Cybersicurezza in tempi di guerra
Il conflitto si sposta anche in Rete
Non avremmo mai pensato di scrivere un articolo sulla sicurezza informatica correlandolo ad uno scenario di guerra. Eppure l’orologio della storia si è inceppato su un’ora che la mia generazione pensava non sarebbe scoccata in Europa, nonostante i conflitti attivi da tempo nel mondo siano oltre venti. Ma non è di geopolitica che dibatteremo, bensì di quanto alla guerra combattuta in trincea corrisponda l’intensificazione degli attacchi a sistemi informatici.
La suggestione richiama riferimenti a trasposizioni cinematografiche del malaffare in Internet la cui rappresentazione è assolutamente disconnessa dalla realtà. Se pensassimo a “The Net” del 1995, con Sandra Bullock, ci troveremmo di fronte al tipico esempio appariscente e visuale di ciò che non succede in Rete. Contrapponiamo dunque i virus ipnotici e grafici ad un più verosimile scenario a tinte monocromatiche (da interfaccia a riga di comando). Con persone che operano collegandosi da punti remoti di rete, con l’intento di far perdere le tracce del proprio indirizzo IP e pilotare in maniera attiva o passiva decine di dispositivi. Sono questi gli ingredienti che danno vita ad un attacco informatico, talvolta basato sulla realizzazione e distribuzione di codice pericoloso per la sicurezza dei sistemi, nonché sull’estenuante ricerca di vulnerabilità negli algoritmi e nelle configurazioni.
Tante parole per dire che frequentemente la porta d’accesso agli atti di cybercriminalità è costruita sulla via della distrazione: un aggiornamento di sistema operativo mancato, un interprete di programmazione il cui supporto di sicurezza è silenziosamente scaduto, una password debole o una connessione SSH aperta alla roulette russa del brute force attack (ovvero il tentativo ripetuto di indovinare una password di accesso).
Nella prevenzione, nella preparazione di procedure di ripristino, nella chiusura di tutte le porte server non necessarie, nel cambio periodico delle password, nel controllo dei sistemi IT e OT, nell’affidabilità dei backup e dei fornitori, si basa anche la possibilità di creare un’area sicura ove custodire i propri dati. Un’attività scevra di simili attenzioni conduce, e sta già conducendo, a gravi danni alle infrastrutture ed a conseguenti perdite di capitali, anche per quegli operatori della Rete che considerano la guerra un fatto esotico.
La formazione di tutti gli utenti afferenti la tecnologia è fondamentale
L’utente domestico, o semplicemente di estrazione non tecnica, è ulteriore attore determinante e spesso inconsapevole sul campo di battaglia. Le campagne di sensibilizzazione non sono mai sufficienti al fine di veicolare i seguenti messaggi:
- è fondamentale aggiornare il sistema operativo;
- un antivirus con controllo delle attività in tempo reale è altrettanto obbligatorio;
- non bisogna mai aprire messaggi di posta elettronica o file provenienti da persone sconosciute;
- un firewall di ultima generazione deve essere sempre attivo;
- e per gli utenti Windows è utile comprendere a colpo d’occhio se un file abbia una doppia estensione (un’opzione che in Esplora risorse è ancora disattiva di default).
I danni ad una singola workstation, infatti, corrispondono a volte all’arruolamento involontario tra le fila degli eserciti delle macchine “zombie”, così denominate perché compromesse da hacker tramite programmi maliziosi spesso denominati worm o cavalli di troia (trojan horse). Nonostante l’utente non si renda nemmeno conto dell’infezione della propria macchina, la stessa può essere utilizzata attraverso Internet per svolgere, tra gli altri, compiti distruttivi nei riguardi di un obiettivo, sotto controllo diretto degli hacker che hanno definito lo schema di compromissione.
Il dispaccio del CSIRT
Su questi e altri temi si è soffermato il recente dispaccio del CSIRT (Computer Security Incident Response Team), che il 14 febbraio scorso ha anticipato lo scenario a cui stiamo assistendo, invitando tutti gli operatori a prepararsi a potenziali attacchi, nonché a mettere in atto poderose azioni di mitigazione.
Non deve stupire quindi il lungo elenco di misure organizzative e procedurali suggerite, tra cui figurano i backup anche offline, l’implementazione di zone demilitarizzate (DMZ) per le connessioni B2B, l’applicazione del principio di privilegio minimo sulle connessioni ad accesso remoto, le attività di logging. E ancora, tra le misure tecniche, il monitoraggio intensivo, sia a livello di applicazione che di rete, l’autenticazione multifattoriale e la protezione dei servizi di posta elettronica.
Conclusioni
Qualunque sia la data di fine conflitto, la turbolenza delle attività in rete è destinata ad intensificarsi nei giorni a venire. L’allerta massima, che preveda anche temporanee restrizioni di accesso basate su località di connessione e orari per servizi particolarmente cruciali, rappresenta un fattore chiave a protezione della propria e delle altrui attività in Internet. Nell’attesa che l’orologio della storia si sblocchi e inizi segnare un’ora più propizia.
