Cyber attacchi, Graziani: “creare il firewall umano con la formazione”
Il tema della sicurezza informatica dalla Cyberwarfare al phishing nell'intervista del direttore di VelvetMAG
La guerra ucraino russa ha scosso le certezze del continente europeo e acceso i riflettori su un tema troppo spesso appannaggio solo degli addetti ai lavori: la cyber sicurezza.
Per parlarne abbiamo contattato Massimiliano Graziani, che vanta 20 anni di esperienza sui temi della cyber security, svariate certificazioni di altissimo livello (trovate un estratto in fondo alla nostra chiacchierata, n.d.r.); diverse attività di docenza e membership: dall’IISFA (International Information Systems Forensics
Association), all’ONIF (Osservatorio Nazionale Informatica Forense); passando da fondatore all’OWASP (Open Web Application Security Project – Italian Chapter) e all’ACFE (Association of Certified Fraud Examiners).
E abbiamo esplorato tanti temi di stretta attualità per la sicurezza informatica e non solo: dalla Cyberwarfare al phishing nell’intervista del direttore di VelvetMAG, Angela Oliva.
Intervista esclusiva di VelvetMAG a Massimiliano Graziani
Una guerra novecentesca sul campo e altamente contemporanea grazie allo strumento cyber, a cosa
abbiamo assistito?
Pochi ne sono consapevoli, ma la “guerra cyber” o meglio Cyberwarfare è in atto da anni (direi decenni), ed
è quasi sempre camuffata da attacchi di gruppi pseudo cybercriminali più o meno anonimi. Di fatto se ne
parla oggi, che va di moda, ma bisogna stare molto attenti a non cedere ai sensazionalismi, alla ricerca dello scoop, più che della verità. Se ad esempio la Russia realizzasse un attacco cyber ad una nazione nemica, non lo farebbe certamente da un indirizzo IP di origine russa. Vale in generale la stessa regola dell’uso dell’abbigliamento mimetico, o per essere più tecnologici, del sistema antiradar.
Oggi chi attacca, e dispone di risorse illimitate, difficilmente lo fa in modo prevedibile, non credo all’allarmismo generale. Si stia muovendo – finalmente – una macchina per l’organizzazione interforze di
prevenzione. Se qualcuno volesse colpire i nostri centri SCADA conosciuti come infrastrutture
critiche nazionali, non lo farebbe certamente con un attacco frontale ai sistemi cyber dell’infrastruttura stessa; è più facile e meno prevedibile un attacco con una chiavetta USB. Piccola, capace di infettare i sistemi e di renderli
governabili da un sistema di command & remote controll. Oppure utilizzare un insider che magari già
lavora dentro da anni. Come spesso si vede nei film, a volte è sufficiente sostituirsi al personale delle pulizie. Se vale la regola che la sicurezza se funziona non si vede, possiamo presupporre che i nostri sistemi di difesa ancora non siano stati davvero compromessi.
Spiegaci l’origine della Cyberwarfare
In realtà la Cyberwarfare è un’evoluzione delle tecniche di spionaggio. Mira a colpire i nodi critici del sistema nemico: trasporti, risorse energetiche (centrali elettriche, come pure tutte le utility in generale…). Nulla di nuovo per gli addetti ai lavori; siamo confidenti che il COR militare, il CNIPIC della Polizia Postale e la nuova super agenzia ACN possano concertare insieme una buona strategia di prevenzione e difesa. Sapendo che possono contare anche su tutti gli esperti di settore che nel nostro Paese non mancano. Le sfide che devono affrontare sono comunque davvero complesse e tecnologicamente avanzate. L’uso di vulnerabilità zero days (ancora sconosciute) è forse una delle minacce maggiori, perché rappresentano un’arma tecnologicamente avanzata e conosciuta da pochi.
È avvenuto su entrambi i fronti? Abbiamo letto le rivendicazioni di Anonymous pro Ucraina, ma si sospettano anche attacchi “ritorsivi” nei confronti degli Stati che supportano Kiev. Cosa possiamo dire con certezza?
Dati alla mano, non possiamo dire nulla e difficilmente possiamo credere che tutto quello che viene diffuso sui media sia vero. Comprese le attività dei gruppi attivisti come Anonymous, sicuramente ci sono stati attacchi mirati a negare i servizi (deny of services DOS e DDOS, quando l’attacco arriva in modo distribuito ed essendo massivo rende il sistema target irraggiungibile – n.d.r.), rendendo non fruibile il sito o il servizio attaccato. Ma siamo alla punta dell’iceberg; si tratta di attacchi temporanei, eclatanti ma che generalmente non lasciano danni permanenti. Ci sono stati per ora solo pochi attacchi seri, mirati a divulgare informazioni, come Anonymus che dopo Nestlé ha attaccato la Banca Centrale Russa, dichiarando di poter divulgare i loro dati riservati. Di contro il gruppo CONTI si è ufficialmente schierato a difesa delle infrastrutture critiche russe. Spesso vengono usati immagini tratte dai videogiochi e spacciate come reali. Ad oggi non abbiamo ancora assistito a un attacco mirato alla distruzione di dati e asset fisici, rendendo inservibili interi sistemi. Per capirci non abbiamo ancora un caso simile allo Stuxnet, il virus che distrusse fisicamente i sistemi di arricchimento dell’uranio in Iraq.
Le nostre infrastrutture nazionali – intendo quelle critiche – sono sicure?
Niente è sicuro, ma in Italia le infrastrutture critiche, sono attenzionate e da anni abbiamo (come Paese) sviluppato un programma di protezione prima fisica e poi anche cibernetica. Il livello di protezione è sicuramente proporzionale all’esperienza e alle competenze dei reparti interni di Corporate Security e Cyber Security. Quello che conta è anche il singolo budget a disposizione per acquistare hardware e software specifico per la prevenzione. E quindi anche quelle consulenze necessarie all’attività periodica di vulnerability assessment e penetration test, che sono propedeutiche alla verifica delle falle presenti sulla superficie di attacco interna ed esterna.
Esiste un livello di micro guerra cyber? Siamo coinvolti anche noi come singoli? Anche solo mentre navighiamo sul web o via social?
Non credo, quello che muove gli attacchi che siamo abituati a vedere è spinto sempre da un profitto economico. Un singolo gruppo di cybercriminali come quello conosciuto come “CONTI” vanta un wallet dove le vittime pagavano i riscatti in bitcoin per riavere accesso ai propri dati. Cifre miliardarie – in dollari – e questi fondi, poi possono essere reinvestiti nel business delle armi e della guerra…
Quindi a livello individuale il problema è il phishing?
Il phishing è un fenomeno datato, ma attualmente in piena crescita. Le organizzazioni non hanno ancora
capito fino in fondo che l’unico vaccino per questa pandemia digitale, è formare i dipendenti. Fare awareness nel nostro gergo significa creare il firewall umano. Oggi l’inconsapevolezza del rischio che corre l’azienda quando un dipendente clicca su una email di phishing non è percepito, e molti si pongono il
problema solo dopo aver ricevuto un attacco. Quando è possibile che l’organizzazione sia già in ginocchio. Lo scopo del phishing è quello di rubare credenziali, informazioni, lanciare un ransomware che rende i dati di tutta l’azienda inutilizzabili, a meno che non si paghi un riscatto in moneta virtuale, pena la perdita e la diffusione di tutti i dati nella rete.
Cosa dobbiamo fare per difenderci?
Basterebbe anche investire quel poco che basta per acquistare un sistema in grado di bloccare e contenere questo tipo di attacchi e fare formazione ai dipendenti. Da molti anni gli esperti di security propongono le simulazioni di una campagna di phishing, per capire quanti tra il loro personale cadono in trappola. Si possono così calibrare corsi di formazione anche specifici. Nel nostro Paese, queste cose vengono viste sempre come dei costi inutili, ma se ne comprende il valore solo dopo aver subito un danno più o meno grave. Ci sono casi documentati di aziende costrette alla chiusura. Basta googlare per vedere.
Le insidie cyber arrivano solo dalla mail o anche sui social?
Le insidie arrivano su tutti i canali possibili: mail, social, ma anche chat ed sms. Spesso sono davvero ben congegnati, di media quando io realizzo una campagna simulata di phishing, l’80% dei target ci casca quasi sempre. Per questo bisogna tenere alta l’attenzione su questo tipo di minacce. Evolvono, diventano sempre
più targettizzate e quindi la consapevolezza del rischio va costantemente ricalibrata. Trovare una chiavetta USB in ufficio ha una grande efficacia: fa leva sulla curiosità della vittima, che la connette al PC per vedere cosa
contiene. Anche diverso tempo dopo possiamo scoprire del malware che conteneva, in grado di lanciare un
ransomware su tutti i sistemi aziendali. Oppure aprire una shell remota per far entrare un cybercriminale
nel nostro sistema infetto. Per finire alle Killer USB in grado di distruggere le componenti elettriche di tutti i sistemi dove viene collegata (tramite scarica elettrica).
Cosa è giusto fare quando ci hackerano un account, magari chiedendoci un riscatto?
Mai pagare il riscatto, se nessuno pagasse, il fenomeno ransomware si estinguerebbe da solo. Bisogna
sempre rivolgersi comunque ad un consulente esperto, in alcuni casi si possono recuperare tutti i dati in
altri casi no. Il mio consiglio è sempre quello di investire nella prevenzione piuttosto che spendere
molto di più dopo. Dobbiamo educarci come singoli utenti a fare back up – fino anche a due al giorno su due supporti esterni diversi – che vengono connessi al nostro pc e poi alla fine scollegati. Le aziende invece
dovrebbero dotarsi di un sistema di backup periodico collaudato e offline; da testare programmaticamente, perché spesso riscontriamo che perdono tutti i dati, perché nessuno aveva controllato che tutto funzionasse correttamente.
In che modo possiamo diventare più cyber – sicuri – consapevoli?
Facendo corsi di consapevolezza del rischio. Mi spaventa a volte la corsa tecnologica a strumenti digitali
super sicuri – come lo SPID e cose simili alla CNS – perché mi rendo conto che il nostro è un Paese di persone
non più giovanissime e penso a chi non sa neppure accendere un computer, o a chi non possiede uno smartphone. Sono target e prede facili di diversi tipi di frodi telematiche. Ogni avanzamento tecnologico deve
sempre tenere conto della sua usability e del contesto sociale dove viene introdotto, cosa che invece non
accade quasi mai ottenendo sempre controindicazioni gravi.
È un fenomeno/parola di “moda” o un bisogno reale, anche del singolo, di tutelare la propria privacy e i
propri dati?
La privacy? Forse prima di conoscere questa parola esisteva veramente, ora non esiste più davvero. Ormai “quasi” tutti i nostri dati personali, compresi quelli sensibili, sono merce di scambio sulla rete. L’informatizzazione selvaggia, la mancanza di cultura tecnologica e di educazione all’uso dei social ha reso
questo mondo digitale una vera bolgia. Forse andrebbe fatta formazione su queste tematiche dalle scuole elementari, anzi diciamo che prima andrebbe fatta ai genitori, che lasciano che i figli siano educati da uno smartphone e dagli influencer, stiamo rischiando di crescere una generazione senza etica e valori sociali. Purtroppo penso che quello che conta oggi è che chi gestisce l’informazione ha il potere, il potere di farci vivere dentro una sorta di Matrix… e se non ti allinei al sistema, diventi un’anomalia che il sistema cerca di eliminare, senza essere più capaci di confrontarci con chi ha idee diverse e forse migliori delle nostre.
Chi è Massimiliano Graziani: cyber esperto
CEO di Cybera e CISO di Adora ICT. Ha conseguito svariate certificazioni internazionali:
- EC-Council Computer Hacking Forensic Investigator (CHFI)
- EC-Council Certified Ethical Hacker (CEH)
- IICFIP Certified Forensic Investigation Professional (CFIP)
- ACFE Certified Fraud Examiner (CFE)
- IISFA Certified Information Forensics Investigator (CIFI)
- ISECOM Osstmm Professional Security Analyst (OPSA)
- AccessData Certified Examiner (ACE)
- IICFIP Certified Digital Forensics Professional (CDFP)
- Bsi Lead Auditor BS7799-2:2002 (ISO 27001:2013)
- Tenable Certified Nessus User (TCNU)
LEGGI ANCHE: Giù la mascherina… la pelle finalmente respira