Le riflessioni

Assetprotection. La difesa dagli attacchi cyber: bisogna cambiare l’approccio attuale?

di Anthony Cecil Wright, presidente Anssaif (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria) |

Come comportarsi, come agire e cosa aspettarsi dai queste nuove forme di attacco.

La rubrica AssetProtection, ovvero Riflessioni su sicurezza e terrorismo, a cura di Anthony Cecil Wright, presidente Anssaif (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria). Per consultare gli articoli precedenti clicca qui.

In queste ultime settimane si sono ampiamente trattati due argomenti: se è mai possibile che due fratelli raccolgano informazioni da computer e telefoni appartenenti a personaggi di assoluto rilievo, e se Snowden sia un traditore o no. Insomma: cybercrime e spionaggio, temi fra di loro fortemente connessi.

Sul primo argomento, i giornali e le TV hanno pubblicato tanti bei articoli. In quelli che ho avuto modo di leggere, ho trovato delle semplici ma efficaci spiegazioni su come possano avvenire certi fatti, ma nessuno mi sembra si sia posto il dubbio che l’attuale sistema di difesa non sia efficace come dovrebbe e che cosa andrebbe fatto; non ultimo, trattare il tema del “dopo”: se si è stati colpiti, come comportarsi? Spesso la reazione scomposta aggrava di molto la situazione.

Sappiamo che questi malware, se riescono ad entrare (e vi riescono) in un pc, poi eseguono quanto viene loro chiesto tramite un collegamento con il Command & Control Center ostile. Essi non sono individuabili con i metodi tradizionali (antivirus, antimalware, ecc.): pertanto il possessore del pc o smartphone infetto parla e scrive tranquillo mentre ignoti assistono in silenzio. Finché un giorno (mediamente dopo 220 giorni) la vittima lo viene a scoprire.  La domanda è: non c’è nulla da fare?

In realtà si. Siccome quasi sempre il malware arriva attraverso una email da una persona conosciuta (altrimenti sarebbe da scemi aprire un allegato da uno sconosciuto), un esame attento di ogni email ricevuta può far individuare una email sospetta. Basta una telefonata al mittente per consentire di togliere il dubbio.

A mail aperta e scaricato un allegato, che supponiamo coerente con le attività del ricevente e del mittente (ad esempio: foto di una città di comune interesse; articolo sulle fortune calcistiche della Lazio; ecc.), un controllo a campione con il mittente potrebbe far individuare la trappola. Bisogna allora essere pronti a far intervenire chi di dovere. Non farsi prendere dal panico, non cancellare tutto, non chiamare un tecnico qualsiasi, o l’amico romanista (forse quello del malware…).

Prima riflessione: siamo sicuri che la formazione includa la preparazione a pensare a come agire qualora si sia colpiti?

Siccome l’apertura di una porta per la gestione da remoto del dispositivo, per la creazione di un account all’interno, per scaricare altro software, eccetera eccetera, richiede di accettare che vengano eseguiti  determinati comandi, sarebbe consigliabile un controllo periodico dell’apparato cercando di cogliere dei segnali che possano indicare la presenza di un intruso.  Questo controllo viene mai eseguito da parte del possessore del dispositivo? Nel caso di personaggi politici e di spicco delle Istituzioni, accettano questi che vengano eseguiti controlli di questo tipo da parte di chi li deve proteggere? Se si, con quale periodicità?

Seconda riflessione: ci sono le persone atte a controllare periodicamente i dispositivi con programmi che ripercorrano i tipici passi di un attaccante?

Il secondo argomento, da me citato all’inizio di questo articolo, riguarda lo spionaggio. Ci sarebbe molto da dire, e probabilmente sarà il tema centrale di un altro mio scritto. Voglio solo collegare quanto citato nell’articolo apparso sul IlSole24Ore del 15 gennaio, dal titolo “Così Snowden ha danneggiato l’America”, per accennare a due problemi connessi anche a quanto sta avvenendo da un po’ di tempo in tema di cybercrime: la privatizzazione di alcuni servizi (abbiamo casi negativi anche in Italia), e l’eccessiva enfasi data al tecnicismo e alla brillantezza di giovani hacker: ciò dimenticandosi che al centro di tutto c’è sempre la persona.

La persona che sa cogliere le falle nei comportamenti, che sa scegliere lo strumento giusto per scoprire il crimine, che sa come si comporta e si espone il destinatario degli attacchi, e così via. Questa persona non è un giovane appena diplomato, o che ha soltanto sviluppato applicazioni nella sua vita lavorativa. Non è un tecnico e, preferibilmente, viene dallo stesso ambiente delle persone che deve proteggere. Nella PA sappiamo che ci sono senz’altro persone idonee a ricoprire questi delicati ruoli.

Terza ed ultima riflessione: i criteri per la scelta di chi deve difendere i nostri rappresentanti delle Istituzioni e del Paese dagli attacchi dall’interno e dall’esterno sono allineati con le nuove forme di attacco?

Anthony Cecil Wright

Anthony.wright@anssaif.it

Leggi le altre notizie sull’home page di Key4biz