Come mettere al sicuro cittadini, imprese ed entità governative è stato proprio l’oggetto del Security Summit organizzato ai Caraibi da Kaspersky Lab, leader nel campo della sicurezza informatica, insieme a Microsoft, Blackberry e altre aziende, alla presenza di 330 ricercatori di 37 Paesi riuniti per discutere delle cyberminacce già note coi nomi fantasiosi di Sofacy, Shamoon, Karnabak, Poject Sauron, Careto, e di come neutralizzare quelle future.
Rischio APT (Advanced Persistent Threat). Tutti d’accordo che oggi ci confrontiamo con una scenario diverso dal passato. Nel 1996 il 99% degli attacchi era portato da hacktivisti, e l’1% era opera di “attori statali”. Adesso le percentuali si sono invertite. Gli hacktivisti, cioè hacker con finalità ideali ed etiche, contano quasi niente nello scenario della guerra informatica in corso nel cyberspace, e i nation state hackers sono responsabili del 99% degli attacchi più dannosi.
Questi attori, detti anche APT Advanced Persistent Threat, gruppi di hacker esperti e ben finanziati, che provengono dal mondo dell’intelligence, sono usati dagli stati per spiarsi a vicenda, influenzare dinamiche politiche e destabilizzare interi settori produttivi. Pensiamo agli effetti generati dal furto dei dati del comitato elettorale democratico americano, e ai suoi strascichi attuali: i responsabili appartegono proprio a questi gruppi, in particolare all’APT di nome Sofacy.
Quattro tipi di minacce avanzate. Secondo Dmitry Bestuzhev, capo del team di ricerca di Kaspersky in America Latina, questi gruppi hanno già adesso la capacità tecnica di attaccare intere nazioni con arsenali di sofisticate cyberarmi, “bisogna perciò anticipare il momento in cui decideranno di operare l’attacco in relazione alla situazione internazionale. C’é da ricordare – continua Bestuzhev – che esistono quattro grandi famiglie di questi attaccanti: quelli di lingua russa, sono i meglio finanziati, i cinesi, che hanno la maggiore ‘forza lavoro’, i terzi che parlano inglese e infine quelli di lingua spagnola che provengono con molta probabilità dall’Ecuador”.
Per Vitaly Kamluk, senior researcher a Kaspersky, lo scenario peggiore di fronte al quale potremmo trovarci è quello di un attacco massiccio alle borse mondiali, ad esempio con un software capace di bloccare tutti gli scambi in corso per determinare incertezza geopolitica. Potrebbe essere sotto forma di un ransomware, i software malevoli che bloccano i computer finché non si paga un riscatto, oppure un codice malevolo, un malware, capace di modificare per pochi minuti la proprietà delle azioni delle maggiori aziende o attaccare e distruggere i computer di 35mila computer delle stazioni petrolifere della Saudi Aramco come accaduto col virus Shamoon per la terza volta fino a gennaio scorso.
I rischi per le infrastrutture critiche. “Per ora i gruppi con la capacità di fare questo stanno agendo in maniera chirurgica ma nel futuro potrebbe accadere di tutto”, aggiunge Kamluk che lavora a stretto contatto con l’Interpol. Kurt Baumgartner, esperto di malware, pure la pensa così: “Questi gruppi stanno testando la loro capacità di interferire col normale funzionamento di internet su una scala sempre più vasta. Il tracollo dei Dyn server a ottobre attraverso la botner Mirai è stata una sorta di prova generale.”
Proviamo a immaginare cosa succederebbe se qualcuno attaccasse una diga e poi il sistema elettrico di una capitale eruropea e poi bloccasse i computer della banche più note. Uno scenario che indurrebbe panico, risposte isteriche delle popolazioni, caduta dei titoli e tutti poi a incolpare il governo che non fa abbastanza per proteggere i propri cittadini e i servizi che usiamo ogni giorno: acqua, elettricità, trasporti. “É già successo nel passato, con la rete elettrica, nel dicembre del 2015 in Estonia e nel dicembre 2016 in Ucraina” come racconta Peter Zinn, consulente della Cybercrime Unit olandese presente in forze all’evento.
I sistemi di controllo industriale sono un altro punto di attacco. Pensate cosa succede se viene bloccata una centrale di trattamento delle acque, per lo smaltimento rifiuti o una diga. Anche questo è già successo negli Usa nel 2013 quando fu attaccato il sistema di controllo della diga di New York.
Rischio IOT (Internet of Things). Lo scenario è ancora più pericoloso se pensiamo che sono gli oggetti d’uso quotidiano collegati a Internet che ci si potrebbero rivoltare contro: tra poco si stima che saranno 50 miliardi. Ognuno di noi entro il 2020 portebbe averne anche parecchi addosso: smartwatch, telefonini, computer, abiti intelligenti, pacemaker. Se qualcuno è in grado di prendere il controllo di questi dispositivi può farci passare dei guai seri. Dice Kamluk: “Io temo che le flotte di droni per la consegna delle merci saranno tra i primi bersagli”.
Per questi motivi i ricercatori riuniti al #SAS2017 consigliano alcuni comportamenti di sicurezza basilari che vanno dall’aggiornamento costante di software
e hardware in tutti i settori produttivi, l’uso della crittografia per ogni tipo di transazione e la corretta gestione dei dispositivi mobili e dell’Internet of Things che dovrebbero essere costruiti in base a specifiche norme di sicurezza. Proprio quello che finora non abbiamo fatto.