SICUREZZA INFORMATICA E HACKER. SULLA SCIA DELL’ATTACCO ALLA REGIONE LAZIO.

A  cura  di  Antonella  Soddu  e Ugo  Bulgarelli

Ha  fatto molto scalpore  quanto avvenuto circa un mese  fa ai danni   della  Regione  Lazio. Un attacco hacker  portato a segno utilizzando un ransomware, che ha  bloccato i sistemi informatici, cifrandoli e rendendolo inutilizzabili fino al pagamento di un riscatto –  il ransomware  in inglese.  Per riprendere l’argomento  e capire meglio  cosa  è avvenuto abbiamo chiesto a  Carloalberto Sartor  –  esperto di Protezione dei sistemi informatici, Sicurezza informatica, Consulenza informatica, Reti informatiche, Training, Recupero dati, Sviluppo di software personalizzato, Sviluppo di database, Sviluppo di applicazioni e Analisi aziendale.

Dobbiamo  parlare di rete, hackers e tanto  altro. Ma prima di  tutto  ti chiediamo di chiarirci meglio  in merito  a quanto avvenuto  a  danno della Regione Lazio, poi  parleremo di altre tematiche sempre inerenti alla tua professione. Che cosa è accaduto nella Regione Lazio?

“Intanto chiariamo subito un aspetto;  quello che  è successo veramente non lo sapremo mai in dettaglio, però partiamo dall’evidenza di quelle che sono le evidenze delle segnalazioni, le comunicazioni  delle note stampa  riguardo le dichiarazioni dei responsabili  che hanno dato un quadro tutto sommato abbastanza fumoso e contradditorio nell’arco  del tempo. Sostanzialmente  quello che si può dire è che c’è stato  un attacco  di tipo  ransomware , cioè un software che  effettua una  criptatura  dei dati rendendoli illeggibili   e successivamente  chiede un riscatto per poterli ripristinare. Questo è in breve  l’attacco  ransomware  generico. Quindi, l’azienda, l’ente o il soggetto  che viene colpito da questo tipo di attacco  si trova  a non poter più utilizzare i propri dati, i propri  sistemi, non riesce a  erogare i servizi fino a  che non paga  un riscatto all’ hacker  il  quale a  riscatto avvenuto  ripristina, o quantomeno dovrebbe,  di dati  nel  loro formato originale. Questo è semplicemente la descrizione  di questo  tipo di attacchi. Il come questo possa avvenire, ovviamente è abbastanza  argomento discusso anche tra i tecnici  – che non sempre hanno  una  conoscenza  e pareri uniformi. Sostanzialmente  quando un sistema può esser intruso da  un soggetto  e viene  intruso, l’hackers di  turno  attua  queste attività e di solito questo  avviene in momenti in cui la sorveglianza dei sistemi  è bassa –  quindi durante la notte o nei  weekend –  e quindi la mattina  ci si accorge che i PC non vanno o che i servizi  erogati non funzionano e da qualche parte in modalità diverse ma comunque abbastanza semplici da ottenere, l’ hacker manda un messaggio  in cui  spiega  quello che è successo e  fornisce le coordinate di  contatto  o  addirittura  direttamente le coordinate del C/c  su cui versare il riscatto.   Questo aspetto  tipo di incidenti accade se  un sistema può essere acceduto dall’esterno  da un criminale ( perché questo è il termine esatto da usare ) . Quindi la prima osservazione che occorre fare a fronte di questi incidenti  è, quanto i sistemi  erano  in grado di essere al sicuro e protetti  perché se l’hacker riesce ad entrare in un sistema  ciò significa che  è presente una falla  di sicurezza che gli ha  consentito  di accedere è fare questo  o altri disastri. La prima domanda che  viene da porsi è  quanti sicuri siano  i sistemi della Regione Lazio. Quindi nel momento in cui è accaduto questo incidente – chiamiamolo così –  la sicurezza non  era molto  elevato, anzi  probabilmente era abbastanza bassa.  Questa è la prima osservazione. La seconda osservazione  riguarda  un altro aspetto  che  nello specifico non  è quello della sicurezza a fronte di accessi  di soggetti indesiderati, ma il fatto che  un sistema informatico complesso, delicato  e anche molto importante come  quello  della Regione Lazio che  gestisce anche  le informazioni del Governo, degli enti militari,  civili, etc., possa esser stato  violato;   in  questo  tipo di infrastruttura  a  fronte di una perdita di dati, occorre capire come l’hacker ha potuto  cancellare i dati  e addirittura i  backup come si è letto da più parti . Dopodiché  non dovrebbe esser consentito. Da anni gli hackers  fanno   questo  tipo di attacchi, sono molto comuni e frequenti purtroppo. Quindi  una  qualunque  infrastruttura  degna di questo nome, oltre a cercare di mantenersi in sicurezza – cosa non sempre facile  –  dovrebbe  tener conto che possono accadere questo  tipo  di incidenti  e far in modo che, anche se l’hacker  cancella i dati, li cripta  e rende illeggibili,  l’ente può  sorvolare sulla richiesta di riscatto e tirar fuori  la copia  di salvataggio dei dati  e ripristinare  la situazione precedente l’attacco, con danni molto limitati  e con magari  una perdita  di servizi   minore  e comunque senza  poi  trovarsi con l’assenza di dati importanti.

Un’altra  domanda  che volevamo rivolgerle riguardo questa situazione che è molto interessante anche per coloro  che non hanno sufficiente conoscenza   del settore, è  che l’hacker può entrare in un sistema  è restarci per molto  tempo; giusto?

Si. Quelli che noi immaginiamo  esser degli attacchi  mordi  e fuggi, cioè l’hacker  riesce ad entrare nel sistema   e dopo  qualche secondo incomincia a  criptare i dati  e combinare guai,  è un’immagine  relegata  al passato. Cioè oggi l’hacker entra in  tanti sistemi e cerca di scoprire che sistemi sono, cos’ hanno,  come sono fatti, etc., che sostanzialmente serve a due cose;  da una parte  ad arraffare tutti i dati che hanno un qualche valore specifico per qualcuno. Questa è la cosa più importante ed  è una  attività che può esser molto lunga  anche perché l’hacker può entrare in un sistema ma non è detto che  abbia   immediata visibilità di tutto. Quindi  deve  fare  tutta una serie di attività per esplorare  il posto in cui  è entrato, trovare le chiavi, le stanze  dentro cui  entrare e scoprire che tipo di dati ci sono, farne  una selezione se sono tanti –  anche perché  spostare i dati non è una operazione semplice e rapide soprattutto  quando sono tanti –  e quindi  questa attività di studio  richiede del  tempo  durante il quale  l’hacker   fa  il possibile per non farsi notare, l’azienda  non si accorgerà  che sta  accadendo qualcosa.  Tra  gli accorgimenti che l’hacker utilizzerà vi sarà sicuramente  quello di non esser identificabile  perché se  qualcuno dovesse accorgersi  dell’accesso sarebbe spacciato. L’ hacker non entrerà   nell’infrastruttura  della vittima partendo  dalla connessione di casa sua, ma  entrerà nell’azienda vittima passando per una o più  aziende  che  inconsapevolmente fanno da ponte di passaggio. Questo tipo di mascheramento complica  enormemente la comprensione   del fenomeno . Perché?  Abbiamo letto  – nel caso della Regione Lazio –  che l’attacco sarebbe arrivato dalla Germania;  uno il primo pensiero che fa è – “saranno i tedeschi che in qualche modo  ce l’hanno con noi” ?  Non è così . Semplicemente, una azienda intrusa che ha fatto da ponte di transito per l’hacker era in Germania e questo aspetto chiaramente dimostra che  dentro questa azienda tedesca  l’hacker non è entrato direttamente ma  attraverso  una o più aziende che inconsapevolmente  ne ospitano l’attività. Questo  aspetto complica  ovviamente enormemente le indagini  perché  il fatto  di andare a scoprire che l’attacco arriva  dalla Germania, significa  andare in questa infrastruttura  tedesca, esaminarla  sperando che ci siano delle trace  che dicono da dove  è arrivato che  a sua  volta sarà un’altra  infrastruttura   da  chi sa dove e per completare le indagini occorrerà andare in queste ulteriori  strutture e verificare  se ci sono le tracce di passaggio  per poter capire i vari  salti che l’hacker  ha  compiuto per  arrivare alla vittima. Questo  aspetto  complica molto le cose in quanto,   dal loro punto di vista gli hacker  cercano di  usare dei punti di passaggio che siano privi di sistemi  di  tracciamento  delle attività aziendali,  e non  sarà impossibile  capire  da dove  è arrivato l’hacker oppure, da infrastrutture  che appartengono a  Paesi che non collaborano con  le autorità di altri Paesi. Quindi per esempio,  Paesi come Cina, Russia  o qualche altro Paese satellite non è detto che collaborino  nel permettere la ricostruzione  del passaggio.  Questo  è il punto più dolente  di questa vicenda.  Andare a  scoprire chi è l’hacker è  una operazione che dal punto di vista  della ricostruzione delle connessioni è molto difficile; è forse più facile comprendere chi è dagli strumenti  che ha usato e dalle metodologie introdotte perché lì  c’è un’ampia  casistica  di esperienze e quindi qualcosa in più si riesce a capire da questo  attacco. Chiaramente questo aiuta poco la vittima a sistemare i danni  che sono  appunto, non solo  della indisponibilità dei  dati, ma  il danno  è anche che  l’hacker introdotto nell’azienda l’ha  esaminata in dettaglio e avrà raccolto  tutti i dati  e le informazioni possibili  immaginabili facendone tutti gli usi.  A volte  attacchi di questo tipo sono semplicemente  una cartina intorno al sole  per cancellare le tracce di tutto quello che è stato fatto; quindi,  l’attacco hacker di questo tipo  è l’ultima  azione  che gli  compie  e non la prima  come ci verrebbe da immaginare. Chiaramente se tra i dati che l’hacker  trova  agevola  la produzione di dati da altre parti  si  scatena  una sorta  di meccanismo a catena  in cui l’attacco a un soggetto  si trasforma poi in raccolta di informazioni  per andare a cercare ulteriori  vittime. Forse  questo  è un aspetto  dell’attacco alla Regione Lazio  in quanto  lo  stesso, si dice, è avvenuto passando da un Pc di un dipendente di un’altra dita che aveva in gestione   e che eseguiva  delle attività fuori  di quello che era un cliente. Se  questa azienda – chiamiamola  fornitrice – è stata  attaccata  e  l’attacco  non è stato gestito correttamente, l’hacker  ha  acquisito delle informazioni dei clienti dell’azienda e  attacca  tutte le altre che sono  gestite dall’ente.  Un attacco  a catena  dunque.  Anche  noi singoli soggetti siamo un possibile  punto  d’attacco per gli  hacker. 

Per aprofondire l’argomento vi invitiamo a seguire l’intervento in video conferenza di Carloalberto Sartor.

Intervista in collaborazione con la redazione di Radio Luna Carbonia

blog la penna è donna.

Carloalberto Sartor - YouTube
Carloalberto Sartor

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo di WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google photo

Stai commentando usando il tuo account Google. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...