ALLERTA SPOILER: Questo è il testo di accompagnamento al podcast
Il Disinformatico della Radiotelevisione Svizzera che uscirà questo
venerdì presso
www.rsi.ch/ildisinformatico.
Le puntate del Disinformatico sono ascoltabili anche tramite
iTunes,
Google Podcasts,
Spotify
e
feed RSS.
—
[CLIP: audio tratto da “Mr. Robot”]
Hackerare l’FBI può sembrare il desiderio proibito di ogni criminale
informatico, ed è sicuramente una frase ad effetto che colpisce, come
dimostra bene questo spezzone tratto dalla serie televisiva
Mr. Robot, ma in realtà al criminale medio conviene dedicarsi a
bersagli meno ambiziosi ma più remunerativi: alberghi, piccole aziende, e
anche ospedali.
Questo è lo scenario che emerge dalla lettura del nuovo rapporto semestrale
dell’Ufficio federale della cibersicurezza svizzero o UFCS, che è
scaricabile
anche in italiano, illustra le tecniche di attacco più diffuse sul
territorio nazionale e propone soluzioni di difesa, per fare prevenzione, e
di supporto, per i casi in cui la difesa non basta.
Benvenuti alla puntata del 17 maggio 2024 del Disinformatico, il
podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie
strane dell’informatica.
Io sono Paolo Attivissimo, e nella puntata precedente ho raccontato le
statistiche salienti e le principali tecniche di attacco informatico citate
in questo rapporto semestrale. In questa puntata provo invece a raccontarvi
i rimedi proposti dal rapporto, che ciascuno di noi può adottare per
migliorare la propria sicurezza informatica.
[SIGLA di apertura]
Svizzera, colabrodo digitale?
“Sul piano della cibersicurezza, in Svizzera si riscontrano attualmente le
seguenti sfide principali:
-
elevata vulnerabilità dell’economia, delle autorità, degli istituti di
formazione e della popolazione nel ciberspazio; -
insufficiente capacità di reazione in caso di ciberincidenti e crisi di
rilevanza sistemica; -
scarsa maturità dei prodotti e dei servizi digitali in termini di
cibersicurezza e assenza di meccanismi di controllo della qualità; -
comprensione non abbastanza avanzata della problematica della
cibersicurezza da parte degli ambienti economici, in seno alla società e
a livello politico; -
mancanza di trasparenza e insufficienza di dati per una corretta
valutazione delle dichiarazioni in materia di cibersicurezza e per la
definizione di corrispondenti misure politiche ed economiche; -
scarsa protezione degli attori non contemplati tra le infrastrutture
critiche; -
zone grigie giuridiche e coordinamento lacunoso degli strumenti per la
cibersicurezza tra autorità e operatori privati.”
Parole di fuoco, e mi affretto a chiarire che non sono parole mie: sono
tratte testualmente dalla pagina iniziale della
Strategia dell’Ufficio federale della cibersicurezza UFCS, un documento scaricabile dal sito dell’amministrazione federale e
pubblicato il 6 maggio scorso.
Lo stesso documento riporta inoltre dei numeri davvero notevoli:
Negli ultimi anni il numero di segnalazioni di ciberincidenti che hanno
provocato danni è aumentato di circa il 30 per cento l’anno. Il numero
di segnalazioni provenienti da infrastrutture non critiche è quasi
triplicato negli ultimi dodici mesi. Nel 2023 l’UFCS ha elaborato 187
000 segnalazioni di phishing e ha identificato e chiuso in Svizzera 8223
siti web utilizzati per operazioni di phishing. Nel quadro di diverse
centinaia di segnalazioni, l’UFCS ha individuato la presenza di malware
presso infrastrutture critiche, provvedendo alla loro eliminazione in
collaborazione con le aziende colpite. In media ogni 40 ore l’UFCS
riceve una segnalazione concernente un’infezione da malware e una
relativa richiesta di supporto per la gestione dell’incidente.
Il resto del documento ha un tono più positivo, con una sorta di chiamata
alle armi basata su quattro pilastri, ossia:
-
rendere comprensibili le minacce informatiche
-
mettere a disposizione strumenti di prevenzione degli attacchi
informatici -
ridurre i danni di questi attacchi
-
e aumentare la sicurezza dei prodotti e dei servizi digitali.
La sicurezza informatica viene descritta dal documento come
“un compito congiunto della politica, dell’economia, delle scuole
universitarie e della società”, con buona pace di chi ancora pensa che sia un compito che riguarda solo i
tecnici e gli smanettoni.
Questa nuova visione si rispecchia anche, e molto concretamente, in questa
nuova veste di ufficio federale presso il Dipartimento della difesa, della
protezione della popolazione e dello sport; l’UFCS dal primo gennaio 2024
subentra al Centro nazionale per la cibersicurezza, che faceva parte del
Dipartimento federale delle finanze, e diventa il
“centro di competenza della Confederazione per le ciberminacce”.
Quelle parole pesanti iniziali, che sembrano dipingere la Svizzera come un
colabrodo digitale, vengono però mitigate nel rapporto semestrale più
recente da Florian Schütz, direttore dell’Ufficio federale della
cibersicurezza, che sottolinea che “[i]n un confronto internazionale, la Svizzera si colloca a metà
classifica”. C’è insomma chi sta molto peggio, ma anche chi sta molto meglio.
Vediamo cosa si può fare concretamente per salire in questa classifica,
partendo da un caso molto concreto: le truffe alberghiere legate a
Booking.com.
L’UFCS spiega la tecnica di attacco delle false mail di Booking.com
Nella seconda metà del 2023 molte persone sono state colpite da una
particolare truffa riguardante le prenotazioni di alberghi, nella quale il
messaggio dei truffatori arrivava davvero da Booking.com, tanto che
era disponibile anche nell’app e nel sito web di questo noto
intermediario online, ed era stato realmente spedito dall’albergo dove era
stata fatta la prenotazione.
Il messaggio avvisava che la prenotazione fatta dalla vittima rischiava di
essere annullata perché la carta di credito del cliente non era stata
verificata con successo. Per tentare una nuova verifica si doveva cliccare
su un link cortesemente fornito, ed era qui che scattava la truffa: il link
portava a un sito il cui nome somigliava
a quello di Booking.com e che chiedeva di immettere i dettagli della carta
di credito. Se la vittima non se ne accorgeva, forniva i dati della sua
carta ai malviventi. Ne avevo parlato nel
podcast del 17 novembre 2023.
Il rapporto dell’UFCS getta finalmente luce sulla tecnica usata dai
criminali per mettere a segno il loro attacco: riuscivano a farsi dare le
credenziali d’accesso dell’account Booking.com dell’albergo usando vari
metodi di persuasione per
“indurre il personale dell’albergo a cliccare su un link e installare un
programma nocivo”.
Per esempio, dice il rapporto, si faceva credere che un ospite fosse stato
ricattato con immagini pornografiche che si presumeva fossero state scattate
nella camera dove soggiornava. Il mittente concedeva due giorni all’hotel
per chiarire la questione e scoprire il colpevole, altrimenti sarebbe stato
ritenuto complice. Quale prova dell’accaduto, l’intera documentazione del
caso sarebbe stata archiviata, secondo i criminali, in un file scaricabile
tramite un link indicato nell’e-mail. Cliccando sul link, però, veniva
scaricato un malware che registrava tutti i dati d’accesso disponibili e li
trasmetteva ai truffatori, permettendo a loro di visualizzare le
prenotazioni attuali dell’albergo effettuate tramite le varie piattaforme
online come Booking.com.
È incredibile, e piuttosto imbarazzante, che ancora adesso ci siano sistemi
informatici che possono essere infettati semplicemente cliccando su un link
e che ci siano persone che sul posto di lavoro aprono gli allegati
eseguibili ricevuti, senza il minimo controllo di sicurezza. E infatti il
rapporto dell’UFCS raccomanda, soprattutto agli alberghi, che
“si trovano a dover aprire molti documenti trasmessi dagli ospiti”,
di non dimenticare mai che
“I file eseguibili non devono […] essere aperti per nessuna ragione”
e raccomanda anche di
“pensare a una strategia che permetta di tenere i computer destinati alla
comunicazione con gli ospiti separati dal resto della rete”: la cosiddetta segmentazione della rete. Semplici comportamenti
preventivi, che non sono certo una novità ma che continuano a non essere
adottati.
Eppure le risorse informative per tenersi aggiornati sulle minacce
informatiche e sulle procedure ottimali per ridurle o eliminarle non
mancano.
Risorse e tecniche per contrastare il crimine informatico
Il rapporto semestrale dell’Ufficio federale della cibersicurezza elenca
moltissimi siti che offrono informazioni chiare e dettagliate, senza gergo
tecnico, per migliorare la sicurezza informatica di tutti. Siti come
Cybercrimepolice.ch,
Ebanking – ma sicuro, il
sito della Prevenzione Svizzera della Criminalità, iBarry.ch,
S-u-p-e-r.ch e altri ancora, di
cui trovate tutti i link presso Disinformatico.info.
L’UFCS tocca inoltre un altro tasto dolente della sicurezza informatica:
quando un sito viene attaccato o è in pericolo, spessissimo è molto
difficile trovare le informazioni di contatto del suo responsabile della
sicurezza per avvisarlo della situazione, e questo fa perdere tempo prezioso
a chi vorrebbe appunto avvisare del rischio informatico. A volte queste
informazioni di contatto non sono nemmeno pubblicate.
L’Ufficio federale della cibersicurezza
propone
una soluzione semplice e standardizzata a questo problema, che si chiama
Security.txt. In sostanza, i gestori dei siti sono invitati a creare
un documento di testo contenente le informazioni di contatto per le
questioni di sicurezza e a renderlo pubblicamente consultabile. Tutto qui.
Questo documento ha un nome standard, cioè appunto security.txt, ed è
messo a disposizione in una cartella altrettanto standard del sito, vale a
dire .well-known.
In questo modo chi deve lanciare un allarme su un qualsiasi sito colpito da
un attacco o a rischio di attacco può andare a colpo sicuro e può
raggiungere direttamente il responsabile della sicurezza informatica di
qualunque sito, senza perdere tempo in ricerche e soprattutto senza
disperarsi a cercare di spiegare al centralinista o a varie altre persone
non addette ai lavori i dettagli tecnici di un attacco informatico prima di
riuscire finalmente a parlare con la persona giusta.
“Secondo quanto rilevato dall’UFCS”, a oggi “in Svizzera applicano questo
standard già alcune migliaia di siti ma, considerato che i siti attivi
sono milioni” c’è
“ancora margine di miglioramento. L’UFCS invita le imprese, le
organizzazioni e le amministrazioni presenti sul territorio nazionale ad
applicare questo standard di sicurezza”, notando che questo standard è in corso di adozione anche presso
l’amministrazione federale: se volete vedere un esempio pratico di questo
modo di indicare rapidamente le coordinate di contatto, potete visitare
www.admin.ch/.well-known/security.txt. L’UFCS ha anche predisposto una
guida
apposita sulla comunicazione delle vulnerabilità per le organizzazioni e le
imprese.
Dal documento di strategia emerge anche un altro aspetto importante di
questo Ufficio federale: non si limita a fornire istruzioni e chiedere che
gli utenti facciano i loro compiti, ma (cito)
“assiste le vittime nella gestione degli eventi fornendo loro consulenza
tecnica nonché assistenza sul piano organizzativo. A seconda del
potenziale di danno, le prestazioni di supporto spaziano dalla semplice
consulenza fino alla gestione integrale della crisi informatica
(protezione tecnica e ripristino compresi)”. Naturalmente
“le prestazioni dell’UFCS sono fornite ai privati in via sussidiaria”, per cui chi ha le risorse per gestire in proprio la sicurezza è tenuto a
farlo, ma le tante piccole imprese che fanno perennemente fatica a stare al
passo con le novità di sicurezza informatica possono avere un supporto
concreto e coordinato.
L’importante, come sempre, è il primo passo: capire che la sicurezza
informatica non è un gioco e non è il problema di qualcun altro, ma ci tocca
tutti.