“Log4Shell” può essere considerata la peggiore vulnerabilità informatica degli ultimi anni, classificata come 10 in una scala da 1 a 10. Al 29 dicembre 2021 sono state scoperte ben 5 vulnerabilità. È stata rilevata in un software open source, Apache Log4j, un’utilità di logging (le operazioni cronologiche effettuate su un computer) basata su Java e la si ritrova come libreria indipendente in moltissime applicazioni. Essa garantisce ai cyber criminali un facile accesso alle reti permettendogli di esfiltrare dati, impiantare malware e molto altro. Abbiamo chiesto a un esperto, Pierluigi Paganini, di parlarcene brevemente e, nello stesso tempo, abbiamo affrontato la tematica delle sfide/minacce cibernetiche più rilevanti del prossimo anno. Questa intervista costituisce la seconda di una serie dedicata al tema della sicurezza informatica e alla tutela dell’interesse nazionale nel cyberspazio. Qui la prima intervista.
Paganini, lei ha asserito, in un recente articolo, che “Log4j è il Covid della cybersecurity”, scrivendo che un malware è come un virus pronto a diffondersi se trova sistemi non “vaccinati”. Il perimetro del cyberspazio è così permeabile e vulnerabile?
Log4j è l’esempio di quanto possa essere pericolosa una falla in componenti software di largo utilizzo. Soprattutto quando dei programmi fanno riferimento a librerie di terze parti, nel caso della libreria Log4j per implementare funzionalità di logging. Più sono diffuse queste librerie, più aumenta il loro impatto in termini di sicurezza cibernetica, quando in esse si trovano delle falle. Gli attori malevoli, una volta individuate queste vulnerabilità, possono utilizzare degli exploit (codici che sfruttano le vulnerabilità, ndr) per attacchi su larga scala.
Il parallelismo con il Covid?
Sostanzialmente per due ragioni: la prima è che si tratta di un’infezione di massa, perché ovviamente tanto più è popolare una libreria, tanto più è elevato il numero di sistemi vulnerabili; la seconda è che una volta disponibili gli exploit, potenzialmente qualunque sistema che utilizza le componenti vulnerabili, e quindi “non vaccinato”, può essere potenzialmente compromesso. In più, alcuni di questi agenti malevoli possono avere delle caratteristiche molto simili a un virus in quanto potrebbero auto-propagarsi alla ricerca di altri sistemi che siano vulnerabili alla stessa falla informatica per attaccarli. Ecco il parallelismo.
Si riuscirà a trovare un vaccino che possa assicurare un “new normal” cibernetico?
L’unico modo per fermare questi attacchi è quello di installare delle patch (modifiche a un programma per aggiornarlo o risolvere delle vulnerabilità, ndr), il nostro vaccino cibernetico, laddove sono disponibili. Così blocchiamo la diffusione dell’agente malevolo. Oltre a ciò va fatto un assesment serio e approfondito di tutto quello che è il perimetro delle nostre infrastrutture perché vi potrebbero essere delle dipendenze indirette di altri programmi di cui non sempre si è a conoscenza.
Dai report di settore (Verizon DBIR 2021) emerge che l’85% delle violazioni ha coinvolto un elemento umano mentre phishing, social engineering e ransomware sono divenute le armi digitali più pericolose. Cosa può dirci al riguardo?
Ovviamente non si può che confermare quanto riportato dal report. La quasi totalità degli incidenti, delle violazioni di dati, ha alla propria base il comportamento errato dell’elemento più debole della catena di sicurezza, ovvero l’essere umano. È necessario, invece, che ci sia maggiore conoscenza delle minacce cibernetiche e delle best practice per evitarle.
Quali saranno le sfide/minacce cibernetiche più rilevanti del nuovo anno?
Direi una serie di minacce. Innanzitutto, campagne di ransomware sempre più aggressive. Il modello del ransomware-as-a-service (RaaS), ovvero un sistema composto da una rete di affiliati che utilizzano un ransomware creato da una gang di criminali informatici, si diffonderà ancora di più perché si è dimostrato essere un modello di successo e redditizio per l’impresa criminale. Un altro fenomeno in forte incremento è quello della disinformazione, la quale ricordo avere una motivazione differente da quella economica. Attori nation-state sono intenti a modificare il sentiment di intere popolazioni su specifici argomenti con notizie artefatte e decontestualizzate.
Quali saranno i settori/comparti più interessati da tali minacce?
Ci saranno degli attacchi al mondo delle criptovalute, ancor di più quelli alla finanza decentralizzata (DeFi) perché sono attacchi che portano ad alti profitti. Seppur complicati dal punto di vista tecnico, i recenti attacchi dimostrano che sono ingenti i profitti per i criminali. Il loro numero è esploso negli ultimi 12 mesi. Il settore sanitario rimarrà bersaglio privilegiato per i criminali informatici proprio per l’elevata richiesta nell’ecosistema criminale. Un altro settore a rischio è quello della ricerca per l’interesse strategico dei risultati di studi, sperimentazioni e ricerche in molteplici settori. Infine, facile prevedere attacchi contro il settore energetico e le infrastrutture critiche.
Nell’orizzonte nazionale si può intravedere una maggiore diffusione della sicurezza cibernetica e dei modelli di risk management, anche alla luce dei processi di digitalizzazione, promossi dal Pnrr?
L’Italia ha inevitabilmente un ritardo da colmare, rispetto ad altri Paesi. Quindi, bisogna colmarlo al più presto. Oggettivamente l’assetto che si è dato il Governo italiano è una dimostrazione che si è compreso tale ritardo e che si sta facendo di tutto per arginarlo. D’altro canto, non è che stiamo operando in una situazione di stasi, gli attacchi continuano e il livello di sofisticazione aumenta, complicando il tutto.
Il 2 agosto scorso è stata istituita l’Agenzia per la cybersicurezza nazionale (ACN) e Roberto Baldoni è stato nominato direttore. Quali saranno le principali sfide che l’ACN dovrà affrontare nel prossimo anno?
In altri Paesi agenzie simili all’ACN esistono da oltre un decennio. Un aspetto critico è quello dello skill-shortage, ovvero la penuria di professionisti che dovranno occuparsi della difesa delle nostre strutture. Mancano addirittura gli esperti IT oltre alle professionalità specifiche della sicurezza cibernetica, le quali, purtroppo, abbisognano di tempo per la loro formazione. Fondamentale è il coordinamento della nostra Agenzia con strutture affini che operano in altri Paesi. È necessario favorire la condivisione di informazioni sugli attacchi tra le strutture proposte alla gestione degli incidenti a livello internazionale. L’impresa è comunque ardua. Alcuni esperti sono critici nei confronti dell’ACN, da parte mia non posso, invece, che fare un plauso a chi sta operando in un contesto per nulla facile con l’intento di aumentare la resilienza del sistema Paese ad attacchi cibernetici.
L’incidenza delle variabili esogene a livello internazionale quanto può aver inciso sulla consapevolezza attuale?
Bisogna considerare che l’attacco su un nodo qualsiasi potrebbe avere ripercussioni importanti sull’intera filiera. Se vogliamo che le nostre imprese siano parte di una catena del valore, a livello globale, dobbiamo necessariamente far sì che esse adottino le stesse misure di sicurezza di tutte le altre imprese, altrimenti rappresenterebbero l’anello debole di tutta la catena. E ciò sarebbe inaccettabile da parte dei nostri partner. Le nostre imprese correrebbero il rischio di essere escluse da catene del lavoro che sono strategiche a livello internazionale.
(Achille Pierre Paliotta)
— — — —
Abbiamo bisogno del tuo contributo per continuare a fornirti una informazione di qualità e indipendente.