Attacchi complessi, come riconoscerli? Alla PA serve aiuto

Leggendo gli ultimi report sulla sicurezza informatica, si rimane sconcertati nel verificare che il numero di attacchi è in continua crescita. Preoccupa anche apprendere che la tendenza prevista per i prossimi anni è di un incremento ad un tasso anche maggiore.

Posso assicurarvi che gli esperti di sicurezza informatica non sono degli incompetenti. Perché allora gli attacchi informatici sono in continuo aumento? Questo articolo risponde a questa domanda, descrivendo alcuni importanti cambiamenti cui abbiamo assistito negli ultimi anni, che hanno dato vita ad una nuova epoca nel mondo degli attacchi informatici e di conseguenza hanno sancito l ’esigenza di una nuova generazione di strumenti di difesa che ancora non abbiamo.

Non potendo prevenire tutti gli attacchi possibili per molte ragioni che possono essere riassunte con il fatto che non esiste la sicurezza perfetta, la condizione essenziale per potersi proteggersi da un attacco e di sapere di starne subendo uno. Purtroppo, sono proprio le capacità di rilevamento quelle più indebolite dai cambiamenti che sono occorsi. I più importanti di questi cambiamenti sono i seguenti.

Attacchi mirati anziché attacchi generalizzati

Fino a qualche anno fa il modus operandi della maggior parte degli hacker era lanciare attacchi generalizzati, magari servendosi di programmi (exploit kit) che facessero la cosa in modo automatico, per penetrare un qualsiasi account di un qualsiasi computer vulnerabile. Un attacco e le sue varianti erano progettati per colpire il più ampio parco di computer e sistemi possibili.

Negli ultimi anni invece, gli attacchi sono diventati di tipo mirato, molto mirato.

L’obiettivo è di colpire un obiettivo specifico, una determinata azienda o agenzia governativa. Non solo, l ’attacco mira non a compromettere qualsiasi account o qualsiasi sistema dell ’azienda, ma solo quelli che hanno le informazioni che servono. Stuxnet, non era interessato a tutte le centrifughe di tutte le centrali nucleari, ma solo a quelle di un certo produttore, vendute ad un particolare paese, e installate in una precisa località.

Questo rende il rilevamento degli attacchi molto più difficile. Gli attacchi generalizzati anche se potenzialmente maggiori di numero devono per forza di cose essere meno specifici e usare tecniche standard e quindi rilevarli e più semplice e spesso può’ essere fatto in modo automatico. Negli attacchi mirati questo non è possibile.

Mercato delle vulnerabilità zero-day

Si dicono vulnerabilità zero-day quelle vulnerabilità scoperte dagli hacker ma non ancora di pubblico dominio. Gli utenti dei sistemi sui cui e possibile sfruttare una vulnerabilità zero-day, sono in sostanza senza alcuna difesa.

Questo tipo di vulnerabilità è sempre esistito, ma oggi i sistemi software sono così grandi e complessi che il potenziale numero di vulnerabilità esistenti è cresciuto in modo esponenziale. Molti esperti considerano ragionevole stimare mediamente la presenza di 4-5 vulnerabilità ogni 1000 linee di codice prodotto applicando le migliori procedure di sviluppo del software. Si può facilmente calcolare quante vulnerabilità ci possono essere in software da più di 100 milioni di linee di codice come alcuni comuni sistemi operativi. Trovare queste vulnerabilità e poi sfruttarle non è facile. Gli incentivi però non mancano perché il guadagno può essere altissimo. Esiste, infatti, un mercato nero disposto a pagare queste vulnerabilità decine di migliaia di euro.

Crimine organizzato e tecnologie di attacco

I tempi di hacker idealisti o robin-hood cibernetici e finito da un pezzo, se mai è esistito. Ora ci sono organizzazioni criminali ben strutturate e con molte risorse disponibili che progettano, implementano e rivendono attacchi informatici. Questo rende la difesa più difficile. Un nuovo fronte molto importante è invece rappresentato dai gruppi di hacker supportati da stati nazionali in modo più e meno esplicito, con il chiaro intento di sviluppare quelle che vengono definite come “tecnologie di attacco” mirate ad attaccare le infrastrutture critiche di altre nazioni in caso di conflitto. Una prova tangibile dell ’esistenza di questo tipo di attività sono i ripetuti attacchi che hanno subito le infrastrutture di comunicazione della Georgia durante la guerra con la Russia nel 2008. Aziende private o anche pubbliche amministrazioni individualmente non possono competere con questo nuovo tipo di minaccia.

Internet delle Cose: sempre connessi, ovunque

Questo è il paradigma verso il quale si sta andando. Connettere tutto, dallo smartphone al televisore passando per l ’auto, coinvolgendo tutti i dispositivi elettronici che indosseremo e che possederemo a casa. Questo mondo continuamente interconnesso ovviamente rende possibile ed efficiente per hacker che fisicamente stanno all ’altro capo del mondo tentare di penetrare i nostri sistemi. Il risvolto della medaglia di questo paradigma che ha innumerevoli vantaggi e prospettive di sviluppo, dal punto della vista della sicurezza è che ora l ’attaccante può essere anche lui ovunque e sempre connesso.

Normative e leggi

Negli ultimi dieci anni si sono fatti molti passi in avanti nel normare nei codici penali dei vari paesi le attività di crimine informatics. Anche a livello europeo le direttive non mancano. La legislazione è un importante fattore dissuasivo. Molto resta ancora da fare, soprattutto rispetto ai paesi dai quali, statistiche alla mano, partono la maggior parte degli attacchi informativi. Alcuni Paesi ad esempio perseguono gli hacker solo se hanno come obiettivo aziende nazionali, ma lasciano piena libertà ad attività che mirano ad aziende estere.

Carenza di competenze

Anche senza tener conto dei punti precedenti, il compito di rilevare attacchi informatici e oggi molto più difficile anche perché i sistemi sono diventati semplicemente molto più complessi. Complessità dovuta a due fattori. L’evoluzione continua del l’hardware ha portato a sviluppare sistemi software con un numero crescente di funzionalità. Come abbiamo detto più linee di codice si traducono anche in più vulnerabilità.

Altro fattore di complessità è l’estensione dell’informatica a nuovi domini come l’energia, i trasporti, le infrastrutture critiche in generale.

Questo successo sta rendendo evidente non solo in Italia, ma in tutto il mondo, la forte carenza di competenze che possano affrontare il problema della sicurezza informatica in questi domini. Tenete presente che sviluppare un firewall o un antivirus per automobili o per aerei e completamente diverso che farlo per computer tradizionali.

Messi insieme tutti questi cambiamenti spiegano la difficoltà crescente a proteggersi da attacchi con le tecniche sviluppate finora. Ad esempio, quasi tutte le difese esistenti sono di tipo reattivo. Questo approccio non e ’ più accettabile se l’attacco informatico mira a far deragliare un treno o a provocare un incidente nucleare. Occorre progettare difese proattive. E ’ anche evidente la necessità come sistema Paese di formare e sviluppare competenze in grado di vincere questa nuova sfida tecnologica.

Alcuni di questi cambiamenti, come l’incremento di attacchi mirati e lo sviluppo delle tecnologie di attacco, non possono essere affrontati da singole aziende, per quanto grandi o da singole amministrazioni pubbliche. Occorre un approccio che porti a soluzioni di “sistema” a livello nazionale. Soluzioni sistemiche da istanziare poi in modo diverso secondo le specifiche esigenze delle singole aziende e delle singole amministrazioni pubbliche.

Difficile pensare che si possano sviluppare, e soprattutto mantenere, all’interno della pubblica amministrazione competenze tecniche per la progettazione, sviluppo e gestione di nuovi sistemi di difesa da attacchi informatici. In questo quadro una collaborazione pubblico privato è necessaria.

Quello di cui è invece fondamentale fornire l’amministrazione pubblica sono le competenze strategiche e di coordinamento in materia di sicurezza informatica che possano consentire di fare le scelte giuste in termini di soluzioni da promuovere e adottare nella salvaguardia dell ’interesse nazionale.