È disponibile subito il podcast di oggi de Il Disinformatico della
Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate
qui sul sito della RSI
(si apre in una finestra/scheda separata) e lo potete scaricare
qui.
Le puntate del Disinformatico sono ascoltabili anche tramite
iTunes,
Google Podcasts,
Spotify
e
feed RSS.
Buon ascolto, e se vi interessano il testo e le immagini di accompagnamento e
i link alle fonti di questa puntata, sono qui sotto.
“A serious female hacker with long blonde hair in her lair, portrayed in a
painterly style in a 16:9 ratio”.
[CLIP:
Spezzone tratto da “Hackers” (1995)]
Gli attacchi informatici ai danni delle aziende purtroppo sono molto
frequenti, ma non capita spesso di poterli seguire e raccontare da vicino
mentre stanno accadendo.
Questa è la storia di due di questi attacchi, che coinvolgono un’azienda
italiana e una svizzera e sono ancora in corso, ed è anche la storia di come
si fa in concreto a monitorare così da vicino questi reati mentre avvengono e
di come e perché il crimine informatico di oggi sia sorprendentemente in cerca
di visibilità e non cerchi affatto di nascondersi online.
Benvenuti alla puntata del 24 novembre 2023 del Disinformatico, il
podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie
strane dell’informatica. Io sono Paolo Attivissimo.
[SIGLA di apertura]
Bollettini di guerra
Mentre preparo questo podcast, ci sono due aziende, una in Italia e una in
Svizzera, che stanno subendo attacchi informatici. Non sono assolutamente le
sole: i bollettini online degli attacchi di questo tipo annunciano infatti
vittime multiple ogni giorno. Ma la gran parte di queste vittime si trova in
paesi lontani, e questo spinge a pensare che il problema del crimine
informatico sia altrettanto distante. Questi due casi, invece, sono molto
vicini a noi: quello svizzero si trova a metà del suo percorso, mentre quello
italiano è arrivato quasi al capolinea.
Per ovvie ragioni, non farò qui i nomi delle aziende coinvolte, e neppure
quelli dei criminali informatici responsabili degli attacchi, e sul blog
Disinformatico.info che accompagna questo podcast pubblicherò solo
schermate opportunamente anonimizzate. Questi nomi, tutto sommato, non hanno
particolare importanza nel racconto, e i responsabili informatici di queste
aziende hanno già abbastanza problemi da risolvere senza aggiungervi quello di
un’esposizione mediatica. Quello che conta è conoscere il modo in cui operano
gli aggressori informatici e quindi imparare a gestire situazioni delicate
come queste, che possono capitare a qualunque azienda, piccola o grande, in
qualunque settore.
C’è anche un’altra cosa che conta, ed è rispondere alla domanda che
probabilmente vi state facendo: visto che le aziende in questione non hanno
annunciato pubblicamente questi attacchi, come faccio io a sapere che sono in
corso e a monitorarli?
Non vi preoccupate: non mi sono infiltrato nelle bande dei criminali online e
non sono andato a spasso nei bassifondi del dark web per trovare qualche
soffiata. Ho semplicemente usato dati pubblicamente disponibili. Infatti il
primo aspetto sorprendente di questi malviventi digitali è che sono molto,
come dire, accessibili. Anzi, ci tengono a vantarsi delle proprie
prodezze.
Per monitorare il flusso costante e inesorabile degli attacchi informatici è
sufficiente sfogliare i siti web che si occupano di sicurezza digitale. I
grandi attacchi, come quello che ho
raccontato di recente ai danni dei casinò e degli alberghi di Las Vegas, arrivano anche alla cronaca generalista. Ma ci sono molti attacchi ben più
piccoli che rimangono confinati nelle pagine web dei bollettini specialistici
ma causano comunque danni ingenti alle loro vittime.
Questi bollettini, molto banalmente, sono accessibili con un normale browser:
Chrome, Edge, Firefox. Molti hanno anche account social e feed RSS ai quali ci
si può iscrivere per ricevere aggiornamenti in tempo reale. Il primo effetto
di quest’iscrizione è lo shock di vedere quanto sia costante e numeroso il
flusso degli attacchi, principalmente basati sulla tecnica del
ransomware, ossia il ricatto fondato sul blocco o la sottrazione di dati aziendali
essenziali, con minaccia di pubblicarli se non viene pagato il riscatto. Il
bollettino delle ultime ventiquattro ore, per esempio, include una ventina di
vittime sparse fra Francia, Lussemburgo, Indonesia, Stati Uniti, Germania e,
appunto, Svizzera e Italia; dall’inizio del mese le vittime sono 350. Si
tratta di ospedali, case editrici, installatori di furgoni frigoriferi,
aziende del settore della moda, società finanziarie e altro ancora.
Per ciascun attacco vengono indicati il nome del gruppo criminale che lo sta
effettuando, con tanto di link al suo sito nel dark web, e il nome della
vittima. Spesso c’è persino un campione del messaggio inviato dagli aggressori
alle loro vittime e ci sono le statistiche dei gruppi che hanno colpito il
maggior numero di aziende, come se si trattasse di un record sportivo e
positivo di cui vantarsi.
Ma seguendo i link alle pagine che portano al dark
web si trova anche molto di più.
Dati a spasso
Come avrete probabilmente immaginato, seguo questi bollettini di sicurezza per
lavoro, e così quando ho visto nel mio feed RSS che erano state colpite delle
aziende svizzere e italiane ho letto i dettagli dei rispettivi annunci,
pubblicati sui siti dei gruppi criminali nel dark web.
L’azienda svizzera colpita opera nell’edilizia da ben oltre un secolo, e al
momento ha quattro giorni per decidere se pagare il riscatto o fare
resistenza. Gli aggressori dicono di aver sottratto fatture, ricevute,
documenti contabili, dati personali, contratti di lavoro, accordi
confidenziali e altro ancora, e minacciano di pubblicare tutto se non verrà
pagato il riscatto.
Il dialogo con le vittime avviene tramite chat sul sito
dei criminali nel dark web; l’eventuale pagamento avviene con criptovalute.
Sul sito dell’azienda colpita, per ora, non c’è nessun comunicato pubblico che
avvisi dell’attacco.
L’azienda italiana, invece, è attiva nel settore tessile di lusso, e il tempo
che i criminali le hanno dato per pagare il riscatto è già scaduto, per cui i
dati sottratti sono già stati pubblicati. Il sito dei malviventi contiene un
link a una copia scaricabile di questi dati: si tratta di circa 60 gigabyte,
parcheggiati su uno dei tanti siti di deposito dati che operano nel Web
normale. 60 gigabyte che chiunque, tecnicamente, può scaricare, ma farlo
significa acquisire dati sensibili che derivano da un reato, per cui ci
potrebbero essere conseguenze legali molto pesanti. Questo non ha impedito ad
almeno 18 persone di scaricare tutto.
Anche quest’azienda, come la precedente, non risulta aver annunciato
pubblicamente l’attacco subìto, nonostante ci sia un obbligo di legge oltre
che un dovere di trasparenza e correttezza verso gli utenti i cui dati
confidenziali sono ora a spasso. Ho contattato entrambe le aziende via mail
per avere una loro presa di posizione, ma finora non ho avuto risposta. Ho
anche avvisato il sito che ospita pubblicamente i dati aziendali sottratti, ma
finora non è cambiato nulla e i dati sono ancora a portata di tutti.
[Aggiornamento: poco dopo la chiusura del podcast i dati sono stati rimossi dal servizio che li ospitava. Sono stati rimossi anche i dati di alcune altre vittime dello stesso gruppo di criminali.]
Tutte queste informazioni sono pubblicamente disponibili online nei siti
specializzati; non occorre attrezzarsi per andare nel dark web a trovarle. E
comunque raggiungere il dark web è solo questione di installare un’app
apposita, come il browser Tor, e
usarla per visitare (con molta cautela, sia tecnica sia legale) i siti dei
criminali informatici. Questo vuol dire che in caso di intrusione informatica
che riesca a bloccare o rubare dati sensibili, non conviene cercare di
nascondere o negare: la notizia della violazione diventerà comunque pubblica.
Saranno infatti gli stessi criminali ad annunciarla.
Criminali in cerca di visibilità
Questi bollettini delle incursioni informatiche, infatti, esistono perché sono
proprio i criminali a sbandierare i nomi delle aziende che hanno colpito e a
vantarsi di essere responsabili dei vari attacchi. È un comportamento
completamente opposto rispetto a quello dei criminali in altri settori, dove
normalmente vige la regola del silenzio e non si vuole lasciare nessuna
traccia che faciliti il lavoro degli inquirenti.
Il crimine informatico, invece, deve annunciarsi in questo modo perché
l’estorsione diventa credibile, e quindi la vittima tende a pagare senza
opporre resistenza, solo se chi la compie ha una reputazione solida.
“Solida”
in questo caso significa due cose contrapposte: da un lato, la banda dei
malviventi deve farsi conoscere dimostrando la propria credibilità, efficacia
e pericolosità, e quindi sbandiera i propri successi facendo i nomi delle
vittime, creando un proprio sito autopromozionale nel dark web e un canale
social, tipicamente su Telegram o sull’ex Twitter, passando informazioni ai
siti specializzati in notizie di sicurezza informatica e pubblicando
inesorabilmente i dati sottratti; dall’altro lato, questi estorsori devono
dimostrare di essere affidabili, nel senso che devono convincere le vittime
che pagando il riscatto i dati rubati sicuramente non verranno pubblicati e
addirittura verrà rivelata la falla usata per entrare nei sistemi aziendali,
in modo da consentire di chiuderla.
Di conseguenza, i malviventi devono documentare pubblicamente la propria
cronologia dei comportamenti: guardate, quest’azienda ha pagato e i suoi dati
non sono stati pubblicati, mentre quest’altra non ha pagato e i suoi dati sono
ora a spasso su Internet.
È fondamentale conoscere questa mentalità dei criminali informatici per poter
gestire correttamente la doppia crisi che si verifica in caso di attacco
online a un’azienda: oltre al problema di ripristinare i dati necessari per il
lavoro, garantirne l’integrità ed eliminare la vulnerabilità che ha permesso
l’intrusione, c’è infatti da gestire la ricaduta reputazionale di dover
annunciare la fuga di dati. Negare e far finta di niente, come sembra che
stiano facendo queste due aziende e come tentano quotidianamente di fare molte
altre, di solito peggiora le cose.
Mancano pochi giorni allo scadere dell’ultimatum per l’azienda svizzera presa
di mira. Nella prossima puntata di questo podcast vedremo gli sviluppi della
situazione. Nel frattempo, i bollettini pubblici degli attacchi aggiungono
nuove vittime. Investire in formazione del personale e in aggiornamenti di
sicurezza è utile per non trovare in questi bollettini il nome della propria
azienda, eppure troppo spesso la sicurezza informatica viene considerata un
costo fastidioso e una scocciatura da paranoici.
Una dimostrazione concreta è arrivata proprio mentre sto chiudendo questo
podcast: è arrivata la
notizia
della violazione della Fidelity National Financial, una grande società
statunitense del settore finanziario, fra le 500 più importanti secondo la
classifica di Fortune. L’annuncio è stato dato dagli aggressori e
confermato
dalla società, il cui sito è ora completamente
inaccessibile.
23:33.
E da oltre un mese aziende di tutto il mondo vengono attaccate sfruttando una
falla nelle apparecchiature di rete della Citrix, nonostante il fatto che l’aggiornamento di sicurezza che la corregge sia
disponibile da tempo ma semplicemente non viene installato. E spesso non viene
installato non per inettitudine dei responsabili della sicurezza informatica,
ma perché per avere le approvazioni per farlo servono trentaquattro firme di
altrettanti livelli di burocrazia aziendale.
Se vogliamo difenderci seriamente dagli attacchi informatici, qualcosa deve
cambiare.