2020: un anno di Hacking

Il cyberspazio è la cosa più complessa che l’uomo abbia mai costruito: da un lato, rappresenta l’unione di migliaia di reti che rendono difficile anche solo avere una fotografia istantanea di chi vi è connesso, dall’altro è una sorta di stratificazione di programmi software e protocolli sviluppati negli ultimi quarant’anni. Questa complessità è generatrice di vulnerabilità: dagli errori software alle errate configurazioni e alle debolezze nei protocolli, che vengono sfruttate dai cybercriminali per sottrarre dati o arrecare danni.

La cybersecurity è considerata una delle principali emergenze in tutto il mondo assieme al cambiamento climatico e alle migrazioni di persone e sono allo studio iniziative concrete per affrontare tale emergenza. Blocco della operatività di aziende, controllo surrettizio dei servizi di infrastrutture critiche, furto della proprietà intellettuale o di informazioni cruciali per la sopravvivenza di un’azienda, sono esempi delle minacce che un Paese deve affrontare.

In un mondo sempre più digitalizzato, gli attacchi informatici suscitano allarme nella popolazione, causano danni ingenti all’economia e mettono in pericolo la stessa incolumità dei cittadini quando colpiscono reti di distribuzione dei servizi essenziali come la sanità, l’energia, i trasporti, vale a dire le infrastrutture critiche della società moderna ma anche piattaforme che offrono servizi che per molti sono diventati una commodity quali Netflix, Play Station, ecc. Nel nostro Paese, interi settori di eccellenza, come la meccanica, la cantieristica, il made in Italy, il turismo, l’agroalimentare e i trasporti, potrebbero subire pesanti ridimensionamenti di fatturato a causa di attacchi perpetrati nel cyberspazio da stati sovrani o da concorrenti.

Un attacco informatico di successo potrebbe rappresentare un momento di non ritorno per la credibilità di un’azienda, lo sviluppo del suo business e la capacità di vendere prodotti in un regime di sana concorrenza. Ugualmente, un attacco informatico riuscito potrebbe destabilizzare il mercato azionario facendo sprofondare interi Paesi nel caos oppure bloccare i rifornimenti di gas in inverno o la gestione del ciclo dei rifiuti urbani.

Molte volte i danni di attacchi informatici dipendono da un anello debole e spesso questo è il fattore umano. L’uomo è ormai parte integrante del cyberspazio e rappresenta la più importante e impredicibile vulnerabilità di questo macrosistema. Un click sbagliato può in alcuni casi distruggere qualsiasi linea di difesa tecnologica di un apparato, di un’organizzazione, di un Paese. Sono le persone che si fanno “pescare” da una campagna di phishing, che usano come password il nome del gatto o del consorte, che usano lo stesso smartphone per far giocare i figli e per accedere alla rete aziendale. Esse sono le prime ad aprire le porte ai criminali verso i siti, le reti e i database delle loro organizzazioni, con effetti pericolosi e imprevedibili.

Non solo l’industria, ma anche la democrazia può essere oggetto di attacchi cyber. Le “fake news” sono l’evoluzione degli attacchi basati su ingegneria sociale: create e diffuse attraverso il cyberspazio, le false informazioni tendono a confondere e destabilizzare i cittadini di un Paese, immergendoli in uno spazio informativo non controllato, con un insieme pressoché infinito di sorgenti di notizie.

L’anno che sta per volgere al termine è stato lo spot migliore che il cybercrime potesse avere. Il 2020 è stato un anno difficile per molte ragioni e, non ultima, le violazioni e gli attacchi che hanno colpito in maniera indiscriminata, a livello mondiale, utenti finali ed organizzazioni di qualsiasi settore. La minaccia ransomware ha dominato i titoli dei giornali, con un flusso infinito di compromissioni che hanno colpito scuole, governi e aziende private a cui ha fatto da contraltare anche una quantità enorme di dati violati. Il tutto, mentre i criminali chiedevano riscatti per milioni di dollari.

Come ogni anno, amo tracciare il “meglio” di quanto avvenuto nell’anno appena passato. È un modo per ritornare bambino, quando l’ultimo giorno dell’anno mi sedevo davanti alla televisione e, innamorato di sport come sono sempre stato, amavo guardare “Un anno di sport”.

Qui, usando un titolo simile e, senza dubbio, più drammatico, possiamo assistere ad “Un anno di Hacking”.

Possiamo affermare che non si salva più nessuno ed è importante riconoscere come, soprattutto in merito agli ultimi attacchi, non sia più da considerare una impresa ardita associare il termine “geopolitica” al digitale. In effetti, la geopolitica porta in sé un riferimento geografico, quello di un’analisi delle dimensioni di potere contestualizzate nel territorio. Per questo motivo la geopolitica ha spesso mostrato dei limiti, diventando a volte il pretesto per sviluppare un pensiero realista piuttosto datato, in quanto molto legato alle frontiere e all’estendersi del dominio del controllo. Seguendo questo filone può, dunque, sembrare un controsenso associare una riflessione sulle conseguenze del digitale nella politica internazionale a una riflessione geopolitica, anche perché il digitale del world wide web veicola l’idea di un “non territorio”, o piuttosto quella di un territorio universale.

L’uso del termine geopolitica, però, non è casuale: nello scenario internazionale si sta, difatti, in misura crescente assistendo a una serie di sviluppi che tendono verso una territorializzazione del dominio digitale, una dimensione che sembra intrisa di tendenze contradittorie, fra aperture e chiusure ma che mostra un denominatore comune e cioè il fatto che gli attacchi informatici non hanno confini, che vengono perpetrati ai danni delle infrastrutture critiche e degli operatori di servizi essenziali e che, sempre più, assumono la dimensione politica, atta a mettere in ginocchio i singoli Paesi.

L’attacco a Solarwinds

Il 2020 ha deciso di lasciarci, come ultimo regalo, una delle più devastanti violazioni degli ultimi anni, non tanto come dimensione economica, forse, ma come ingegneria e sottigliezza dell’attacco.

Gli hacker, che molti funzionari pubblici sostengono possano avere alle spalle il governo russo, hanno iniziato a compromettere il sistema di distribuzione del software Orion di SolarWinds dalla fine del 2019. Come abbiamo imparato a conoscere, Solarwinds è una delle più importanti aziende americane nell’ambito dello sviluppo di soluzioni per il monitoraggio delle reti, utilizzate da decine di migliaia di organizzazioni. Gli hacker hanno violato i server di aggiornamento riuscendo, così, a generare un effetto domino tramite il quale avrebbero avuto la possibilità potenziale di violare tutti i clienti dell’azienda.

Ci vorrà molto tempo prima che gli investigatori riescano a valutare il danno. Questo perché non tutti coloro che hanno installato gli aggiornamenti “malevoli” hanno, poi, ricevuto attacchi. Ciò di cui si è sicuri è che la società di sicurezza FireEye ha dichiarato che gli hacker hanno cercato informazioni in merito ai propri clienti governativi e hanno rubato strumenti utilizzati dal Red Team, non di dominio pubblico, utilizzati dall’azienda per testare le difese della sicurezza dei clienti stessi. Nel frattempo, i funzionari americani hanno affermato che dozzine di email del Dipartimento del Tesoro sono state compromesse.

Sebbene la portata complessiva di un simile attacco e, soprattutto, gli effetti della violazione non saranno noti se non tra qualche mese, è già chiaro che l’attacco a SolarWinds ha messo in luce come la “supply chain” possa essere debole e come in uno scenario simile la catena di cui ogni azienda rappresenta un anello sia estremamente critica. Non si può e non si deve più considerare la sicurezza come un elemento che appartiene ad una singola entità.

È importante sottolineare come la compromissione a livello industriale sia venuta alla luce dall’indagine di FireEye che è stata oggetto dell’attacco e non da parte di alcuna delle agenzie di sicurezza governative. Si tratta solo di un caso oppure questo episodio dimostra la diversa forza e capacità delle aziende nel comparto della sicurezza informatica?

Compromissione massiccia degli account di Nintendo e Twitter

A luglio Twitter ha perso il controllo dei suoi sistemi interni a causa di un attacco hacker realizzato attraverso una truffa basata su criptovalute. La violazione è stata notevole perché ha compromesso gli account di politici, celebrità e dirigenti d'affari, molti dei quali con milioni di follower. Nonostante il danno sia stato modesto in termini economici (circa 100.000 dollari in Bitcoin e alcuni dati personali rubati) risulta chiaro che un attacco come questo avrebbe potuto essere utilizzato per fare ben altri danni. Si provi per un momento a pensare agli effetti che un simile annuncio avrebbe potuto avere sui mercati internazionali in termini di manipolazione degli stessi. Un altro elemento che ha reso particolarmente critico questo attacco è stato chi l'ha perpetrato e le tattiche utilizzate. Le autorità hanno accusato un diciassettenne, un diciannovenne e un ventiduenne che avrebbero utilizzato attacchi di tipo “spear phishing” per rubare una password amministrativa ad un dipendente di Twitter che era in smart working durante la pandemia COVID-19. Nintendo, nel mese di aprile, ha subito una compromissione simile.

Attacchi Ransomware all’ospedale Universitario di Dusseldorf, Garmin e Foxconn

Si tratta di violazioni separate, ma messe insieme, sottolineano come non ci sia stato solo un prezzo in danaro da pagare per le organizzazioni colpite ma anche l’impatto su milioni di persone coinvolte in modo diretto o indiretto. La messa fuori uso dei sistemi dell’ospedale di Dusseldorf ha provocato la morte di un paziente che, in fin di vita, è stato respinto dal Pronto Soccorso ed è morto mentre veniva trasportato in un ospedale più lontano. È possibile o anche probabile che il paziente sarebbe morto comunque, ma la compromissione mette in luce, se ce ne fosse ancora bisogno ☹, di come gli attacchi informatici non solo possono provocare la morte ma abbiano un impatto sugli equilibri sociali e sulla vita di tutti i giorni.

L'attacco a Garmin ha causato un blocco di quattro giorni di tutti i servizi GPS non solo per gli amanti dello sport ma anche per le compagnie aeree che avevano necessità di pianificare mappe e rotte di volo.

Un altro attacco con richiesta di riscatto che ha attirato l'attenzione è stata la violazione del gigante elettronico Foxconn. Gli attaccanti hanno chiesto 34 milioni di dollari per permettere all’azienda di tornare in possesso dei dati. Si è trattato della richiesta di riscatto più alta mai registrata in precedenza, naturalmente tra quelle rese pubbliche.

Data breaches hitting Marriott and EasyJet

Si è trattato di due attacchi separati che hanno avuto lo stesso esito: la compromissione di dati personali appartenenti a centinaia di milioni di persone. Per Marriott si tratta della seconda volta in tre anni. Stiamo parlando di una perdita di informazioni per oltre cinque milioni di ospiti. La violazione di EasyJet ha colpito nove milioni di passeggeri.

An iPhone zero-click exploit and the extraction of an Intel CPU crypto key

Non tutti gli hacker sono cattivi. Anzi, molto spesso, siamo in presenza di “hacker buoni” che, a volte, sono così eleganti che vanno ammirati per l’ingegno e la bontà d’animo che li caratterizza. Nel 2020 la palma di migliore va data a Ian Beer, membro del gruppo di ricerca di vulnerabilità del progetto Zero di Google. Ha ideato un attacco che, finché Apple non ha sviluppato l’aggiornamento, gli ha dato accesso a qualsiasi iPhone si agganciasse al suo punto malevolo di accesso Wi-Fi. Il suo attacco non richiedeva che l’utente dell’iPhone facesse qualcosa ma dimostrava come lo sfruttamento di una vulnerabilità, in gergo exploit, potesse permettere la diffusione malevola da un dispositivo all’altro purché questi facesse parte della stessa area, in questo caso definita da una rete Wi-Fi.

L’exploit è una delle caratteristiche di hacking più impressionanti nella storia recente e mostra il danno che può derivare da una singola vulnerabilità. Ricorda un po' l’esempio della mela marcia. Apple ha sviluppato la patch per il difetto (buffer overflow flaw) scoperto da Beer dopo essere stata avvisata da Beer stesso in modo privato. Un altro degli attacchi Top del 2020 è stato l'estrazione di una chiave segreta usata per criptare il microcodice su una CPU Intel; una prima assoluta negli annali della sicurezza e del reverse enigineer. La chiave permette di decriptare gli aggiornamenti del microcode che Intel fornisce per fissare le vulnerabilità di sicurezza e altri tipi di bug. Avere una copia decriptata di un aggiornamento può permettere agli hacker di fare reverse engineer e di risalire al baco di sicurezza.

C’è un vecchio detto nel mondo della sicurezza secondo il quale “gli attacchi possono soltanto migliorare”. Il 2020 ha dimostrato che il detto è, assolutamente, vero, e possiamo essere certi, senza ombra di dubbio e senza volere essere uccelli del malaugurio, che nel 2021 sarà lo stesso.

L’augurio è che questa frase - “Un Paese che non mette la cybersecurity al centro delle proprie politiche di trasformazione digitale è un Paese che mette a serio rischio la propria prosperità economica e la propria indipendenza.”  - che ci ha accompagnato in questi anni possa essere, finalmente, smentita.

Buon 2021!

_{Per ulteriori approfondimenti:}

• _{Rapporto Clusit – Clusit}

• _{Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Multiple Global Victims With SUNBURST Backdoor | FireEye Inc}

• _{The great hack attack: SolarWinds breach exposes big gaps in cyber security | Financial Times (ft.com)}

• _{Analyzing Solorigate, the compromised DLL file that started a sophisticated cyberattack, and how Microsoft Defender helps protect customers - Microsoft Security}

• _{A moment of reckoning: the need for a strong and global cybersecurity response - Microsoft On the Issues}

• _{A Patient Dies After a Ransomware Attack Hits a Hospital | WIRED}

• _{Incident Of The Week: Garmin Pays $10 Million To Ransomware Hackers Who Rendered Systems Useless | Cyber Security Hub (cshub.com)}

• _{Nintendo Breach: Now 300,000 Accounts Affected - Infosecurity Magazine (infosecurity-magazine.com)}

• _{Project Zero: A very deep dive into iOS Exploit chains found in the wild (googleprojectzero.blogspot.com)}

• _{Marriott Reports Data Breach Affecting Up to 5.2 Million Guests (bleepingcomputer.com)}

• _{EasyJet says 9 million travel records taken in data breach | TechCrunch}

• _{Foxconn electronics giant hit by ransomware, $34 million ransom (bleepingcomputer.com)}

• _{Incident Of The Week: The Infamous Twitter Attack And What Enterprises Can Learn From It | Cyber Security Hub (cshub.com)}

_{​Foto: U.S. Marine Corps / web}