Ormai a ben pochi sfugge ancora che, oltre alle guerre “fisiche” di cui sentiamo parlare quotidianamente sono in questo momento attive moltissime battaglie, schermaglie e guerre vere e proprie che si combattano nelle reti informatiche.
Queste guerre virtuali o altrimenti dette cyberwarfare, iniziano a riempire le pagine dei giornali e ad arrivare all’attenzione della comune popolazione. Si inizia a percepire (finalmente, si potrebbe dire) che la rete non è un posto tranquillo dove siamo tutti al sicuro, o qualcosa di distante da noi.Anche il termine “virtuale non è esatto, in quanto gli effetti sono reali e riguardano indisponibilità dei servizi, distruzione, furto e occultamento di dati, estorsioni, divulgazioni di informazioni riservate e segreti militari.
Tra queste battaglie, quelle di cui si parla maggiormente sono naturalmente quelle legate alla guerra in Ucraina (di cui abbiamo parlato ampiamente in questo articolo) e inevitabilmente l’Italia, coinvolta nella guerra “ufficiale”, risulta esposta anche sul piano cyberwarfare.
Circa due settimane fa, il collettivo Killnet, un gruppo hacker pro-Russia di cui in realtà si sa poco e di cui si è iniziato a sentir parlare proprio in conseguenza alla guerra in Ucraina, aveva annunciato di voler attaccare obiettivi informatici italiani (istituzionali e non).
Dopo questo annuncio, il 20 maggio vengono registrati svariati attacchi a infrastrutture web italiane. Si registrano attacchi all’Istituto Superiore della Sanità, al Senato Italiano, al Ministero della Difesa e addirittura all’Automobil Club d’Italia.Inoltre la Polizia Postale annuncia un tentativo (poi sventato) di attacco ai servizi di voto online dell’Eurovision Song Contest che, come noto, si stava svolgendo proprio in quei giorni a Torino.Una lista più esaustiva dei servizi colpiti è stata rilasciata da Killnet stessa su telegram e si può trovare qui.
Occorre adesso chiarire un aspetto importante: di quali attacchi parliamo?In linea di massima, questa tipologia di azione viene eseguita con attacchi di tipo DDOS. In pratica si tratta di utilizzare un grande numero di dispositivi sotto il controllo dell’autore dell’azione per direzionare un mole enorme di traffico verso il servizio che si desidera colpire, fino a quando il server colpito collassa per esaurimento delle risorse.Per fare un esempio, se vogliamo far collassare un ufficio postale (o renderlo indisponibile per un certo periodo di tempo) è sufficiente mandare nello stesso momento qualche migliaio di utenti. L’ufficio non sarà in grado di gestire questo numero straordinario di richieste e sicuramente per gli utenti “reali” sarà impossibile anche solo entrare nella struttura. Ad un certo punto, l’ufficio sarà obbligato a chiudere le serrande, attendere che il flusso di utenti si interrompa, e solo a quel punto riprendere le attività. Ecco, gli attacchi DDOS funzionano in questo modo: centinaia di migliaia di false richieste contemporanee che esauriscono le capacità di gestione dei server. Il server smette di funzionare (o viene disattivato dagli amministratori) e gli utenti “reali” trovano il servizio (ad esempio un sito web) indisponibile.Gli attacchi DDOS sono molto popolari, principalmente perché sono economici e richiedono competenze di livello basso. In linea di massima non è richiesta alcuna penetrazione vera e propria di una infrastruttura, non si devono superare barriere particolari di protezione e vengono prese di mira risorse pubbliche. In particolare siti e servizi web. E, data la sua natura non penetrativa, un attacco DDOS non lascia quasi mai danni permanenti. Da un punto di vista tecnico, non c’è alcuna differenza tra un attacco DDOS e qualche milione di utenti che entrano nel sito dell’INPS per prenotare un nuovo incentivo o bonus statale. In entrambi i casi, il servizio collassa.
Anche Killnet sembra ammettere la scarsa efficacia degli attacchi DDOS in uno dei suoi comunicati dei giorni scorsi: “Se c’è qualcuno da temere ogni giorno, è solo killnet. Per la guida di questi gruppi, non sono misericordioso come la Russia lo è per i nazisti. Per te, io sono il cyber terrorista n. 1 che non ha pietà e morale. L’attacco Ddos non fa paura? Ogni alba nei tuoi paesi sarà come l’ultima! La Russia non è il tuo nemico, il tuo nemico è KILLNET! Tic tac, tic tac”.
Si, gli attacchi DDOS non fanno poi così paura, inoltre esistono degli strumenti solidi per constrastare questo tipo di attacchi, come le Appliances IPS come TippingPoint di Trend Micro i firewall Next-Generation (che includono giù l’Intrusion Prevention System al loro interno).Più che altro sono fastidi per gli addetti alla sicurezza informatica, per i sistemisti e una scocciatura per gli utenti che non possono usufruire dei servizi.Ma i problemi non sono questi.
Parafrasando il comunicato di Killnet, potremmo dire che il nemico non è Killnet (o in generale un qualsiasi hacker), ma la scarsa consapevolezza informatica che ancora permea nella nostra struttura pubblica, privata e nella nostra sfera personale.
Non ci preoccupiamo troppo dei nostri dati, e non lo fanno neppure le aziende e gli uffici per cui lavoriamo dove le password sono viste come una scocciatura e trattate quasi come una chiave della porta bagno che passa di mano in mano all’occorrenza. Solo che dietro alle password non ci sono un wc e bidet, ma c’è spesso il cuore della nostra vita e delle nostre attività.
Gli attacchi DDOS degli ultimi giorni, come abbiamo detto, non hanno prodotto alcun danno significativo, ma il problema è che hanno avuto luogo. Quello che dovremmo chiederci è: possiamo pensare ad una infrastruttura pubblica in grado di resistere ad attacchi di livello scuola elementare degli hacker? Probabilmente si, visto che operiamo quotidianamente con servizi (privati) che gestiscono contemporaneamente milioni di utenti, trasferiscono enormi quantità di dati e che subiscono quotidianamente attacchi, ma neppure ce ne accorgiamo.
E se abbiamo un sistema pubblico ancora vulnerabile ad attacchi perlopiù dimostrativi come quelli di Killnet, cosa stiamo facendo contro attacchi ben più pericolosi, distruttivi ed economicamente rilevanti come ransomware et similia? Per adesso, molti li abbiamo semplicemente subiti.
Molti ricorderanno i primi giorni del lockdown, quando più della metà del personale pubblico fu messo improvvisamente in smart-working. Personale senza strumentazione, con alle spalle sistemi ed infrastrutture spesso mai rinnovate negli anni, senza alcun vero e proprio piano di sicurezza informatica. Queste persone si ritrovarono a casa, senza assistenza tecnica, a dover fare affidamento sulle competenze e le strumentazioni di amici, familiari e conoscenti per portare avanti il loro lavoro. Praticamente ogni dipendente pubblico era stato messo nelle condizioni di diventare un end-point ad alto livello di vulnerabilità.Ripensandoci oggi, sembra incredibile che non sia successo nulla di disastroso.O forse ancora non lo abbiamo ancora scoperto.
L’esperienza ci ha comunque insegnato molto e la situazione sta migliorando, bisogna ammetterlo: anche nel nostro paese stanno emergendo realtà e personalità di spicco nel campo Cybersecurity, vengono stanziati fondi, gli esperti di cybersicurezza sono più richiesti come i pizzaioli ed i camionisti e ci sono continuamente conferenze di settore (l’ultima, la Cybertech Europe 2022, ospitava il gotcha dei secOps italiani proprio negli stessi giorni in cui Killnet mandava giù i servizi nostrani, come ha fatto giustamente notare RHC).
Anche i servizi online messi a disposizione della pubblica amministrazione sembrano in direzione di un nuovo “rinascimento digitale” (qualcuno ricorderà che solo fino a qualche anno fa i servizi online delle poste funzionavano esclusivamente negli orari di ufficio). Oggi i servizi digitali pubblici stanno diventando sempre più funzionali ed accessibili, al netto di qualche sbavatura di interfacce, a volte ancora ostinatamente poco user-friendly o procedure macchinose non perfettamente adeguate alle fasce meno informatizzate della popolazione. E ancora sofferenti di diversi problemi di sicurezza.
Quello che abbiamo già iniziato a fare: lanciare piano di sviluppo nazionali, formare nuovi talenti in ambito cybersicurezza, adottare software e nuove tecnologie per la protezione dei nostri dati e delle nostre infrastrutture IT, diventare competitivi in questo settore. Ma soprattutto promuovere una cultura informatica che parli di valore dei dati, della loro tutela e dell’importanza della loro protezione da qualsiasi minaccia.