Quest’ultimo paragrafo contiene un’analisi conclusiva del livello di rischio dei casi analizzati, suddividendo tale livello di rischio in 3 categorie:
- Livello di rischio basso: valori (P x I) compresi tra 0 e 9; - Livello di rischio medio: valori (P x I) compresi tra 10 e 19; - Livello di rischio alto: valori (P x I) compresi tra 20 e 25.
LIVELLO DI RISCHIO
0 < RISCHIO < 9 10 < RISCHIO < 19 20 < RISCHIO < 25
9 Milioni Di Cittadini Greci (5) Aziende Eu E Usa (15) Sony (25)
Social Network E Siti Web (5) Società Mondiali (10) Target (20)
EBay (5) Home Depot (15) Anthem (20)
JP Morgan Chase (9) Experian T-Mobile (15) Istituti Bancari (20)
Gruppo Benetton (6) Hollywood Presbyterian Medical Center (15)
Yahoo (20)
Adups Technology (9) Dyn Dns (10) Bangladesh Bank (20)
VTech-Smart Toys E Gadgets (4) Tesco Bank (10) 1,5 Milioni Di Utenti Di Carta Di Credito (20)
Ukraine Power Grid (8) Muni (10) Imprenditore Italiano (20)
Kiev Airport (4) Friend Finder Networks (15) 11 Milioni Di Utenti Di Social Network (20) 4,5 Milioni Di Utenti Di Adsl
Brasiliani (10)
Ashley Madison (20)
Ministero Degli Esteri Italiano (10) Germania (15)
Migliaia Di Utenti Ti Telefonia Cellulare (15) Numerose Organizzazioni Ed
Aziende Usa (12) Operazione Newscaster (12) Operazione Putter Panda (12)
Sistemi Scada Di Oltre 1000 Aziende Del Settore Energy (12/15)
OPM-Office Of Personnel Management (12) Democratic National Committee
(15)
Direttore Cia John Brennan (12) Hacking Team (16) Korea Hydro & Nuclear Power (12) Presidente Siriano Bashar Al-Assad
(16)
Multinazionale Dell’ict Security (16)
140
Si può osservare come ben 10 dei casi analizzati hanno un livello di rischi alto, 25 hanno un rischio medio e solo 9 hanno un rischio basso ciò a dimostrazione del fatto che il rischio cyber è un rischio che potrebbe avere implicazioni gravi, dunque un rischio da non sottovalutare assolutamente. Possiamo anche vedere da questa tabella come non tutti i casi di cyber crime analizzati, come erroneamente possiamo pensare, presentino un livello di rischio alto. Infatti alcuni casi di cyber crime, nonostante la loro probabilità 5, hanno un impatto cosi basso che moltiplicando probabilità e impatto otteniamo un livello di rischio basso. Altri casi, cioè la maggior parte, presentano un livello di rischio che si attesta intorno al valore medio. Continuando la nostra osservazione possiamo notare come la categoria Hacktivism, che presenta una probabilità inferiore di un punto a quella del cyber crime (4), presenti livelli di rischio medio nella maggior parte dei casi analizzati e soltanto in due casi presenta un livello basso ( VTech) e un livello alto (Ashley Madison). Nel caso invece del cyber-espionage che presenta una probabilità media (3) possiamo vedere come nessuno dei casi analizzati presenta un livello di rischio elevato. Il livello di rischio si attesta sempre medio ma potenzialmente dato che si tratta di spionaggio potrebbe innalzarsi al livello successivo. Pochissimi sono i casi in cui il livello di rischio è basso. Infine per l’information Warfare il livello del rischio si attesta basso in entrambi i casi analizzati.
141
APPENDICE A
Prima di passare ai dati tecnici e all’analisi della probabilità d’impatto del rischio cyber, vediamo in generale alcune definizioni sulle diverse tipologie di attaccanti e sulle diverse tecniche di attacco utilizzate:
1) Tipologie di attaccanti:
Cybercrime: nel trattato del Consiglio d'Europa sulla criminalità informatica
viene utilizzato il termine "cybercrime" per definire reati che vanno dai crimini contro i dati riservati, alla violazione di contenuti e del diritto d'autore [Krone, 2005]. Tuttavia, altri [Zeviar-Geese, 1997-98] suggeriscono una definizione più ampia che comprende attività criminose come la frode, l'accesso non autorizzato, la pedopornografia e il "cyberstalking" o pedinamento informatico. Il manuale delle Nazioni Unite sulla prevenzione e il controllo del crimine informatico (The United Nations Manual on the Prevention and Control of Computer Related Crime) nella definizione di crimine informatico include frode, contraffazione e accesso non autorizzato [Nazioni Unite, 1995]71;
Hacktivism: è un termine che deriva dall'unione di due parole hacking e
activism ed è stato coniato nel 1994 da un culto del cervo morto conosciuto come “Omega” in una e-mail al gruppo. Il termine veniva utilizzato nelle interazioni fra i protagonisti delle prime azioni di disobbedienza civile in rete. In particolare è stato riferito agli autori dei primi netstrike condotti a livello mondiale per protestare contro abusi dei diritti civili, governi corrotti o sentenze di pena di morte. Successivamente il termine hacktivism è stato impiegato per indicare le pratiche di coloro i quali, usando reti e computer in modo creativo, hanno messo in discussione l'operato di governi e multinazionali organizzando petizioni online, virus benevoli, siti web di controinformazione, e altri strumenti per l'abilitazione di tutti i cittadini alla libera comunicazione elettronica. Perciò, hacktivisti sono gli hacker del
142
software e gli ecologisti col computer, gli artisti e gli attivisti digitali, i ricercatori, gli accademici e i militanti politici, guastatori mediatici e pacifisti telematici che non vogliono delegare a nessuno la propria speranza di futuro. Per gli hacktivisti i computer e le reti sono strumenti per promuovere un’agenda politica o un cambiamento sociale e quindi sono terreno di conflitto72;
Cyber Espionage: cyber spionaggio o spionaggio informatico è l'atto o la
pratica di utilizzare le reti informatiche per ottenere accesso illecito a segreti e informazioni segrete o riservate senza l’autorizzazione del titolare delle informazioni da parte di individui, concorrenti, rivali, gruppi, governi e nemici per un vantaggio personale, economico, politico o militare tramite l'utilizzo di particolari tecniche. Può essere condotto da professionisti di paesi lontani o da spie e hacker dilettanti. La pratica è clandestina, e in molti casi illegale e punibile dalla legge73;
Information warfare: la guerra d'informazione è l'uso tattico e strategico
delle informazioni per ottenere un vantaggio. Essa comprende diversi tipi di operazioni ed è stata perseguita in modi radicalmente diversi durante le diverse epoche. La guerra d'informazione è anche conosciuta come cyberwarfare, guerra elettronica o cibernetica e cyberattack. Si può tradurre nell'intercettazione, nell'alterazione e nella distruzione dell'informazione e dei sistemi di comunicazione nemici, procedendo a far sì che sul proprio fronte si mantenga un relativo equilibrio dell'informazione. La guerra cibernetica si caratterizza per l'uso di tecnologie elettroniche, informatiche e dei sistemi di telecomunicazione74.
72 https://it.wikipedia.org/wiki/Hacktivism
73 https://en.oxforddictionaries.com/definition/cyberespionage 74 https://it.wikipedia.org/wiki/Guerra_cibernetica
143
2) Tipologie tecniche di attacco utilizzate:
SQL injection: è una tecnica di code injection, usata per attaccare
applicazioni di gestione dati, con la quale vengono inserite delle stringhe di codice SQL malevole all'interno di campi di input in modo che queste ultime vengano poi eseguite (ad esempio per fare inviare il contenuto del database all'attaccante). L'SQL injection sfrutta le vulnerabilità di sicurezza del codice di un'applicazione, ad esempio quando l'input dell'utente non è correttamente filtrato da “caratteri di escape” contenuti nelle stringhe SQL oppure non è fortemente tipizzato e viene eseguito inaspettatamente. L'SQL injection è più conosciuto come attacco per i siti web, ma è anche usato per attaccare qualsiasi tipo di database SQL. L'SQL injection permette agli attaccanti di effettuare spoof identify, modificare dati esistenti, causare repudiation issues come l'annullamento di transazioni o la modifica dei bilanci, permette di ottenere tutti i dati sul sistema, eliminare dati oppure fare in modo che non siano accessibili, e diventare amministratori del database server75;
Unknown: sono le tecniche sconosciute, ignote che possono presentare
caratteristiche simili alle altre tecniche ma presentano allo stesso tempo aspetti ancora sconosciuti;
DDoS: acronimo di Distributed Denial of Service (interruzione distribuita
del servizio, in italiano), l’attacco DDoS è un caso particolare di attacco DoS (semplicemente, denial-of-service). Lo scopo di un attacco DoS è quello di saturare le risorse (informatiche e di rete) di un sistema informatico che distribuisce diverse tipologie di servizio. Nell’ambito del
networking, dunque, un attacco DoS punta a rendere irraggiungibile un sito
o un server saturandone la banda di comunicazione. L’attacco DDoS, come lascia “intravedere” il nome, non è altro che un attacco DoS in grande, all’ennesima potenza. Anziché colpire un solo portale web o un piccolo
144
server, un attacco DDoS punta a rendere irraggiungibili e inutilizzabili interi datacenter, reti di distribuzione dei contenuti o servizi DNS. Per far questo, gli hacker dietro un attacco DDoS sfruttano un maggior numero di direttrici e impiegano un quantitativo di risorse superiore rispetto a un “normale” attacco DoS. In questo modo si riesce a “neutralizzare” l’obiettivo nel giro di pochi secondi, causando danni che persistono nel tempo (da qualche ora ad alcuni giorni, a seconda della prontezza con cui si risponde all’offensiva)76;
Known vulnerabilities/ Misconfigurations: sono le tecniche che sfruttano
vulnerabilità conosciute ( per mancanza di patching) o che sfruttano le errate configurazioni;
Malware: abbreviazione per Malicious software (che significa letteralmente software malintenzionato, ma di solito tradotto come software dannoso),
indica un qualsiasi programma informatico usato per disturbare le operazioni svolte da un computer, rubare informazioni sensibili, accedere a sistemi informatici privati, o mostrare pubblicità indesiderata. Il termine
malware è stato coniato nel 1990 da Yisrael Radai, precedentemente veniva chiamato virus per computer; in italiano viene anche comunemente chiamato codice maligno. Il malware va inteso come un programma che può rubare di nascosto informazioni di vario tipo, da commerciali a private, senza essere rilevato dall'utente anche per lunghi periodi di tempo. Oltre a carpire informazioni di nascosto, un malware può essere creato con l'intento di arrecare danni ad un sistema informatico, spesso tramite sabotaggio, oppure può criptare i dati del computer della vittima, estorcendo denaro per la decriptazione. Malware è un termine generico che fa riferimento a varie tipologie di software intrusivo o malevolo, inclusi virus informatici, Worm, Trojan, Ransomware, Spyware, Adware, Scareware77;
76 https://tecnologia.libero.it/cosa-sono-gli-attacchi-ddos-come-nascono-e-come-difendersi-1342 77 https://it.wikipedia.org/wiki/Malware
145
Account cracking: per cracking si intende la pratica di violare i sistemi
informatici e i software con finalità di danno. Ad esempio, il cracking di una password consente di accedere all'account di un utente, mentre il cracking di una rete Wi-Fi pubblica consente di intercettarne tutto il traffico78;
Phishing/Social engineering: è un tipo di truffa effettuata su internet
attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola, con ragioni di ordine tecnico, a fornire informazioni personali, numero di carta di credito, dati finanziari o codici di accesso al servizio home banking, fingendosi un ente affidabile (ad esempio utilizzando un logo contraffatto di un istituto di credito o di una società di commercio elettronico) in una comunicazione digitale. Si tratta di una attività illegale che sfrutta una tecnica di ingegneria sociale (social engineering): il malintenzionato effettua un invio massivo di messaggi di posta elettronica che imitano, nell'aspetto e nel contenuto, messaggi legittimi di fornitori di servizi; tali messaggi fraudolenti richiedono di fornire informazioni riservate come, ad esempio, il numero della carta di credito o la password per accedere ad un determinato servizio. Per la maggior parte è una truffa perpetrata usando la posta elettronica, ma non mancano casi simili che sfruttano altri mezzi, quali i messaggi SMS. Il termine Phishing è una variante di fishing (letteralmente "pescare") e allude all'uso di tecniche sempre più sofisticate per "pescare" dati finanziari e password di un utente79;
Multiple techniques/APT: La definizione di Advanced Persistent Threat
(APT) è oggetto di accesi dibattiti nel campo della sicurezza informatica. In principio, per APT si intendevano tipologie di attacchi generati da stati- nazione, ma il termine ha iniziato a includere le attività illecite perpetrate da bande di criminali informatici organizzati che intendono eludere i controlli
78 https://www.avast.com/it-it/c-cracking 79 https://it.wikipedia.org/wiki/Phishing
146
di sicurezza delle imprese aventi standard di sicurezza alti, quali ad esempio le istituzioni finanziarie. Dalle ultime ricerche emerge che bande di criminali informatici, come Metel, GCMAN e Carbanak, stanno adottando tecniche di attacco APT per commettere reati finanziari. Gli step che questi gruppi stanno percorrendo consistono nella ricognizione, nello sviluppo di tecniche d’ingegneria sociale, nella creazione di malware specializzati e di strumenti per realizzare attacchi persistenti e a lungo termine attraverso movimenti laterali. La fase di ricognizione si svolge prima di pianificare l'attacco e di comprendere come personalizzare la fase di ingegneria sociale al fine di renderla più efficace. Il malware viene prima testato contro strumenti antimalware per vedere se è in grado di eludere i sistemi di rilevamento. I movimenti laterali interni alla rete vengono utilizzati per identificare i sistemi che controllano le operazioni critiche o che memorizzano i dati sensibili che potrebbero poi essere monetizzati. La persistenza a lungo termine è una tecnica utile a monetizzare gli attacchi APT nel tempo, riducendo al minimo la possibilità che gli attaccanti vengano scoperti e catturati80;
O-day: in informatica si definisce 0-day qualsiasi vulnerabilità di sicurezza
non pubblicamente nota e il programma detto "exploit" che sfrutta questa vulnerabilità per eseguire azioni non normalmente permesse nel sistema in questione. Vengono chiamati 0-day proprio perché lo sviluppatore ha zero giorni per riparare la falla nel programma prima che qualcuno la possa sfruttare. Nel momento in cui il bug viene risolto, lo 0-day perde la sua importanza perché non può più essere usato contro quel sistema. Normalmente si parla di 0-day (o zero-day) riferendosi ad essi come attività espressamente dolose compiute da cracker che si adoperano per trovarle proprio con l'intenzione di guadagnarsi un accesso abusivo ad un sistema informatico vulnerabile81;
80 https://www.netmind.com/blog/nuove-tecnologie/advanced-persistent-threat-si-muovono-
cybercriminali/
147
Phone Hacking: l'hacking del telefono è la pratica di manipolare o ottenere
accesso non autorizzato ai telefoni cellulari, ad esempio intercettando le chiamate telefoniche o accedendo ai messaggi vocali. Quando l'accesso non autorizzato è alla conversazione dell'utente del telefono, è più comunemente indicato come tocco telefonico. Il termine è venuto in rilievo durante lo scandalo di hacking telefonico di News International, in cui è stato asserito (e in alcuni casi dimostrato in tribunale) che il giornale tabloid britannico News of the World era stato coinvolto nell'intercettazione dei messaggi di posta vocali della British Royal Famiglia, altre figure pubbliche, e una scolara assassina di nome Milly Dowler82.
148
CONCLUSIONI
L’analisi presentata è stata condotta su un campione ragionevolmente significativo ma certamente limitato degli incidenti più eclatanti, ovvero la “punta dell’iceberg” di tutti gli attacchi informatici particolarmente gravi, avvenuti in Italia e nel mondo dal 2012 al 2016, sia perché la maggior parte di tali aggressioni non diventano di dominio pubblico (mancando ancora una normativa che renda obbligatorio renderli noti, salvo alcuni ristretti settori regolamentati), sia perché spesso le conseguenze più gravi si evidenziano ad anni di distanza (ad esempio nel caso di furto di proprietà intellettuale con finalità di spionaggio economico, o di compromissione preventiva di sistemi critici per ragioni geopolitiche). Tipicamente in questo campione analizzato sono ben rappresentate quelle tipologie di attacchi in cui, per varie ragioni, l’aggressore non è riuscito a rimanere nascosto ed a muoversi silenziosamente (oppure non ha voluto nascondersi), mentre rispetto alla realtà dei fatti percepibile “sul campo” ci sono anche e soprattutto le aggressioni condotte lentamente, con tecniche sofisticate e senza destare sospetti nelle vittime che a volte si dimostrano molto pericolose.
Senza mezzi termini, il quadro che emerge dai dati è disastroso, e siamo ormai giunti ad una condizione di costante, quotidiano “allarme rosso”, anche considerato che la tendenza generale, se il fenomeno non sarà contrastato con grandissima determinazione, è verso un ulteriore peggioramento.
L’insicurezza cibernetica a livello globale è cresciuta in modo significativo, le tipologie di aggressori si sono moltiplicate (pensiamo non solo al braccio “digitale” dell’Islamic State ma anche ad altri gruppi di spionaggio e information Warfare) e le perdite economiche sono aumentate di 4 volte. Contestualmente si è assistito ad un fenomenale incremento della superficie di attacco esposta dalla nostra società digitale, sempre più iper-connessa, anche in conseguenza della massiccia adozione di nuove tecnologie “facili”, a basso costo. Si pensi allo “smart working” sempre più diffuso, realizzato tramite l’impiego spesso congiunto, promiscuo ed insicuro (mescolando senza criterio la vita digitale e
149
quella lavorativa) di queste tecnologie (in particolare Social Media, Cloud, Mobile ed Internet of Things) ma anche alla diffusione massiccia di device IoT, tipicamente privi delle più basiche misure di sicurezza che stanno dando luogo ad una rivoluzione rapidissima dei processi produttivi, degli stili di vita e dei rapporti socio-economici. La velocità e l’intensità di questa rivoluzione sono però determinate principalmente da esigenze contingenti di business, che quasi mai includono la Cyber Security tra le reali priorità di progetto ed esercizio di un processo produttivo o di un servizio.
A questi fenomeni corrisponde la crescente, sfacciata aggressività degli attaccanti, che approfittando delle numerose vulnerabilità del sistema (di natura culturale, organizzativa e tecnologica) conseguono profitti illeciti elevatissimi. Alla luce dell’analisi fatta è evidente come l’azienda, sempre più in formato digitale, sia esposta ad un’infinita varietà di attacchi informatici che qualsiasi soggetto, dal più esperto cyber-criminale all’hacker più inesperto, può realizzare sfruttando una qualsivoglia vulnerabilità o falla nel sistema informatico, o anche un semplice click errato da parte del dipendente (errore umano). È evidente anche come l’impatto di un attacco cyber sia diverso da settore a settore e come, a differenza di quanto possiamo pensare, non riguarda soltanto il furto di dati, la penetrazione nella casella di posta elettronica, il virus del pc ma a questi si deve aggiungere il danno che suddetti attacchi vanno a creare all’azienda in termini di riduzione di utili, di costi di risarcimento, di costi sostenuti per far fronte al riscatto degli attaccanti (cyber-estorsione), di costi legali, di danno all’immagine, ecc. ai quali si deve aggiungere ulteriormente i danni alle persone che possono andare, come abbiamo visto, dal semplice disagio di non poter disporre di denaro per un girono (nel caso degli attacchi in banca) a danni più seri che possono turbare psicologicamente e moralmente gli utenti (il caso di attacchi a persone pubblicamente rilevanti o personaggi famosi o anche il caso di attacchi ad aziende che impattano direttamente sui clienti) fino al danno fisico ( il caso di attacchi hacker a siti d’incontri che hanno provocato separazioni e addirittura suicidio). Stiamo parlando di impatto sulle persone. Ed è proprio questo che potrebbe sorprendere. Quindi l’interrogativo che ci poniamo è: Come può un
150
attacco cyber impattare sulle persone? Stiamo parlando di attacchi ai sistemi informatici e non di attacchi alle persone, allora come può essere che impatti su di noi provocando addirittura suicidi? Sembra un assurdo eppure il confine tra noi e la tecnologia è ormai sottilissimo. Basti pensare alla nostra vita quotidiana e la risposta è servita. Siamo sempre più interconnessi. Siamo circondati da apparecchi tecnologici, smartphone, tablet, pc che utilizziamo costantemente tutto il giorno. Ma si potrebbe dire: “evitando questi oggetti sarei al sicuro?”. La risposta è ancora una volta scontata ma non ovvia. Si pensi a quando andiamo al supermercato a pagare la spesa. Un tempo si pagava in contanti, oggi quasi tutti noi paghiamo con il bancomat o carta di credito. Ecco che quindi ritorniamo all’impatto sulle persone, in quanto carte di credito e bancomat sono uno dei principali vettori di attacco dei cyber criminali che puntano ad estorcere denaro. O ancora mentre guardiamo la tv, viene hackerato il sistema e vengono mandati in onda pettegolezzi o notizie che creano allarme e panico. Ecco questi sono solo alcuni esempi ma si può vedere benissimo come soltanto ripercorrendo la nostra routine quotidiana siamo esposti ad un’infinita di attacchi. Tutto gli oggetti belli e tecnologici dei quali la nostra generazione è circondata sono fonti di rischi cyber. Dal punto di vista statistico, oggi qualsiasi organizzazione, indipendente- mente dalla dimensione o dal settore di attività, ha la ragionevole certezza che subirà un attacco informatico di entità significativa entro i prossimi 12 mesi, mentre oltre la metà ne hanno subito almeno uno nell’ultimo anno. Sottostimare i rischi, procrastinare l’adozione di contromisure adeguate, ed affidarsi alla “buona sorte” non sono più opzioni percorribili. In particolare non è più rimandabile una modifica radicale dell’attuale modello di investimenti in materia di sicurezza ICT (da conseguire tramite strumenti normativi, di sensibilizzazione ed Awareness, di