Si può imparare dagli errori, anche da quelli degli altri. Ha tenuto banco in queste settimane il caso di Hacking Team, la società milanese che rifornisce governi e altri soggetti di software per lo “spionaggio legale” sul Web. Un caso davvero eclatante, in cui sistemi che si credevano a prova di bomba si sono rivelati fragili: dai database di Hacking Team sono stati sottratti oltre 400 GB di file, email e codice sorgente. Che cosa si può imparare, per evitare che operazioni simili colpiscano aziende e organizzazioni di varia natura? Ce lo spiega Marco Gioanola, senior consulting engineer di Arbor Networks.
Marco Gioanola, senior consulting engineer di Arbor Networks.
L’attacco lanciato recentemente contro Hacking Team ha indubbiamente reso il tema della sicurezza di grande attualità. Tuttavia, per quanto le vicende arrivate sui giornali possano aver incrementato la consapevolezza circa gli attacchi, può essere utile soffermarci su alcuni aspetti specifici: questo incidente presenta diversi elementi interessanti, utili per le aziende e le organizzazioni disposte a imparare dalle esperienze altrui. Una prima considerazione che possiamo fare è sull’esposizione al rischio. Se, da un lato, qualsiasi azienda di un certo rilievo che sia dotata di una presenza Internet è esposta al rischio di attacchi, intraprendere pratiche di business come quelle di Hacking Team può trasformare l’azienda in un obiettivo primario per gli hacktivisti e di altri che potrebbero essere interessati alla conoscenza strategica ricavabile dallo sfruttamento di informazioni privilegiate. In questo senso, l’esperienza ci insegna che le aziende e le organizzazioni dovrebbero adottare misure di sicurezza in misura proporzionale a quanto è critico o controverso il loro core business.
Un elemento interessante da considerare è che, pur non essendo chiaro come sia avvenuta la sottrazione dei dati, vi sono solide indicazioni circa l’impiego di password deboli. La scelta di parole semplici rappresenta un vero e proprio tallone di Achille che espone il fianco di molte aziende. La presenza di sistemi di single sign-on può rendere ancora più costoso l’eventuale successo di un attacco, dal momento che un malintenzionato può accedere a più risorse semplicemente con un’unica parola chiave. L’autenticazione multi-fattore mediante dispositivi out-of-band rende le intrusioni via password più complesse e impone ai malintenzionati di dedicare una quantità di risorse supplementari.
Un altro spunto di riflessione riguarda la cifratura dei dati. Sulla base delle informazioni disponibili, sembra che Hacking Team non avesse cifrato i dati residenti internamente; qualora i dati fossero stati effettivamente protetti mediante crittografia, questa deve essere stata implementata in modo inefficace o essersi avvalsa di meccanismi di autenticazione deboli. Mentre una vulnerabilità zero-day combinata con un keylogger può scavalcare i meccanismi di autenticazione, una strategia di sicurezza a più strati avrebbe permesso all’azienda di intercettare, bloccare e degradare l’intrusione sui propri sistemi. Inoltre, una robusta soluzione per il monitoraggio degli host e della rete avrebbe molto probabilmente rilevato i tentativi di intrusione prima che questi potessero avere successo.
Si consideri la mole di dati: un data leak di 400 GB è il corrispondente digitale di una carovana di tir che svuota il magazzino di una ditta senza che nessuno se ne accorga. Se da un lato sappiamo che è impossibile garantire la completa inviolabilità dei propri sistemi, è anche vero che esistono tecnologie in grado di rilevare prontamente anomalie come l’uscita di 400 GB di dati dalla propria rete e garantire una risposta celere o quanto meno un’analisi esaustiva a posteriori.
Infine, al di là delle informazioni, anche gravi, emerse dai file trafugati sui clienti e sulle organizzazioni, vale la pena pensare anche ai dipendenti dell’azienda i cui dati personali sono ora disponibili su Internet, coi relativi rischi per furto d’identità. Le informazioni personali rubate possono essere utilizzate per effettuare delle frodi con carta di credito, per svuotare correnti bancari, per operare truffe. In questo caso il furto è stato immediatamente reso pubblico, ma molti attacchi alle reti aziendali non lo sono, con notevoli rischi per i dipendenti che non possono prendere le dovute precauzioni.
Questo ci insegna come ogni persona dovrebbe essere conscia dei dati che fornisce all’azienda e di come il datore di lavoro tratta e protegge questi dati. Sono allo studio a livello europeo delle normative che daranno maggiori garanzie ai dipendenti e ai collaboratori, ma nel frattempo le aziende dovrebbero attrezzarsi. In conclusione, in uno scenario di minacce dinamico come quello odierno non è possibile per aziende e organizzazioni abbassare il livello di guardia: abbiamo bisogno di best practice, strumenti adeguati e protocolli per far sì che queste cose non possano mai più capitare in futuro.