Vulnerabilità nel software, mancanza di cultura e buone pratiche, rischio di nuovi hackeraggi e repliche del Russiagate. C'è un bel miscuglio di problemi di cybersicurezza tra le notizie piombate in questi giorni sulla testa delle agenzie governative statunitensi, colpevoli di non sapersi difendere abbastanza bene dai tanti pericoli del crimine informatico. La prima di queste notizie emerge da due differenti report pubblicati dal Dipartimento del Commercio e dal Dipartimento della Sicurezza Interna degli Stati Uniti, l'uno dedicato al tema della botnet e l'altro a quello dell'educazione dei dipendenti. I due lavori sono frutto di un ordine esecutivo emesso da Donald Trump lo scorso maggio, in cui si chiedeva ai dipartimenti di indagare sui livelli di cybersicurezza interni e di potenziarli.
Ebbene, i risultati non sono troppo confortanti. Nel primo studio (“Enhancing the Resilience of the Internet and Communications Ecosystem Against Botnets and Other Automated, Distributed Threats”) si evidenzia una contraddizione: le tecnologie atte a constrastare gli attacchi automatizzati esistono, ma negli enti e agenzie statali non vengono adottate come si dovrebbe. I sistemi anti-botent, cioè, “non fanno parte delle pratiche comuni di sivluppo prodotto per molte ragioni, fra cui, ma non solo, la mancanza di consapevolezza, la volontà di evitare costi, l'insufficiente competenza tecnica e l'assenza di incentivi di mercato”. Si dovrà quindi intervenire sull'infrastruttura, stringere collaborazioni e promuovere la cultura del personale così da migliorare la capacità di prevenzione e mitigazione di questo genere di attacchi.
Il secondo report (Supporting the Growth and Sustainment of the Nation’s Cybersecurity Workforce: Building the Foundation for a More Secure American Future”) lancia un ammonimento sul fatto che nel settore pubblico, così come nel privato, ci si dovrebbe preoccupare di più della formazione dei dipendenti in merito alla cybersicurezza.
L'appello all'aggiornamento tecnologico e culturale è certo sensato, ma forse bisognerebbe pensare innanzitutto all'Abc della sicurezza informatica: assicurarsi di non avere in casa delle falle software. Regolarmente invece accade che si scoprano vulnerabilità all'interno di applicazioni di largo impiego, come successo ora con Jira and Confluence, un software di Atlassian che permette a singoli e gruppi di lavoro di collaborare a distanza. Il problema, individuato dall'agenzia governativa statunitense National Institute of Standards and Technology (Nist), riguarda il proxy e può essere sfruttato per sferrare attacchi di tipo cross-site scripting o server-side request forgery, allo scopo di sottrarre o distruggere dati residenti all'interno di una rete privata. Il bug, infatti, consente potenzialmente di ottenere le chiavi di accesso alle istanze di Amazon Web Services che ospitano l'applicazione.
Il Nist ha attribuito alla vulnerabilità un punteggio di 6.1, su una scala di gravità che arriva fino a dieci, e informato Atlassian, la quale ha provveduto a risolvere il problema con un aggiornamento software. Fatto sta che, a detta del ricercatore di sicurezza Robert Wiggins, più di una dozzina fra grandi aziende e agenzie statali impiegherebbero ancora versioni datate o legacy di Jira and Confluence, esponendosi così al rischio di furto dati.
Restando in tema, c'è almeno una buona notizia tra quelle cattive. In vista delle elezioni di midterm in programma il 26 giugno, lo Stato di New York ha deciso di condurre da qui ad allora una serie di esercitazioni in cui si potrà verificare la trasparenza, ma anche la sicurezza della procedura di voto. Verranno simulati, fra le altre cose, attacchi ransomware ai sistemi elettorali e campagne di fake news attraverso i social network. Nel voto di giugno le scelte espresse dai cittadini non dovranno essere alterate né influenzate da eventuali hacker, come invece si sospetta possa essere accaduto in una ventina di Stati della federazione in occasione delle presidenziali del 2016, con il famigerato Russiagate. Il Department of Homeland Security sostiene tuttavia che solo una piccola parte dei sistemi informatici governativi sia stata intaccata dagli hacker russi e che non esiste prova di una eventuale manipolazione del voto.