CYBERCRIME/ Le armi “regalate” agli hacker per attaccare le aziende

- Alessandro Curioni

Quello di Campari è l’ultimo caso di grandi aziende finite nel mirino degli hacker, capaci di sfruttare gli errori umani, anche banali

computer phishing
(LaPresse)

Non ci sono molti modi per entrare in una casa: dalla porta o dalla finestra. Il grado difficoltà dipende se tali punti di accesso sono aperti (facile) oppure chiusi (facile se abbiamo le chiavi, più difficile se dobbiamo forzarli). Quello che nell’ultimo mese è accaduto prima a Luxottica, poi a Enel e infine a Campari (per citare soli i casi nazionali) rientra in una di queste casistiche, debitamente trasposte nel mondo delle nuove tecnologie.

Partiamo dal finale che ha visto le aziende vittime di un ransomware che ha cifrato gran parte dei sistemi, di un probabile furto di dati e di una richiesta di riscatto milionario per evitare la divulgazione dei dati sottratti. La prima domanda è: come sono entrati? Non lo sappiamo, ma richiamando l’analogia di cui sopra c’è un numero limitato di opzioni: hanno sfruttato una vulnerabilità dei sistemi esposta all’esterno (una porta o una finestra erano aperti); sono riusciti a impossessarsi, magari tramite phishing o simili,  di un’utenza legittima (avevano le chiavi);  hanno effettuato un tipo di attacco, tecnicamente si chiamano brute-force o password spraying, che gli ha permesso di individuare username e password di un utente (hanno forzato la serratura).

Il primo problema a cui si dovrebbe ovviare è proprio il “non sapere”. Le aziende dovrebbe prendere la buona abitudine di condividere tra di loro le modalità attraverso cui vengono violati i sistemi, questo per evitare che altri siano vittime del medesimo attacco. Il cosiddetto information sharing è ancora una chimera eppure permetterebbe di evitare non pochi guai.

Veniamo ora allo scenario “porta o finestra aperti”. Il tema della correzione delle vulnerabilità affligge la maggior parte delle organizzazioni che spesso aggiornano i propri sistemi con colpevole ritardo, anche se di rado in modo doloso. Come potrebbe spiegare chiunque si occupi di informatica modificare un software spesso non è un’operazione indolore perché potrebbe determinare malfunzionamenti e disservizi, influenzando altre applicazioni che da esso dipendono. Il tema quindi è articolato e complesso, ma esistono tecnologie di sicurezza che se correttamente utilizzate potrebbero ovviare almeno in parte ai rischi delle vulnerabilità “non correggibili”.

Terzo scenario: avevano le chiavi. La questione della sensibilizzazione e formazione degli utenti, soprattutto in tempi di smart working continuo e diffuso, diventa una questione chiave per limitare le opportunità per i criminali. Tutte le statistiche raccontano di come otto attacchi su dieci sfruttino la debolezza del fattore umano. Purtroppo, soprattutto nel nostro Paese siamo ancora molto indietro sul tema, soprattutto nell’ambito delle piccole e medie aziende. Qualcuno potrebbe obiettare che i bersagli di questi attacchi sono “grandi e grossi”. In realtà si deve tenere a mente che l’aggressione a una piccola realtà non ha copertura media (state certi anche tra le PMI le vittime sono centinaia); inoltre le grandi aziende hanno una pletora di fornitori, spesso, molto piccoli, che interagiscono con i loro sistemi. Se devo colpire un big player è più conveniente passare attraverso il più oscuro dei suoi fornitori.

Ultimo scenario: hanno forzato la serratura. In questo caso spesso il problema è strettamente connesso alla scarsa sensibilità degli utenti che non hanno ancora ben compreso l’importanza delle password: errori molto diffusi sono quelli di utilizzare sempre la stessa per diversi servizi e cambiarla raramente. Per eseguire attacchi specifici sulle credenziali, i brute-force o password spraying di cui accennavamo, sono disponibili in rete database che raccolgono le password più diffuse. Una buona gestione delle utenze e della componente riservata è un altro tassello per evitare disastri. In definitiva dovremmo avere compreso che il problema è “umano, troppo umano” per essere risolto in breve tempo.

C’è chi non parla (le aziende che non condividono le informazioni), chi non ci “mette una pezza” (quelli che non eliminano o minimizzano le vulnerabilità), chi non ha ancora capito (le vittime del phishing e affini), chi è pigro (pessima gestione delle credenziali). Per sfortuna dall’altra parte della barricata si dicono tutto, sono sempre aggiornati, hanno capito tutto e sono indefessi lavoratori. Lo scontro appare impari e i cattivi sono in vantaggio, ma possiamo sempre sperare nel lieto fine non fosse altro perché scriverlo dipende soltanto da noi.

© RIPRODUZIONE RISERVATA