniva dirottato su un sito che doveva trasmettergli un virus. In alcuni casi la vittima era dirottata su un sito di phishing dove le si chiedeva di fornire informazioni di connessione per accedere al contenuto promesso.
I truffatori che agiscono su Internet spesso si distinguono per la loro grande capacità di adattamento. In questo senso gli avvenimenti di risonanza internazionale costituiscono per loro
altrettante opportunità. Prendendo lo spunto da queste attualità essi elaborano scenari volti a
suscitare l’interesse dei loro bersagli. Occorre che gli internauti sviluppino e mantengano un
atteggiamento prudente e scettico nei confronti di tutte le offerte che pervengono loro spontaneamente. Prima di seguire un link, aprire un allegato o fornire informazioni occorre sempre essere sicuri della legittimità del messaggio e del mittente. In caso di dubbio bisogna
cancellare l’email.
4.7 Perturbazioni della sicurezza aerea a seguito di esercitazioni militari?
Il 5 e il 10 giugno 2014 nell’Europa centrale e orientale si sono verificate sporadicamente
avarie nei contatti radar dell’aviazione civile, durati rispettivamente 20 e 25 minuti. Ne sono
stati colpiti i radar secondari che trasmettono i dati dei transponder degli aerei, come identificazione e altezza. La posizione degli aerei era invece visibile. Anche la comunicazione radio
con tutti gli aerei è stata costantemente garantita.
Poco tempo dopo si è insinuato il sospetto che l’avaria dei radar secondari fosse stata causata da un’esercitazione militare della NATO in Ungheria e in Italia. La NATO ha confermato
di avere effettuato test di perturbazione locale di determinate frequenze, ma che era poco
probabile che le perturbazioni fossero state provocate dalle sue esercitazioni. Le frequenze
perturbate durante le esercitazioni differiscono da quelle dell’aviazione civile. Eurocontrol,
l’autorità europea per la sicurezza del traffico aereo, sta esaminando gli incidenti.
Secondo le conoscenze attuali la probabilità di un errore di funzionamento dovuto al software
o all’hardware o addirittura a una manipolazione delle apparecchiature radar è esigua. Altrimenti sarebbe difficile spiegare perché le autorità di sicurezza del traffico aereo di diversi
Paesi, dotate di apparecchiature diverse, avrebbero osservato gli stessi fenomeni. In questo
caso sarebbe certamente più plausibile una perturbazione esterna. Sebbene un rapporto
provvisorio di Eurocontrol parta dall’idea che le frequenze dell’aviazione civile e
dell’aviazione militare sarebbero sufficientemente separate39, è sorprendente la correlazione
locale e temporale degli avvenimenti con le esercitazioni.
4.8 Scoperta e furto di password
Il Bundesamt für Sicherheit in der Informationstechnik (l’Ufficio federale tedesco per la sicurezza informatica) scopre 34 milioni di password rubate
A fine del mese di gennaio del 2014 il Bundesamt für Sicherheit in der Informationstechnik
(BSI) ha reso noto che nel corso dell’analisi di una rete bot sono stati scoperti 16 milioni di
39
http://www.n24.de/n24/Nachrichten/Politik/d/5260064/militaeruebungen-koennten-radar-gestoert-haben.html (stato: 1° settembre 2014).
24/47
dati di accesso, consistenti in indirizzi e-mail e password 40. Questi dati di accesso riguardano tutti i tipi di account online nei quali viene utilizzato l’indirizzo e-mail come nome di utente.
I dati di accesso sono stati apparentemente carpiti attraverso computer infettati da malware.
Ogniqualvolta viene immessa una combinazione di e-mail/password su un tale computer infetto i dati di accesso vengono rubati e trasmessi a un server centrale controllato dai criminali.
All’inizio del mese di aprile del 2014 il BSI ha informato il pubblico in merito alla scoperta di
ulteriori password. Questa volta si trattava di 18 milioni di dati di utenti41. Oltre agli URL42 già
installati fin dal mese di gennaio del 2014 con i quali si potevano verificare gli indirizzi e-mail,
si è tenuto conto questa volta di ulteriori possibilità di notifica. In questo senso sono state
trasmesse informazioni corrispondenti ai provider di posta elettronica come GMX e Web.de,
che hanno successivamente bloccato i relativi account di posta elettronica, facendo riferimento al furto di dati. In entrambi i casi sono stati colpiti anche account svizzeri di posta elettronica.
Furto di dati presso eBay
Lo scorso mese di maggio eBay ha pubblicato un comunicato secondo il quale l’azienda riconosceva di essere stata vittima di un attacco che ha consentito a dei criminali informatici di
accedere a una banca dati contenente informazioni sui clienti. Gli autori dell’attacco avrebbero quindi avuto accesso a indirizzi e-mail, password (crittografate), indirizzi postali, numeri di
telefono, ma apparentemente a nessuna informazione di natura finanziaria. Il numero di dati
compromessi non è stato comunicato. eBay ha raccomandato a tutti i suoi utenti di modificare le password benché nessuna delle informazioni disponibili lasci pensare che i criminali
siano riusciti a modificarle.
Una delle questioni centrali nel quadro di questo incidente è quello della falla iniziale. Infatti,
come confermato da eBay, sono stati compromessi fin dalla fine di febbraio i dati di accesso
dei collaboratori di questa azienda. Grazie a questi dati gli hacker hanno potuto accedere alla rete aziendale. Le modalità iniziali di acquisizione di questi dati di accesso non sono invece confermate. L’ipotesi secondo la quale sarebbe stato sferrato un attacco basato in parte
su metodi di ingegneria sociale è stata avanzata da numerosi esperti e sembra attualmente
la pista più probabile. Anche in questo caso potrebbe essere stato fatto ricorso allo spear
phishing.
Questo incidente dimostra che a seconda dei casi una compromissione iniziale di dimensioni
ridotte può fornire un accesso più esteso a una rete e a tutto il suo contenuto, in particolare
alle banche dati. Per i criminali è in questo senso proficuo investire risorse considerevoli per
prendere nel mirino alcuni account dell’azienda, che successivamente consentano loro di
accedere a importanti fonti di informazione. Per le aziende ciò significa che il numero di conti
con privilegi estesi deve essere limitato nella misura del possibile e sorvegliato per individuare eventuali attività insolite.
40
41
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2014/Mailtest_21012014.html (stato: 1° settembre 2014).
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2014/Neuer_Fall_von_Identitaetsdiebstahl_07042014.html
42
https://www.sicherheitstest.bsi.de/ (stato: 1° settembre 2014).
25/47
4.9 Nuove varianti di DDoS
Gli attacchi di distributed denial of service perseguono l’obiettivo di rendere irraggiungibili determinati servizi agli utenti o perlomeno di limitarne fortemente la raggiungibilità. Tali attacchi
DDoS sono molto diffusi e costituiscono una minaccia da prendere sul serio per numerose
infrastrutture TIC. Oltre ai noti attacchi di «DNS Amplification/Reflection», nel cui ambito server DNS accessibili a tutti sono utilizzati abusivamente per sferrare un attacco, negli ultimi
mesi sono apparse diverse nuove tecniche. In questo senso, ad esempio, vengono utilizzati
abusivamente in maniera analoga altri servizi liberamente accessibili. Alcuni esempi sono il
protocollo semplice di amministrazione di rete (Simple Network Management Protocol,
SNMP), il Network Time Protocol NTP, utilizzato per la sincronizzazione temporale all’interno
di una rete oppure il Character Generator Protocol (Chargen), utilizzato per individuare gli errori. È tipico di questo genere di attacchi il fatto che una piccola richiesta di dimensioni ridotte
generi un multiplo di risposte, successivamente dirottato sul bersaglio effettivo dell’attacco. I
servizi sono basati sull’User Datagram Protocol (UDP), molto apprezzato per gli attacchi
DDoS, perché il suo protocollo è privo di connessione e non contiene alcuna validazione degli indirizzi IP che partecipano alla comunicazione.
L’utilizzo abusivo dei server NTP con l’ausilio di comandi «monlist» è già stato trattato da
MELANI nel suo rapporto semestrale 2013/243, ma è tuttora di attualità. Questo comando
fornisce l’elenco degli ultimi 600 indirizzi IP che si sono collegati al server NTP. Se questo
comando viene immesso con un indirizzo IP falsificato, le risposte subissano la vittima innocente il cui indirizzo IP è stato falsificato. Nel caso dei maggiori attacchi DDoS della primavera del 2014 sono state misurate ampiezze di banda di oltre 400 Gb/s. Il SNMP offre una possibilità di amplificazione analoga ed è già oggi è utilizzato abusivamente.
Una nuova variante di attacchi DDoS utilizza abusivamente una funzione del software molto
diffuso Blog/CMS di Wordpress. Il software in questione dispone di una funzione «PingBack», che consente la richiesta di una notifica appena ci si collega al proprio sito con un
link. Se l’hacker utilizza abusivamente questa funzione e invia l’indirizzo della sua vittima a
più istanze di Wordpress, queste ultime inviano le corrispondenti richieste http al sito della
vittima, bloccandolo con una marea di richieste. L’hacker originario è praticamente invisibile
per la vittima perché essa viene attaccata da parecchie migliaia di installazioni Wordpress
legittime. In un caso si sono osservati oltre 160 000 siti Wordpress utilizzati abusivamente
per un attacco DDoS.
MELANI in genere raccomanda di proteggere i sistemi in maniera tale da non poter essere
utilizzati abusivamente per attacchi DDoS. In Internet sono disponibili al riguardo risorse
adeguate, come ad esempio «Team Cymru», per la protezione dei server DNS o dei server
NTP44. La protezione delle istanze Wordpress non è semplice, poiché il pingback è in linea di
massima una caratteristica auspicata del sistema. È comunque possibile elaborare un relativo filtro plug che disattiva il sistema.
Per i provider di servizi Internet (ISP) l’implementazione della BCP 3845 (Best Current Practice) è un elemento fondamentale per risolvere la problematica DDoS a medio e lungo termine. La BCP 38 stabilisce le modalità di protezione di una rete contro il traffico indesiderato in
entrata (pacchetti con indirizzi IP falsificati o errati; ingress filtering).
43
44
http://www.team-cymru.org/ReadingRoom/Tips/dns.html (stato: 1° settembre 2014).
45
http://tools.ietf.org/html/bcp38
26/47
4.10 Attacchi alle monete virtuali
L’ultimo rapporto semestrale del 2013 di MELANI46 ha già dedicato un capitolo alla moneta
elettronica decentralizzata Bitcoin. Le sfide in ambito di sicurezza intorno a questa moneta vi
erano già state evidenziate: furto di chiavi private, attacchi alle piattaforme di scambio o
malware destinato a rubare bitcoin presso l’utente o a sfruttare la potenza di calcolo del suo
computer a scopo di «minaggio».
Il bitcoin è rimasto attuale nel 2014, in particolare per quanto riguarda le considerazioni di sicurezza. Gli utenti di Android sono stati segnatamente presi di mira dai malware. In questo
senso Google ha dovuto ritirare dal Google Play Store numerose applicazioni volte a «minare» il bitcoin e altre monete di questo genere all’insaputa del proprietario dello smartphone.
Nel caso del bitcoin il numero crescente di utenti e quindi l’aumento delle risorse necessarie
al lavoro di «minaggio» spiegano perché i criminali cercano di accedere viepiù a una potenza
di calcolo supplementare, segnatamente attraverso cellulari. Numerosi esperti osservano tuttavia che al momento questo genere di modo di procedere rimane poco proficuo se si considera il tempo necessario al «minaggio». Per l’utente questo dirottamento di risorse si traduce
in un calo di efficienza dell’apparecchio e in uno scaricamento rapido della batteria.
Le piattaforme sulle quali gli utenti possono scambiare le monete tradizionali contro i bitcoin
sono anch’esse state continuamente messe sotto pressione nel corso dell’anno. Come menzionato nel suddetto rapporto semestrale, queste piattaforme costituiscono un bersaglio privilegiato di attacco. Il caso del fallimento di Mt. Gox47 testimonia l’importanza di queste borse e
la loro vulnerabilità. Questa piattaforma, una delle più vecchie e importanti sul mercato, ha
cessato tutte le transazioni il 7 febbraio 2014, prima di porsi, alla fine di quel mese, sotto la
protezione della legislazione giapponese in materia di fallimento. Essa avrebbe perso
750 000 bitcoin appartenenti ai propri clienti e 100 000 bitcoin di sua proprietà, per un controvalore di 620 milioni di dollari. Una causa di questa perdita andrebbe ricercata nella gestione sulla piattaforma Mt. Gox del problema della malleabilità delle transazioni. Alcuni
esperti contestano però l’affermazione secondo la quale si tratterebbe nella fattispecie
dell’unica spiegazione di questa perdita. Una gestione interna lacunosa di Mt. Gox e l’utilizzo
da parte degli hacker di altri eventuali metodi per accedere ai bitcoin sono altre piste proposte per spiegare le perdite.
Bitcoin e le monete virtuali continuano ad essere al centro dell’attenzione, in particolare
nell’ottica delle questioni di sicurezza e del problema della loro affidabilità. Il loro ruolo nel
quadro delle indagini penali in corso giustifica un interesse molto particolare da parte delle
autorità di perseguimento penale a livello internazionale, mentre gli Stati continuano a chiarirne lo statuto legale. A livello svizzero un rapporto recente del Consiglio federale propone di
fare il punto della situazione sul funzionamento delle monete virtuali e sulle problematiche ad
esse associate48.
4.11 Successi registrati nei confronti dei truffatori
Anche nel primo semestre del 2014 si sono registrati alcuni successi nella lotta contro i truffatori e gli hacker.
46
47
http://de.wikipedia.org/wiki/Mt.Gox (stato: 1° settembre 2014).
48
http://www.admin.ch/aktuell/00089/?lang=fr&msg-id=53513 (stato: 1° settembre 2014).
27/47
Razzia nei confronti dei possessori del software Blackshades
Il 20 maggio 2014 si è svolta una razzia nei confronti dei possessori del software di spionaggio «Blackshades». L’azione avviata dal Federal Bureau of Investigation (FBI) ha comportato
in 19 Paesi una perquisizione domiciliare presso oltre 300 presunti possessori di questo
software49. Circa 100 persone sono state arrestate, fra le quali Alex Yucel, il presunto regista
occulto. Nel caso del malware Blackshades i computer Windows possono essere controllati
a distanza in maniera pressoché illimitata. I suoi utenti avrebbero fatto capo a questo software di spionaggio per gli scopi più diversi. Il malware è stato scoperto anche presso membri
dell’opposizione in Siria e in Libia.
Fine della partita per GameOver Zeus
Lo scorso 2 giugno 2014 il Dipartimento di giustizia statunitense (DOJ) e l’FBI hanno comunicato la disattivazione di entrambe le botnet «GameOver ZeuS (GOZ)» e «CryptoLocker»50.
GOZ costituisce un ulteriore sviluppo del malware ZeuS/Zbot, attivo da quattro anni anche in
Svizzera, e una delle poche reti basate sulla tecnologia peer-to-peer. L’obiettivo delle botnet
è di praticare la truffa all’e-banking o l’estorsione ai danni di reti di computer (ransomware).
Fin dal mese di luglio del 2013 MELANI aveva adottato misure contro la minaccia rappresentata da Cryptolocker unitamente ai provider svizzeri di Internet.
Dopo la disattivazione della botnet Cryptolocker i fornitori di servizi di sicurezza TIC FireEye
e Fox-IT hanno messo gratuitamente a disposizione un servizio che consente alla vittime di
recuperare i dati crittografati dal malware51.
Arresto con l’aiuto della Svizzera
All’inizio del mese di marzo del 2014 la polizia thailandese ha arrestato a Bangkok, con
l’aiuto della Svizzera, il presunto hacker «Diab10», che avrebbe tra l’altro messo in circolazione nel 2005 il worm «Zotob»52. All’epoca questo worm informatico aveva messo fuori uso
numerosi computer. L’hacker, nato in Marocco e possessore di passaporto russo, era ricercato in Svizzera per «uso fraudolento di un impianto di elaborazione dei dati». La persona arrestata, nei cui confronti è stato spiccato un mandato di cattura nel nostro Paese, sarà estradata in Svizzera.
4.12 Vulnerabilità dei sistemi cibernetici fisici
Malware in una centrale nucleare giapponese
All’inizio del 2014 è stata rilevata la presenza di malware nel locale di controllo della centrale
nucleare giapponese di Monju. L’apparecchiatura è stata apparentemente infettata da un
aggiornamento di un software video gratuito effettuato da un collaboratore. Successivamente
sono state inviate circa 42 000 e-mail e documentazione concernente l’addestramento dei
collaboratori verso e attraverso la Corea del Sud. L’infezione è stata scoperta nel corso di un
49
http://www.fbi.gov/news/stories/2014/may/international-blackshades-malware-takedown/international-blackshades-malwaretakedown (stato: 1° settembre 2014).
50
http://www.abuse.ch/?p=7822 (stato: 1° settembre 2014).
51
http://www.melani.admin.ch/dienstleistungen/archiv/01583/index.html?lang=de (stato: 1° settembre 2014).
52
http://www.nzz.ch/aktuell/panorama/hacker-diab10-in-thailand-verhaftet-1°18265704 (stato: 1° settembre 2014).
28/47
monitoraggio della rete nel cui contesto avevano attirato l’attenzione connessioni a un sito Internet sconosciuto.
Dal relativo rapporto non emerge se il computer in questione era utilizzato soltanto a scopi
amministrativi o se era anche adibito al controllo di processi critici della centrale nucleare.
Non è neppure chiaro se il computer disponesse di un collegamento a Internet durante il funzionamento regolare del reattore (a quel momento la centrale nucleare non era in funzione)
e, in questa ipotesi, come fosse separato dai sistemi operativi del locale di controllo. Secondo il gestore la sicurezza del reattore non è stata pregiudicata in nessun momento da questo
incidente.
Il reattore autofertilizzante a neutroni veloci ha già dovuto essere disattivato nel 1995, poco
tempo dopo la sua messa in funzione a causa di un incendio. Nella primavera del 2010 ne è
stato riavviato l’esercizio di collaudo. Un incidente al momento del riempimento di combustibile ne ha infine provocato quattro mesi dopo una nuova e certamente definitiva disattivazione.
Sebbene in questo caso non si tratti di un attacco mirato a una centrale nucleare, ma di
un’infezione casuale, è comunque preoccupante che un computer del locale di controllo, da
dove viene comandato il funzionamento del reattore, possa essere infettato da malware. Le
reti operative e amministrative devono essere per quanto possibile fortemente separate le
une dalle altre – in particolare se i processi da comandare comportano un potenziale di minaccia altrettanto elevato di quello della produzione di energia nucleare.
Tecnologia medica basata sui computer e falle di sicurezza
Scott Erven, ricercatore nel campo della sicurezza, ha esaminato per due anni le apparecchiature mediche elettroniche degli ospedali statunitensi constatando in parte falle disastrose. Esse riguardano soprattutto i servizi Internet integrati che consentono alle apparecchiature di comunicare tra di loro e di inviare direttamente i dati ai dossier dei pazienti. I problemi
constatati non vanno ricercati nella programmazione di base del software, ma piuttosto
nell’implementazione dei sistemi. Le apparecchiature erano sovente protette da password
deboli o non modificabili, i dati dei pazienti erano trasmessi sulla rete senza crittografia oppure erano decontestualizzati mediante l’invio di comandi privi di senso, ovvero sconosciuti alle
apparecchiature.
Non ci si può immaginare cosa potrebbe capitare se durante un intervento un robot per le
operazioni venisse improvvisamente meno alla propria funzione, se una pompa per infusioni
inviasse una quantità eccessiva del farmaco (oppure una quantità troppo esigua) o se uno
stimolatore cardiaco inviasse elettrochoc al suo portatore nel momento sbagliato. Si potrebbero anche effettuare manipolazioni di apparecchiature per radiografie o di tomografi computerizzati che provocherebbero l’emissione di una dose troppo elevata di raggi. Oltre
all’influsso diretto sulle apparecchiature mediche, un rischio nell’ambiente ospedaliero è rappresentato dalla crescente messa in rete della domotica: se la temperatura dei sistemi di refrigerazione delle sacche di sangue per trasfusioni o dei medicinali può essere regolata a distanza, è possibile che le relative scorte si deteriorino.
Nel settore della sanità esistono, come negli impianti industriali tradizionali, sistemi/apparecchiature fisico-cibernetiche che comandano un processo fisico mediante il software. La gestione sottostante viene spesso effettuata con computer usuali collegati a una rete (perlomeno interna). Di conseguenza, anche negli ospedali occorre provvedere affinché questi sistemi
siano effettivamente schermati rispetto a Internet e non possano essere infettati né in maniera mirata né casualmente. Se hanno accesso a Internet, i computer normali possono fungere
da porta di ingresso alla rete interna in caso di attacchi mirati.
29/47
Vulnerabilità dell’approvvigionamento elettrico urbano
Le aziende municipali di una città tedesca di medie dimensioni hanno concesso a un gruppo
di hacker di accedere ai loro impianti per verificare la sicurezza dell’approvvigionamento elettrico e idrico53. Essi hanno testato l’intera gamma di metodi di infiltrazione. Oltre ai tentativi
diretti di hackeraggio via Internet, ciò comprende anche l’allacciamento fisico di uno hotspot
a una presa di rete accessibile in maniera relativamente facile sull’area delle aziende – ad
esempio nel settore di accoglienza o nelle sale per le conferenze – per avere un accesso diretto alla rete interna. Anche in questi casi il percorso più semplice è stato quello di indurre
un collaboratore, ricorrendo a metodi di ingegneria sociale, ad aprire l’allegato appositamente predisposto di un’e-mail e a installare in tal modo un software che schiude agli hacker la
porta di accesso alla rete interna. Gli hacker sono infine riusciti a infiltrare il software di controllo nel posto di comando dell’azienda di approvvigionamento elettrico al punto che sarebbe stato loro possibile assumerne le funzioni di comando e di controllo. Gli esperti sono giunti alla conclusione che è effettivamente possibile assumere il controllo, ma è difficile conservarlo, perché i difensori hanno l’accesso fisico a tutte le apparecchiature e dispongono quindi
di un vantaggio decisivo sugli hacker. Nel caso dei sistemi usuali di approvvigionamento sono poi tuttora in funzione elementi elettromeccanici di protezione e indicatori analoghi che si
sottraggono al controllo di un hacker. L’interruzione di corrente provocata sarebbe corrispondentemente di breve durata.
Un hacker fortemente motivato, che ha molto tempo – e che quindi mostra una sufficiente
persistenza – può penetrare in quasi tutti i sistemi. Il primo passo in questo senso consiste
nel procurarsi già da fonti pubbliche il maggior numero possibile di informazioni sull’azienda,
sui suoi collaboratori ed eventualmente informazioni sul sistema mirato.
Non è praticamente possibile proteggere integralmente un sistema. Questa è la ragione per
la quale si dovrebbero effettivamente sorvegliare le proprie reti in modo da individuare tempestivamente gli eventi, intervenire rapidamente e poter ripristinare lo stato normale.
4.13 I router bersaglio di attacchi
Come già illustrato nell’ultimo rapporto semestrale (2013/2) i router finiscono viepiù nel mirino dei criminali informatici. Anche nel corso del periodo in rassegna sono stati osservati diversi attacchi ai router e alle loro vulnerabilità:
All’inizio dell’anno i produttori «Cisco», «Netgear» e «Linksys» hanno confermato che i file di
configurazione dei router possono essere letti e anche manipolati attraverso una falla di sicurezza54. Nel caso di alcune apparecchiature era inoltre stato possibile accedere alle password e ai certificati di VPN. Sulle apparecchiature in questione è attivo un servizio sul port
32764. Non era chiaro se questa falla potesse essere sfruttata soltanto sulla rete locale o
anche attraverso Internet. Sorprende il fatto che questa falla di sicurezza esista in diversi
prodotti e da parecchi anni.
53
http://heise.de/-2165153; cfr. anche la documentazione TV: http://www.arte.tv/guide/de/048364-000/netwars-krieg-im-netz
(tedesco), http://www.arte.tv/guide/fr/048364-000/netwars-la-guerre-sur-le-net (francese), nonché il Webdoc interattivo sotto
http://netwars-project.com/de/ (tedesco) o http://netwars-project.com (inglese).
54
http://www.heise.de/security/meldung/Mysterioese-Router-Backdoor-Viele-tausend-Router-in-Deutschland-haben-eineHintertuer-jetzt-testen-2080913.html (stato: 1° settembre 2014).
http://www.golem.de/news/port-32764-cisco-bestaetigt-backdoor-in-routern-1401-103882.html (stato: 1° settembre 2014).
http://www.golem.de/news/dsl-router-netgear-schliesst-endlich-hintertuer-zu-port-32764-1404-105705.html (stato: 1° settembre 2014).
30/47
All’inizio del mese di febbraio è stato reso noto che gli hacker potevano effettuare chiamate
telefoniche a spese della vittima sfruttando una falla di sicurezza del router della ditta «AVMFritzbox». Inizialmente si presumeva che questo attacco fosse dovuto al furto di password,
mentre successivamente si è sospettata una falla di sicurezza. Ne sono stati colpiti quasi tutte le apparecchiature con o senza accesso remoto55.
Nel mese di marzo il produttore «D-Link» ha avvertito i propri utenti di una falla di sicurezza
del proprio modem DSL-321B e ha messo a loro disposizione il relativo aggiornamento56.
Avvalendosi di questa falla di sicurezza gli hacker potevano accedere all’apparecchio via Internet. Nel caso degli attacchi che sono stati osservati sono state modificate le registrazioni
dei server DNS57. In questo senso alla chiamata di un determinato sito Internet gli hacker
possono dirottare le vittime su un sito Internet da essi definito. I criminali possono ad esempio ricorrere a simili manipolazioni per dirottare le sessioni di online banking.
All’inizio del mese di marzo il «Team Cymru» ha altresì reso noto un caso di modifica delle
configurazioni DNS. Secondo le indicazioni fornite sono stati scoperti circa 300 000 router
con modifiche delle configurazioni DNS. Si trattava soprattutto dei router delle ditte D-Link,
TP-Link e Zyxel, ma sono stati prese di mira anche apparecchiature speciali per piccoli uffici
(SOHO, Small Office, Home Office). Anche in questi casi le falle di sicurezza avrebbero consentito di effettuare manipolazioni.
I router sono attaccati con malware sia in maniera automatizzata sia manualmente. A tale
scopo esistono diversi worm che si propagano tramite l’infezione dei router. In questo senso
ad esempio il worm «Moon» attacca le apparecchiature delle ditte Linksys e Netgear, sfruttandone una vulnerabilità.
I router sono sempre più al centro dell’attenzione degli hacker perché spesso contengono
configurazioni insicure o falle di sicurezza. La sensibilità degli utenti nei confronti della sicurezza dei router non è d’altra parte elevata. Nella maggior parte dei casi un’apparecchiatura
viene collegata e non è poi più oggetto di manutenzione e aggiornamenti per tutta la sua durata di vita. A ciò si aggiunge la difficoltà che, nel caso delle apparecchiature più vecchie, gli
aggiornamenti non possono essere installati automaticamente.
MELANI raccomanda per quanto possibile di limitare fortemente l’accesso alle interfacce di
manutenzione dei router. Numerose apparecchiature supportano una restrizione su un indirizzo IP della rete interna. Se i provider non effettuano la manutenzione dei router, spetta
all’utente verificare regolarmente se sono disponibili aggiornamenti per il suo router ed eventualmente installarli. Inoltre, i servizi inutilizzati dovrebbero essere disattivati.
4.14 L’obbligo di conservazione dei dati viola la legislazione dell’UE
Per obbligo di conservazione dei dati si intende la memorizzazione dei dati delle telecomunicazioni da parte o per conto di un servizio pubblico senza che i dati siano attualmente necessari. In questo senso, ad esempio, è possibile rintracciare successivamente, nel quadro
55
http://www.heise.de/security/meldung/Hack-gegen-AVM-Router-Fritzbox-Luecke-offengelegt-Millionen-Router-in-Gefahr2136784.html (stato: 1° settembre 2014).
56
http://www.dlink.com/de/de/press-centre/press-releases/2014/march/10/ma_sicherheitspatch-modem-dsl-321b-revision-z1
57
http://www.heise.de/security/meldung/Akute-Angriffsserie-auf-D-Link-Modems-2135158.html (stato: 1° settembre 2014).
31/47
di un procedimento penale, a quale persona era attribuito un indirizzo IP utilizzato al momento di un reato. Affinché l’attribuzione di informazioni su Internet possa funzionare, ogni computer collegato alla rete necessita solo di un indirizzo IP impersonale. Rientrano parimenti
nell’obbligo di conservazione dei dati indicazioni sulle chiamate telefoniche e gli SMS, come
pure i dati sull’ubicazione della persona al momento dell’utilizzo del telefono.
Secondo la sentenza dell’8 aprile 2014 della Corte di giustizia dell’Unione europea (CGUE)
la legge controversa dell’Unione europea sull’obbligo di conservazione dei dati viola il diritto
europeo e non è valida. La Direttiva dell’UE è stata esaminata dal profilo della sua compatibilità con gli articoli 7, 8 e 11 della Carta dei diritti fondamentali dell’Unione europea. La CGUE
considera l’obbligo di conservazione dei dati una grave intromissione nei diritti fondamentali
del rispetto della vita privata e della protezione dei dati relativi alle persone. Secondo la sentenza della CGUE si possono trarre conclusioni molto precise sulla vita privata delle persone,
ad esempio sulle abitudini della vita quotidiana, i luoghi permanenti o temporanei di soggiorno, i cambiamenti quotidiani di ubicazione o quelli consecutivi a ritmi diversi, le attività svolte,
le relazioni sociali e il contesto sociale. Ciò può provocare una sensazione di sorveglianza
permanente nel cittadino.
La CGUE ammette che la lotta alla grande criminalità, in particolare alla criminalità organizzata e al terrorismo, è molto importante per garantire la sicurezza pubblica e che la sua efficacia dipende in gran parte dall’utilizzo di tecniche moderne di investigazione. Tuttavia, la
Corte giunge simultaneamente alla conclusione che un obiettivo al servizio del bene comune, nella fattispecie l’esigenza di un obbligo di conservazione dei dati come previsto dalla Direttiva europea 2006/24, non è giustificato dalla lotta alla criminalità per quanto esso possa
essere fondamentale. La protezione del diritto fondamentale al rispetto della vita privata esige che le eccezioni alla protezione dei dati relativi alle persone e le sue restrizioni siano assolutamente limitate al necessario. A motivo della sua formulazione la Direttiva comporta una
violazione dei diritti fondamentali di quasi tutta la popolazione europea, perché si estende
generalmente senza differenziazione, limitazione o eccezione a tutte le persone e a tutti i
mezzi di comunicazione elettronica, come pure alla totalità dei dati di traffico. Ulteriori punti di
argomentazione sono stati la mancata informazione dei partecipanti in merito all’obbligo di
conservazione dei dati, nonché l’assenza di un criterio oggettivo che limiti l’accesso ai dati da
parte delle autorità nazionali.
Occorre sottolineare che la CGUE constata il carattere sproporzionato dell’obbligo di conservazione dei dati statuito dalla Direttiva, ma che la sua sentenza non giunge alla conclusione
che l’obbligo di conservazione dei dati non sia affatto possibile.
Le reazioni degli Stati membri sono state diverse. Sono in atto numerosi sforzi per trovare un
approccio di soluzione che renda l’obbligo di conservazione dei dati conforme alla Costituzione, ma non esiste ancora un’alternativa vera e propria. La Commissione dell’UE non
sembra voler prevedere una nuova Direttiva su questa questione, ragione per la quale alcuni
Stati membri riacquisteranno la loro competenza normativa su questo punto.
La sentenza della CGUE non si ripercuote soltanto sul futuro, ma esige anche una rettifica
dei dati raccolti finora dalla sua entrata in vigore il 30 giugno 2014. La cancellazione di questi
dati non comporta sfide banali per i provider, perché si tratta di intervenire su grandi banche
dati.
È probabile che la sentenza della CGUE provocherà profonde modifiche nelle modalità europee di conservazione dei dati. La sentenza della CGUE non ha ripercussioni interne dirette
per la Svizzera. La chiara reiezione dell’attuale obbligo di conservazione dei dati avrà comunque ripercussioni negative sulla collaborazione europea e internazionale nel quadro del
perseguimento penale e a livello dell’Europa continentale non contribuirà innanzitutto alla
certezza del diritto nella lotta alla criminalità. Al momento non è possibile valutare se la sentenza della CGUE e le modifiche connesse nello spazio UE avranno un effetto di segnale
32/47
sull’imminente revisione di legge in Svizzera e sugli sforzi di proroga dell’obbligo di conservazione dei dati da sei mesi a un anno.
Per il futuro dell’obbligo di conservazione dei dati in Svizzera sembra essere importante anche l’ulteriore evoluzione del ricorso della Società digitale – un’unione di cerchie interessate
alla politica di rete. La Società digitale ha richiesto mediante ricorso al competente Servizio
Sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni (SCPT) la
cessazione della conservazione dei dati, argomentando che essa viola i diritti fondamentali
ed è sproporzionata. Con la decisione del 30 giugno 2014 il SCPT ha respinto il ricorso. La
Società digitale mantiene comunque il proprio ricorso e ne deferisce la decisione al Tribunale
amministrativo federale, e se necessario, alla Corte europea dei diritti dell’uomo di Strasburgo.
5 Tendenze / Prospettive
5.1 L’ingegneria sociale: una minaccia multiforme
Gli attacchi di social engineering sfruttano la disponibilità, la buona fede e l’insicurezza delle
persone per accedere per esempio a dati confidenziali o per indurre le vittime a effettuare
determinate operazioni. Per ottenere tutto questo l’hacker sfrutta una falla umana e si guadagna la fiducia del suo interlocutore mediante diversi artifici (usurpazione di identità, faccia
tosta, intimidazione) per ottenere ciò che desidera58.
Questa definizione raggruppa tutta una serie di comportamenti e gli esempi nei quali questi
metodi sono stati posti in atto sono numerosi e spesso sono citati nell’ambito dei rapporti
semestrali di MELANI. La truffa è innanzitutto un settore nel quale l’ingegneria sociale svolge
un grande ruolo. Ciò è particolarmente vero nel caso delle aziende descritte al capitolo 3.1.
Attualmente tutte le aziende attive in Svizzera costituiscono bersagli potenziali di attacchi
che ricorrono a metodi di ingegneria sociale, qualunque siano le loro dimensioni e il loro
campo di attività. In questi casi i metodi di ingegneria sociale sono implementati per raggiungere direttamente l’obiettivo finale dell’attacco, ossia un versamento di denaro senza l’ausilio
di mezzo tecnologici avanzati. Tuttavia, sarebbe sbagliato limitare il fenomeno a questo tipo
di attacchi. L’ingegneria sociale assume infatti numerosi aspetti e spesso è uno degli strumenti utilizzati nel quadro di attacchi molto più complessi. Qualunque siano l’attore e il suo
obiettivo, uno dei punti comuni degli attacchi più complessi è spesso costituto dal metodo utilizzato per la compromissione iniziale che consente di «insinuarsi» nella rete mirata. È a
questo livello che interviene l’ingegneria sociale, poiché gli aggressori inviano spesso un’email trappola, talvolta estremamente mirata, a un collaboratore della struttura bersaglio
(«spear phishing»). Gli hacker tentano di ingannare il collaboratore in questione per incitarlo
a rivelare dati di accesso, a cliccare un link o ad aprire un allegato, provocando in entrambi i
casi un’infezione del proprio computer. Questo metodo svolge sovente un ruolo nel caso degli attacchi complessi effettuati a scopo di spionaggio (Advanced Persistent Threat, APT).
Nel caso ad esempio di Careto/The Mask (cfr. il capitolo 4.2) sono stati utilizzati link che imitavano nomi di domini di giornali per incitare i bersagli a seguire un link. Sempre a scopo di
spionaggio l’operazione «Newscaster» (cfr. il capitolo 4.2) costituisce un altro esempio di
58
È bene ricordare anche la definizione che ne è data nel testo di riferimento di Kevin Mitnick «The Art of Deception» (2002):
«Social Engineering uses influence and persuasion to deceive people by convincing them that the social engineer is someone he is not, or by manipulation. As a result, the social engineer is able to take advantage of people to obtain information
with or without the use of technology».
33/47
messa in atto avanzata di ingegneria sociale, segnatamente mediante la creazione di numerose false identità.
Anche gli attacchi complessi effettuati a scopi finanziari spesso utilizzano modus operandi
analoghi all’atto della compromissione iniziale. L’attacco che ha colpito alla fine dell’anno
scorso la catena di negozi Target59 è iniziato con un furto di dati di accesso presso un fornitore con l’ausilio di una e-mail mirata contenente un allegato nocivo. In questo caso i criminali
hanno innanzitutto identificato un fornitore che aveva un ampio accesso alla rete aziendale e
successivamente hanno inviato un’e-mail trappola preparata su misura a uno dei collaboratori. Informazioni disponibili online hanno consentito agli hacker di preparare il loro attacco. Nel
caso del furto di dati perpetrato quest’anno ai danni di eBay (cfr. il capitolo 4.8) è peraltro anche molto verosimile l’ipotesi del ricorso all’ingegneria sociale.
Gli strumenti tecnologici a disposizione dei criminali sono in costante evoluzione. Si scoprono nuove falle, si utilizzano nuovi protocolli e vengono alla luce codici nocivi sempre più
complessi. In questo ambiente in continua trasformazione il punto di attacco rimane il medesimo: lo sfruttamento delle falle umane da parte dei criminali. Il metodo di sfruttamento cambia, testimoniando così l’inventiva e la capacità di adattamento degli «ingegneri sociali», ma
essi attivano sempre le medesime leve sui loro bersagli: curiosità, credulità, allettamento di
guadagno, buona volontà ecc. Questo fenomeno deve pertanto essere considerato nel suo
insieme e non soltanto attraverso il prisma di un attacco particolare. Questi metodi continueranno a essere utilizzati in maniera massiccia anche in futuro finché consentiranno di ottenere informazioni, denaro o un accesso, mentre i soli mezzi tecnologici non lo consentono o lo
consentono meno facilmente. La sensibilizzazione dell’utente rimane pertanto una priorità
assoluta nei confronti di queste minacce. Gli utenti devono imparare a sviluppare un atteggiamento generale di prudenza, se non di diffidenza, di fronte a qualsiasi interlocutore che
chiede di fornire un’informazione, di seguire un link o di aprire un allegato. La verifica della
legittimità di qualsiasi richiesta deve costituire un imperativo e un riflesso di base di ogni
utente. Nelle aziende i processi interni devono essere chiaramente definiti e seguiti in ogni
momento, in particolare se riguardano movimenti di denaro. Deve essere esaminata anche
la possibilità che gli hacker accedano alla totalità di una rete compromettendo un account,
limitando in generale gli accessi e i privilegi e accordandoli unicamente ove sia veramente
necessario. Infine la padronanza delle informazioni che una struttura o in individuo mette in
linea, ad esempio su un sito Internet o su un social network, deve parimenti essere considerata sotto il profilo di un possibile utilizzo malevolo. Gli «ingegneri sociali» sanno infatti utilizzare queste informazioni per perfezionare i loro attacchi e accrescere le loro possibilità di
successo.
5.2 Media e giornalisti: bersagli attraenti
L’informazione è il valore principale che gli autori di attacchi cibernetici tentano di colpire, facendo leva principalmente su tre dimensioni: confidenzialità, disponibilità e integrità. In questo senso gli attori che possiedono grandi quantità di informazioni e quelli la cui professione
è la diffusione dell’informazione costituiscono logicamente bersagli interessanti. I media e i
giornalisti sono toccati da questi due casi specifici: le loro attività li portano a trattare informazioni sensibili e, come diffusori, le informazioni che pubblicano producono talvolta un impatto e un effetto moltiplicatore maggiori. I media figurano pertanto sovente in prima linea e
sono presi regolarmente di mira da diversi tipi di attacco. Ne possono essere bersaglio non
59
34/47
soltanto i giornalisti professionisti, ma anche altri diffusori («giornalisti cittadini», blogger).
Numerosi fonti di informazione confermano il rafforzamento di questa tendenza.
Attacchi che prendono di mira la confidenzialità dei dati
Diversi attori, tra cui anche attori statali, possono essere interessati a diversi tipi di informazione presso i media e i loro collaboratori. Professioni che detengono un’importante quantità
di informazioni sono sicuramente un obiettivo interessante. Un altro aspetto che fa del giornalista un bersaglio attraente è la sua grande mobilità, che aumenta i punti di attacchi potenziali. I dispositivi mobili (smartphone, computer portatili) costituiscono in questo senso i bersagli di attacco presi principalmente di mira.
I modi di accesso all’informazione dipendono dalla natura e dalle possibilità dell’attore attaccante e dalla sua relazione con il bersaglio. In un primo caso specifico un attore statale può
ricorrere a un accesso privilegiato a un’infrastruttura IT che gli consente di ottenere l’informazione. Questo accesso può, come nel caso di taluni Stati totalitari, consentire una sorveglianza pressoché sistematica, fondata sulla manomissione dell’infrastruttura TIC e dei sistemi di comunicazione del proprio territorio. Nei sistemi totalitari i giornalisti, in particolare
quelli che diffondono opinioni contrarie a quelle del potere insediato, costituiscono un bersaglio di qualità di questi metodi. In questo caso la rete di informatori del giornalista costituisce
anch’essa un bersaglio preso di mira.
Gli attori che non possono utilizzare questo tipo di accesso privilegiato, ma che hanno obiettivi in termini di acquisizione di informazione e dispongono dei mezzi per cercare di raggiungerli, ricorrono a operazioni sulle reti informatiche («computer network operation», CNO). Si
pensa in questo caso a campagne del tipo APT, come quelle frequentemente menzionate da
MELANI, ma anche ad attacchi di minore complessità che possono parimenti prendere di mira i giornalisti. Si può trattare ad esempio di metodi «classici» di phishing volti a ottenere dati
di identificazione oppure di metodi nell’intento di installare un malware sul computer della vittima. Alcuni di questi attacchi sono stati oggetto di un’attenzione sostenuta da parte del pubblico in seguito alle dichiarazioni delle vittime o alla pubblicazione dei rapporti di imprese di
sicurezza. Si pensa nella fattispecie agli attacchi ai danni degli account di posta elettronica di
giornalisti di grandi media statunitensi (New York Times, Wall Street Journal, Bloomberg,
Washington Post), seguiti dalla pubblicazione del rapporto APT1 di Mandiant. Numerose vittime preferiscono tuttavia non rendere pubblici gli attacchi.
Attacchi alla disponibilità o all’integrità dei dati
In quanto diffusori di informazione – spesso con un importante effetto moltiplicatore a seconda della loro notorietà o legittimità – i siti di informazione e gli account sulle reti sociali dei
giornali e delle agenzie di stampa costituiscono un bersaglio privilegiato di attacco. Essi sono
principalmente presi di mira da attori che intendono far passare un messaggio, religioso o
politico, con lo scopo di accrescere la loro notorietà e a volte anche di destabilizzare
l’opinione pubblica con informazioni errate. Un attore che nel corso degli ultimi anni ha fatto
frequentemente ricorso a questi metodi è la Syrian Electronic Army (SEA)60. Uno degli attacchi più memorabili di questo attore è stata indubbiamente la pirateria ai danni del conto Twitter dell’agenzia Associated Press (AP), e poi la pubblicazione di un tweet che annunciava
un’esplosione alla Casa bianca e il ferimento del presidente Obama. Il tweet in questione ha
avuto un’immensa risonanza a causa del numero di «follower» che hanno ritrasmesso
l’informazione e un impatto visibile sui mercati statunitensi. Esso è stato reso possibile dal
furto di identificatori presso i collaboratori di AP nel corso di una campagna lampo di
60
35/47
phishing. Oltre agli attacchi ai danni dei social network anche il defacement di siti di informazione costituisce una possibilità utilizzata da questo genere di attori.
L’evoluzione di Internet non ha soltanto provocato una moltiplicazione dei divulgatori di informazioni (media classici, blog, giornalisti cittadini), ma anche un aumento delle tecnologie
utilizzate e delle piattaforme (social network, siti Internet, forum ecc.). Nel caso di alcuni attori queste evoluzioni possono essere considerate come altrettante opportunità di moltiplicazione dei mezzi di accesso alle informazioni e delle possibilità di diffusione efficace di un
messaggio. Si assiste pertanto a una pressione crescente sull’informazione e sui suoi divulgatori. Ciò deve portare ad aumentare il livello di vigilanza da parte di questi professionisti
Diversi elementi dovranno essere presi in considerazione nel quadro di un’analisi del rischio
specifico. Devono anzitutto essere oggetto di una particolare sensibilizzazione i metodi di
compromissione iniziale per accedere ai sistemi o agli account (lo spear phishing e più globalmente l’ingegneria sociale). A questo livello la mobilità deve essere considerata come un
fattore supplementare di vulnerabilità, perché essa estende le aree potenziali di attacco. Un
ulteriore aspetto dell’analisi è costituito dalla questione della sorveglianza che deve essere
effettuata in determinate situazioni da attori che beneficiano di un accesso privilegiato a
un’infrastruttura e dalle soluzioni che consentono di fronteggiarle. Al riguardo le possibilità
esistenti per proteggere le comunicazioni devono rimanere al centro delle preoccupazioni. La
scelta del fornitore di servizi Internet, in particolare per quanto concerne i servizi di posta
elettronica o di archiviazione dei dati, deve essere effettuata sotto il profilo delle garanzie in
termini confidenzialità dei dati.
5.3 Evoluzioni in Internet dopo Snowden
La «sfera privata in Internet» ha sofferto fortemente in seguito alle prime rivelazioni di
Snowden. I documenti pubblicati suggeriscono che la maggior parte dei flussi di dati sono
sorvegliati e che anche i dati delle aziende statunitensi sono tutto fuorché protetti dagli attacchi dello Stato americano. Il singolo utente è piuttosto indifeso di fronte di queste evoluzioni.
Esso può invero adeguare fino a un certo punto il proprio comportamento, ad esempio attraverso la scelta del proprio fornitore di prestazioni di servizi TIC o adottando ulteriori metodi di
crittografia. (In questo senso «Threema», l’alternativa svizzera a WhatsApp ha registrato un
notevole afflusso negli ultimi tempi61). Ciononostante, in numerosi casi l’utente deve ricorrere
a componenti standard di hardware e software. Ma le evoluzioni in Internet sono state davvero influenzate dalle conoscenze acquisite lo scorso anno dal caso Snowden? È certamente
troppo presto individuare in questa sede qualche cambiamento duraturo. Tuttavia, esistono
iniziative statali e private che si basano almeno in parte sulle più recenti rivelazioni di
Snowden.
Al momento si distinguono due tendenze: da un lato, gli Stati si impegnano per rendere
maggiormente indipendenti dagli USA determinate parti di Internet. Ciò comprende la realizzazione di reti proprie o l’utilizzo di componenti propri. D’altro lato, le aziende statunitensi
tentano di riacquistare la fiducia nel sistema Internet mediante migliori tecniche di crittografia
e altre misure.
61
http://www.handelsblatt.com/unternehmen/it-medien/instant-messenger-whatsapp-alternative-threema-waechstrasant/9519942.html (stato: 1° settembre 2014).
36/47
Interventi a favore di reti più indipendenti
Angela Merkel ha lanciato una proposta a favore di un traffico dati intereuropeo. La Commissione dell’UE ha manifestato il proprio sostegno in merito62. Dall’inizio della pubblicazione dei
documenti della NSA si sono registrate proposte a favore di una rete che consenta un mero
traffico dati intereuropeo. L’idea è che i pacchetti di dati tra gli utenti di Internet dello spazio
Schengen si svolga effettivamente all’interno di queste frontiere. Attualmente i pacchetti di
dati ricercano il percorso più favorevole, che può anche passare per gli Stati Uniti. Rimane
tuttora aperta la questione di come ciò possa essere attuato. Si deve inoltre prendere in considerazione il fatto che nel caso di simili piani anche motivazioni economiche e politiche
svolgono un ruolo63.
Fin dall’autunno del 2013 Dilma Rousseff, presidente del Brasile, ha reso noto che il Brasile
intende aumentare il numero di collegamenti Internet indipendenti con gli altri Paesi64.
Anche in Svizzera le informazioni pubblicate hanno avuto le prime ripercussioni. All’inizio del
mese di febbraio del 2014 il Consiglio federale ha deciso che le infrastrutture critiche, come
le reti di comunicazione dell’Amministrazione, dovrebbero per quanto possibile essere costruite in maniera autonoma e che i relativi mandati dovrebbero possibilmente essere assegnati ad aziende svizzere. Si tratta innanzitutto delle infrastrutture TIC della Confederazione,
per le quali è importante la confidenzialità. Ciò comprende tra l’altro la telefonia, la telefonia
mobile, i computer e le reti, nonché le installazioni militari65.
La «Internet Corporation for Assigned Names and Numbers (ICANN)» ritiene che entro il settembre del 2015 debba essere elaborata una struttura internazionale, questo con il coinvolgimento dell’economia privata, dei Governi e del pubblico. L’ICANN, un’organizzazione senza scopo di lucro, coordina l’assegnazione di nomi e indirizzi unici in Internet e sottostà alla
vigilanza del Ministero del commercio statunitense. Il contratto attuale con il Governo degli
Stati Uniti scade nel 2015. Da tempo esistono simili interventi, soprattutto da parte della Cina
e della Russia, che però non si sono realizzati a seguito delle pressioni dell’economia legata
ad Internet. Gli Stati Uniti smentiscono una correlazione con le attuali rivelazioni di Snowden,
ma intendono tuttavia cedere il controllo della gestione di Internet di ICANN66.
Investimenti nelle TIC e nella sicurezza giuridica da parte di aziende statunitensi e non statunitensi
Nel primo semestre del 2014 numerosi provider di posta elettronica sono passati alla crittografia della trasmissione di dati. Yahoo ha reso noto fin dal mese di novembre del 2013 un
aumento graduale della sicurezza degli utenti. In questo senso all’inizio dell’anno il traffico su
Internet è stato convertito su base standard in HTTPS. All’inizio di aprile l’intero traffico di dati tra i servizi di Yahoo e i centri di dati è stato crittografato. È stata annunciata anche una
nuova versione crittografata di Yahoo Messenger67. Dalla fine del mese di aprile anche i pro-
62
http://www.heise.de/newsticker/meldung/Bruessel-unterstuetzt-Merkels-Vorstoss-fuer-Schengen-Netz-2116663.html (stato:
1° settembre 2014).
63
http://www.welt.de/politik/ausland/article126925318/Schengen-Cloud-koennte-zum-Handelskrieg-fuehren.html (stato: 1° settembre 2014).
64
http://www.theguardian.com/world/2013/sep/20/brazil-dilma-rousseff-internet-us-control (stato: 1° settembre 2014).
65
http://www.nzz.ch/wirtschaft/newsticker/chus-geheimdienstaffaere-br-will-mehr-sicherheit-fuer-telekom-und-informatik1°18236385 (stato: 1° settembre 2014).
66
http://www.faz.net/aktuell/wirtschaft/netzwirtschaft/amerika-gibt-aufsicht-ueber-internet-verwaltung-auf-12849181°html (stato: 1° settembre 2014).
67
http://yahoo.tumblr.com/post/81529518520/status-update-encryption-at-yahoo (stato: 1° settembre 2014).
37/47
vider tedeschi di posta elettronica «Freenet», «GMX», «Web.de» e la Deutsche Telekom
consentono unicamente comunicazioni crittografate tra gli utenti e i centri di dati68.
La crittografia della trasmissione di dati menzionata sopra si riferisce tuttavia al solo percorso
tra l’utente e il suo provider di posta elettronica. La trasmissione dei dati tra i provider deve
essere considerato separatamente. Se il provider del destinatario non accetta dati crittografati, i dati relativi alla posta elettronica, ad esempio, continuano a essere trasmessi non crittografati. Google ha pubblicato in merito un primo rapporto sulla trasparenza ed elenca anche i provider che non accettano nessuna crittografia. Secondo questo rapporto il
75 per cento dei messaggi in uscita da Gmail sono cifrati, mentre nel caso dei messaggi in
entrata la percentuale di crittografia è inferiore e pari al 57 per cento69. Entrambi questi valori
sono lievitati nel corso dell’ultimo semestre. Come risulta da uno studio del mese di maggio
del 2014 il traffico crittografato di dati è in genere fortemente aumentato negli ultimi mesi.
Esso è raddoppiato nel giro di un anno e addirittura triplicato a livello europeo70.
Un caso che attualmente occupa Microsoft potrebbe avere ampie ripercussioni sulla conservazione dei dati, specialmente quelli dei servizi cloud. Si tratta di sapere se anche i dati dei
clienti di aziende statunitensi memorizzati in Europa debbano essere forniti agli Stati Uniti.
Questo conflitto legale è seguito con molto interesse nel mondo intero proprio a causa delle
rivelazioni di Snowden. Concretamente, un tribunale distrettuale statunitense esige che Microsoft consegni e-mail e altri dati memorizzati di un cliente, archiviati in un centro dati di
Dublino. Microsoft sostiene in merito il parere che la giustizia statunitense non ha il diritto di
esigere dati memorizzati fuori dagli Stati Uniti. Il valore simbolico di questa sentenza è enorme: non si tratta soltanto della fiducia a lungo termine dei clienti nelle aziende, ma anche della giurisdizione dei dati memorizzati in un cloud.
Anche da parte degli Stati Uniti si avvertono segnali secondo i quali l’acquisizione di dati da
parte della NSA deve essere maggiormente regolamentato. In questo senso il presidente
Obama ha ordinato modifiche della prassi di acquisizione dei dati della NSA. Gli Stati Uniti
non intendono ad esempio più spiare le comunicazioni dei capi di stato e di governo di «amici e alleati» all’estero finché non è dato un motivo imperativo di sicurezza nazionale. In futuro
anche i cittadini non statunitensi potranno beneficiare in parte delle prescrizioni in materia di
protezione finora valide per i soli cittadini americani71. Queste affermazioni sono però ancora
poco concrete e fortemente opinabili.
5.4 Autentificazione a due fattori per tutti i servizi
Nell’attuale fase di minaccia le password e in generale le autenticazioni a un solo fattore non
offrono una sicurezza sufficiente. Per questo motivo MELANI raccomanda di utilizzare sempre un’autenticazione a due fattori. Esistono in genere i seguenti fattori di autenticazione:
68
•
Sapere: «Dimostro la mia identità con la conoscenza», ad esempio una password.
•
Avere: «Dimostro la mia identità con qualcosa che posseggo», ad esempio una smart
card.
http://www.computerbild.de/artikel/cb-Aktuell-Sicherheit-E-Mail-made-in-Germany-Telekom-GMX-Web.de-Freenet-SSL8593819.html (stato: 1° settembre 2014).
69
http://www.google.com/transparencyreport/saferemail/ (stato: settembre 2014).
70
https://www.sandvine.com/trends/global-internet-phenomena/ (stato: 1° settembre 2014).
71
http://www.nzz.ch/aktuell/startseite/obama-setzt-geheimdiensten-engere-grenzen-1°18223803 (stato: 1° settembre 2014).
38/47
•
Essere: «Dimostro la mia identità con una caratteristica», ad esempio un’impronta digitale.
Se si combinano due di questi fattori si parla di un’autenticazione a due fattori. Spesso si
combinano sapere e avere. Da qualche tempo questo è divenuto uno standard in ambito di
e-banking e numerose applicazioni di provider di Internet seguono lentamente questa strada.
Spesso si ricorre alla tecnica dell’invio di un SMS contenente un codice a un numero telefonico definito in precedenza. Una parte dei servizi risolve il problema in maniera tale da rendere necessario questo passo soltanto la prima volta, quando ci si connette con un apparecchio e poi questo apparecchio è durevolmente memorizzato come affidabile. Altri servizi utilizzano la procedura One Time Password (OTP), basata su una app che genera casualmente numeri validi per un breve periodo di tempo (ad es. Google Authenticator).
Indichiamo qui seguito alcuni provider che supportano l’autenticazione a due fattori:
•
applicazioni Google (Gmail, Google+, ecc.)
•
Outlook.com
•
Dropbox
•
…..
Questo genere di autenticazione dovrebbe essere utilizzato anche per l’amministrazione di
sistemi CMS, nonché in genere per le interfacce di amministrazione accessibili da Internet: la
perdita di una password in questo settore può provocare notevoli danni, anche a terzi. La
maggior parte dei sistemi CMS supportano l’autenticazione a due fattori, sia direttamente
come nel caso di Joomla o tramite plugin, come nel caso ad esempio del plugin di Henrik
Schak72 in Wordpress. Anche i servizi sovente oggetto di attacchi di Bruteforce come il servizio SSH di Linux, che fornisce una trasmissione crittografata dei dati, possono essere protetti
in maniera intuitiva con il Google Authenticator o con una procedura a chiave privata / a
chiave pubbliva (private key / public key).
Nel caso di accessi particolarmente delicati o in quello di grandi aziende si dovrebbero vagliare quali procedure di autenticazione tecnologie come i certificati su smart card oppure
procedure isolate di password valide una sola volta, perché lo smartphone stesso è collegato
a Internet e quindi suscettibile di attacchi.
5.5 Interventi parlamentari
Intervento
Numero
Titolo
Inoltrato da
Data di inoltro
Camera
Interpellanza
14.3019
Acquisti pubblici. Progetti TIC
03.03.2014
Domanda
14.5063
05.03.2014
Iniziativa cantonale
14.305
Cantone di Berna
19.03.2014
Interpellanza
14.3204
Felix Gutzwiller
Postulato
14.3193
Mozione
14.3288
Interpellanza
14.3240
Sistema di intercettazioni telefoniche ISS
Basta con gli appelli anonimi
a dimostrazioni e a grandi
manifestazioni senza assunzione di responsabilità!
Consenso del gruppo di lavoro AGUR 12. Ulteriori passi
Migliorare le indagini di polizia nelle reti sociali
Rendere l’usurpazione d’identità un reato penale a sé
stante
Governance globale di Internet. Un’opportunità senza
precedenti per la Ginevra internazionale
Noser Ruedi /
Gruppo liberale radicale
Balthasar Glättli
72
Stato della delibera & link
CN
Dipartimento
DFF
CN
DFGP
http://www.parlament.ch/i/suche/Pagine/g
eschaefte.aspx?gesch_id=20143193
20.03.2014
CS
DFGP
Karl Vogler
20.03.2014
CN
DFGP
Raphaël Comte
21.03.2014
CS
DFGP
Carlo Sommaruga
21.03.2014
CN
DFAE
https://wordpress.org/plugins/google-authenticator/ (stato: settembre 2014).
39/47
Mozione
14.3236
Mozione
14.3011
Mozione
14.3293
Interpellanza
14.3379
Interpellanza
14.3351
Interpellanza
14.3341
Interpellanza
14.3409
Mozione
14.3423
Postulato
14.3532
Postulato
14.3658
Interpellanza
14.3630
Adeguamento del servizio
universale in materia di collegamenti Internet a banda
larga
Riduzione dei costi grazie alla procedura elettronica per
le dichiarazioni doganali
Tassa sui supporti audio e
audiovisivi vergini
Garantire la sicurezza dei siti
Internet svizzeri tramite imprese svizzere
Medicina personalizzata.
Una biobanca nazionale al
posto delle banche dati private su pazienti svizzeri
Swisscom. Pianificazione del
passaggio dalla telefonia
analogica alla telefonia su Internet per tutti i collegamenti
telefonici fissi
Diritto di accesso digitale minimo
Posizionare la Svizzera come piattaforma internazionale per la regolamentazione di
Internet
Programmi open source nell’Amministrazione federale.
Punto della situazione e prospettive
Rapporto sulle conseguenze
e sulle misure da prendere
per le piattaforme Internet di
scambio di servizi, segnatamente nel settore degli alloggi e del trasporto
Prescrizioni sulla pubblicità.
Recepimento automatico del
diritto dell’UE
Martin Candinas
21.03.2014
CN
DATEC
Commissione dell’economia e dei
tributi CET
Commissione dell’economia e dei
tributi CET
Derder Fathi
24.03.2014
CN
DFF
08.04.2014
CN
DFGP
08.05.2014
CN
DFF
Barbara SchmidFederer
08.05.2014
CN
DFI
Glättli Balthasar
08.05.2014
CN
DATEC
Luc Recordon
05.06.2014
CS
DATEC
Noser Ruedi /
Gruppo liberale radicale
10.06.2014
CN
DFAE
http://www.parlament.ch/d/suche/seiten/g
Edith Graf-Lischer
19.06.2014
CN
DFF
Carlo Sommaruga
20.06.2014
CN
DFF
Thomas Müller
20.06.2014
CN
DFAE
40/47
6 Glossario
Access Control List (ACL)
Una Access Control List (ACL), in italiano lista di controllo degli accessi, è una tecnica software con la quale si possono limitare gli accessi ai dati e alle funzioni
da parte dei sistemi operativi e delle applicazioni.
Advanced Persistent Threat
(APT)
Questa minaccia provoca un danno molto ingente,
che si ripercuote sulla singola organizzazione o su un
Paese. L’aggressore è disposto a investire molto
tempo, denaro e conoscenze nell’attacco e dispone
generalmente di notevoli risorse.
Attacchi di Watering-Hole
Infezioni mirate con software nocivo per il tramite
di siti Web che vengono visitati di preferenza da
un gruppo specifico di utenti.
Attacco DoS
Attacco Denial-of-Service. Ha lo scopo di rendere irraggiungibile un determinato servizio all’utente o perlomeno di ostacolare notevolmente la raggiungibilità
di detto servizio.
Backdoor
Backdoor (in italiano: porta posteriore) designa
una parte del software che consente agli utenti di
accedere al computer eludendo le normali protezione di accesso oppure un’altra funzione altrimenti protetta di un programma per computer.
Backup
Backup (in italiano: salvaguardia dei dati) designa la
copia di dati nell’intento di poterli ricopiare in caso di
perdita.
Bit/Byte
Il byte è un’unità di misura dei dati memorizzati digitalmente e trasmessi. Il byte è costituito da 8 bit.
Bruteforce
Il metodo Bruteforce è una soluzione ai problemi basata sulla sperimentazione di tutti o perlomeno del
maggior numero possibile di casi.
Cache
Nell’EDP la cache è una memoria che aiuta a evitare
accessi ripetuti a un media lento in background o
nuovi calcoli dispendiosi.
Cavalli di Troia
I cavalli di Troia (sovente chiamati troiani) sono
programmi che eseguono di nascosto operazioni
nocive, camuffandosi in applicazioni e documenti
utili per l’utente.
Certificate Authority (italiano: servizio di certificazione)
Un servizio di certificazione è un'organizzazione
che rilascia certificati digitali. Un certificato digitale
è in un certo qual senso l'equivalente di una carta
d'identità a livello di cyberspazio ed è destinato
all'assegnazione di una determinata chiave pubblica a una persona o a un'organizzazione. Tale as41/47
segnazione è autenticata dal servizio di certificazione che provvede a tale scopo apponendovi la
propria firma digitale.
Certificato
Un certificato digitale è una stringa di dati che conferma determinate caratteristiche di una persona o di
un oggetto e mediante il quale possono essere verificate la loro autenticità e integrità con procedure crittografiche.
Chat
Chat designa la comunicazione elettronica in tempo
reale, perlopiù via Internet.
Chiave privata / Chiave pubblica
La procedura public key è una procedura asimmetrica
e crittografica utilizzata in una coppia di chiavi. Questa coppia crittografica di chiavi consta di una chiave
pubblica e di una chiave privata.
Cifratura di trasporto
Cifratura di dati tra due server, in particolare nei servizi di posta elettronica, tra utente e provider di e-mail.
Cloud computing
o «cloud computing» (sinonimo: «cloud IT», in italiano: «calcolare tra le nuvole»); concetto della tecnica
dell’informazione (IT). Il paesaggio IT non è più esercitato/messo a disposizione dall’utente stesso, bensì
proposto da uno o più offerenti. Le applicazioni e i dati
non si trovano più sul computer locale nel centro di
calcolo della ditta, ma in una nuvola («cloud»).
L’accesso a questi sistemi a distanza è effettuato per
il tramite di una rete.
Code review
Con la code review (verifica del codice) si controllano
manualmente i risultati di lavoro nello sviluppo di
software.
Codice Exploit
(abbrev.: Exploit) Un programma, uno script o una
riga di codice per il tramite dei quali è possibile
sfruttare le lacune dei sistemi di computer.
Command and Control Server
La maggior parte dei bot possono essere sorvegliati
da un botmaster e ricevere comandi attraverso un canale di comunicazione. Tale canale di comunicazione
è denominato Command and Control Server.
Computer Network Operation
(CNO)
Per operazioni di reti di computer si intendono le misure di condotta della guerra per garantirsi la superiorità dell’informazione nei confronti dell’avversario o rispettivamente per limitarla presso il nemico.
Content Management System
(CMS)
Un «Content Management System» (acronimo CMS,
in italiano «sistema di gestione dei contenuti») è un
sistema che rende possibile e organizza la produzione e l’elaborazione comune di contenuti, consistenti in
documenti di testo e multimediali, in genere destinati
al World Wide Web. Un autore può servirsi di un simile sistema anche senza conoscenze di programmazione o di HTML. In questo caso il contenuto informa42/47
tivo da presentare è detto «content» (contenuto).
Controllore
logico
grammabile (CLP)
pro-
Un controllo logico programmabile (CLP), in inglese
Programmable Logic Controller (PLC), è
un’apparecchiatura utilizzata per il controllo o la regolazione di una macchina o di un impianto che viene
programmata su base digitale. Da alcuni anni esso
sostituisce nella maggior parte dei settori il controllore
programmabile cablato a livello di hardware.
Defacement
Deturpamento di pagine Web.
Diffie-Hellmann
Lo scambio di chiavi Diffie-Hellman o scambio di
chiavi Diffie-Hellman-Merkle è un protocollo di scambio di chiavi mediante il quale i partner di comunicazione generano una chiave segreta che solo loro conoscono.
DNS
Domain Name System. Con l’ausilio del DNS, Internet
e i suoi servizi sono di agevole utilizzazione, perché al
posto dell’indirizzo l’utente possono utilizzare nomi
(ad es. www.melani.admin.ch).
DNS Amplification/Reflection
Attack
Attacco di Denial of Service (DoS), che sfrutta
abusivamente server DNS accessibili al pubblico e
li utilizza come amplifier (amplificatore).
Driver Software
Un driver per apparecchiature, sovente semplicemente denominato driver, è un programma di computer o
un modulo di software che comanda l’interazione con
le apparecchiature collegate.
Fingerprint
In informatica i fingerprint sono sovente funzioni hash
destinate a identificare un file.
Hardware Security Module
(HSM)
Il concetto di modulo di sicurezza dell’hardware in inglese Hardware Security Module (HSM), (interno o
esterno) è una periferica per l’esecuzione sicura ed
efficiente di operazioni o applicazioni crittografiche.
HTTP Strict Transport Security
L’HTTP Strict Transport Security (HSTS) è
un’impostazine dei server web che genera una connessione crittografata tra il server web e l’utente.
HTTP-Request
HyperText Transfer Protocol Standard per la trasmissione di documenti HTML in Internet.
HTTPS
Protocollo per la trasmissione sicura, ossia cifrata di
documenti HTML su una rete pubblica (ad es. Internet).
Infezione
da
download»
«drive-by-
Infezione del computer mediante malware unicamente attraverso la consultazione di una pagina
web. Le pagine web interessate contengono nella
maggior parte dei casi offerte serie, ma sono state
dapprima compresse allo scopo di diffondere il
malware. L’infezione avviene perlopiù per il tramite
43/47
dell’utilizzo di exploit che sfruttano le lacune nel sistema di sicurezza lasciate scoperte dal visitatore.
Ingress filtering
Un ingress filter formulato in maniera generale protegge le reti dal traffico indesiderato in entrata.
Internet Service Provider (ISP)
Internet Service Provider. Offerente di prestazioni Internet, che offre generalmente contro retribuzione diverse prestazioni indispensabili per l’utilizzazione o
l’esercizio di servizi Internet.
IP-Adresse
Indirizzo che identifica il computer in Internet (o su
una rete TCP/IP; esempio: 172.16.54.87).
Least privilege
Il concetto di diritto minimo stabilisce che a una sottoclasse non va accordato nessun accesso a un componente se ciò non è assolutamente indispensabile.
Malicious Code
Termine generico per software che esegue funzioni nocive su un computer. Rientrano tra l’altro in
questo gruppo i virus, vermi informatici, cavalli di
Toia, nonché le Logic Bombs.
Metadati
I metadati o metainformazioni sono dati che contengono informazioni su altri dati.
NTP
Il Network Time Protocol (NTP) è uno standard di
sincronizzazione degli orologi sui sistemi di computer per il tramite di reti di comunicazione basate
su pacchetti.
OPC server
OLE for Process Control (OPC) era la designazione
originale delle interfacce software standardizzate destinata a rendere possibile lo scambio di dati tra applicazioni di produttori diversi nella tecnologia di automatizzazione.
OpenSSL
OpenSSL, originariamente SSLeay, è un software libero per la Transport Layer Security, originariamente
Secure Sockets Layer (SSL).
OTP
Una one time password (OTP; in italiano password
digitata una sola volta) è una password di autenticazione o di autorizzazione. Ogni password unica è valida per un solo utilizzo e non può essere usata una
seconda volta.
Patch
Un software che sostituisce le componenti di un
programma affette da errori, sopprimendo così per
esempio una lacuna di sicurezza.
Peer To Peer
Peer to Peer Un’architettura di rete nel cui ambito i
sistemi partecipanti possono assumere le medesime funzioni (diversamente dalle architetture
cliente-server). Il P2P è sovente utilizzato per lo
44/47
scambio di dati.
Phishing
Nel caso del phishing i truffatori tentano di accedere
ai dati confidenziali di ignari utenti di Internet. Si può
trattare per esempio di informazioni sui conti di offerenti di aste online (ad es. eBay) o di dati di accesso a
servizi bancari via Internet. I truffatori sfruttano la
buona fede e la disponibilità delle loro vittime inviando
loro e-mail nei quali l’indirizzo del mittente è falsificato.
Pingback
Il Pingback è un metodo che consente agli autori web
di chiedere una notifica appena qualcuno accede ai
suoi documenti o siti mediante un link.
Port
Il port è una parte di un indirizzo di rete che assegna
le connessioni TCP o UDP e di pacchetti di dati a server e a programmi client attraverso il sistema operativo.
Ransomware
Malware tramite il quale i proprietari dei computer infettati sono ricattati (ransom: termine inglese per riscatto). Nel caso tipico i dati sono cifrati e nuovamente messi a disposizione dall’aggressore dopo il pagamento del riscatto per la chiave di decodificazione necessaria al loro ripristino.
Remote Administration Tool
(RAT)
Il software di manutenzione a distanza (in inglese:
Remote Administration Tool) costituisce
un’applicazione nell’ambito del concetto di manutenzione a distanza di qualsiasi computer o sistema di
computer.
Remote Procedure Call (RPC)
La Remote Procedure Call (RPC) è una tecnica per
realizzare la comunicazione interprocessi. Essa consente di richiamare funzioni in altri ambiti
dell’indirizzo.
Rete bot
Un insieme di computer infettati da Malicious Bot.
Essi possono essere interamente comandati a distanza da un aggressore (il proprietario della rete
bot). A seconda delle dimensioni, una rete può
constare di poche centinaia fino a milioni di elaboratori infettati.
Riga di indirizzo
La digitazione dell’URL in una riga di indirizzo del
browser consente di richiamare il relativo sito Internet.
Router
Apparecchiature del settore delle reti di computer,
della telecomunicazione o anche di Internet che collegano o separano più reti di computer. I router sono
ad esempio utilizzati nelle reti domestiche per effettuare il collegamento tra la rete interna e Internet.
Servizio di streaming
Streaming media descrive la trasmissione simultanea
dei dati video e audio attraverso una rete.
45/47
Smartphone
Lo smartphone è un telefono mobile che mette a disposizione una maggiore funzionalità di computer di
quella di un telefono mobile progredito usuale.
SMS
Short Message Service Servizio per l’invio di messaggi brevi (160 caratteri al massimo) agli utenti di telefonia mobile.
SNMP
Il Simple Network Management Protocol (SNMP) è un
protocollo di rete sviluppato da IETF per poter sorvegliare e controllare elementi di rete (ad es. router,
switch, stampanti, computer ecc.) da una postazione
centrale.
Social Engineering
Gli attacchi di social engineering sfruttano la disponibilità, la buona fede e l’insicurezza delle persone per
accedere per esempio a dati confidenziali o per indurre le vittime a effettuare determinate operazioni.
Spearphishing
Attacco mirato di phishing. Si fa ad esempio credere alla vittima di comunicare tramite e-mail con
una persona di fiducia.
SSH FileTransfer Protocol
Secure Shell Protocollo che grazie alla cifratura
dei dati consente tra l’altro l’accesso sicuro (Login)
a un sistema di computer accessibile per il tramite
di una rete pubblica (ad es. Internet).
SSL
Secure Sockets Layer. Un protocollo di comunicazione sicura in Internet. Attualmente lo SSL viene
ad esempio utilizzato in ambito di transazioni finanziarie online.
Tunneling
Il tunnel o il, rispettivamente tunneling, designa la
conversione e la trasmissione all’interno di una rete di
un protocollo di comunicazione, integrato ai fini del
trasporto in un altro protocollo di comunicazione.
URL
Uniform Resource Locator. L’indirizzo Web di un documento composto dal protocollo, dal nome del server e dal nome del documento con il percorso (esempio: http://www.melani.admin.ch/test.html).
User Datagram Protocol (UDP)
UDP è un protocollo di rete minimo e senza connessioni che fa par-te della suite di protocolli di trasporto
della famiglia di protocolli Internet. Il compito di UDP è
di far pervenire all’applicazione corretta i dati trasmessi via Internet.
VideoCodec
Un VideoCodec designa una coppia di algoritmi che
descrive la codificazione e la decodificazione di materiale video digitale.
Virus
Un programma informatico capace di auto replicarsi e
provvisto di funzioni nocive, che si aggancia a un programma ospite o a un file ospite per diffondersi.
46/47
VPN
Virtual Private Network. Consente per il tramite
della cifratura del traffico di dati una comunicazione sicura tra computer su una rete pubblica (ad
es. Internet).
Webmail
Si identificano come webmail i servizi del World Wide
Web che consentono la gestione della posta elettronica con un browser web.
WLAN
L’abbreviazione WLAN (o Wireless Local Area
Network) significa rete locale senza fili.
47/47

Rapporto semestrale 2014/1

Transcript

Documenti analoghi

Incertezza, complessità e sfide organizzative

chi vuole una chiesa un po` più «protestante

Saluto Presidente USI - Università della Svizzera italiana

Non si rinunci alla propria libertà per avere sicurezza

Claude Hauri - Esperance in Musica

Attacchi di squalo: problema reale o fenomeno

the importance of layered security_fin_ITA6

Azione- "In quest`epoca della flessibilità volere è... sapere

Comunicato Stampa