L’urgenza della cybersorveglianza. Parla
Ramilli (Yoroi)
di Giulia V. Anderson
Marco Ramilli, ceo di Yoroi, un’azienda italiana specializzata in cyber
sicurezza, ha spiegato come avvengono gli attacchi hacker come quello
recentemente avvenuto contro Microsoft, come ci si può difendere e
quale sarà il futuro del mondo cyber
Microsoft ha recentemente annunciato di aver sequestrato 42 siti web da un
gruppo di hacker cinesi noti come Nichel o APT15. Questi hacker installavano
malware sofisticati nei sistemi informatici di aziende e persone, rubando dati e
sorvegliando le vittime per raccogliere informazioni. Per capire come è
avvenuto un attacco di queste proporzioni e quale sarà il futuro della cyber
security e della cyber sorveglianza, ne abbiamo parlato con Marco Ramilli,
fondatore e Ceo di Yoroi, un’azienda specializzata in cyber sicurezza e difesa
dello spazio virtuale.
Come funziona un attacco hacker come quello recentemente avvenuto nei
sistemi di Microsoft?
Gli APT (Advanced Persistent Threats) sono attacchi sviluppati da
organizzazioni sofisticate a volte affiliate ad un governo che fanno di “queste
attività” un vero e proprio mestiere. Sono strutture organizzate ed
estremamente verticali con capacità di sviluppo Malware e di intrusione
specifiche. Nel caso in oggetto, APT15 ha avuto la capacità tecnica di
sfruttare sistemi vulnerabili e non patchati, pubblicati online, come per
esempio Microsoft Exchange, Microsoft Sharepoint e VPN server con
vulnerabilità note.
Una volta insediati all’interno del perimetro dell’organizzazione hanno
utilizzato sistemi di “estrazione automatica di credenziali” ben noti, come per
esempio Mimikatz, NTDSDump e WDigest, per estrarre le credenziali di
dominio al fine di potersi muovere liberamente nell’active directory. Una volta
effettuata tale operazione hanno installato sul sistema compromesso una
backdoor della famiglia Leeson (sistema noto ed attribuito ad APT15) per
ottenere accesso in ogni momento. L’operazione prevedeva principalmente la
capacità di monitorare e collezionare informazioni sul sistema, come per
esempio: Ip, nome-pc, utente collegato e address book attraverso l’accesso
all’email etc. Prevedeva anche la capacità di eseguire codice sulla macchina
ed installare ulteriori software.
Cosa comporta un attacco del genere in un’azienda internazionale? Dovranno
cambiare tutti i loro sistemi di protezione dati oppure solamente il “muro
virtuale” che li protegge?
La risposta ad un attacco di questa portata non è mai semplice e difficilmente
può seguire delle linee prestabilite. Nonostante vi siano processi standard da
percorrere al fine di garantire un’elevata qualità di risposta, la
contestualizzazione resta un elemento molto importante. Quello che credo
possa essere più preoccupante a seguito di un attacco di tale portata se
individuato su una organizzazione di “servizi”, è il rischio di compromissione
della supply-chain.
Proviamo ad immaginare se per esempio fosse una grande organizzazione di
system integration ad essere compromessa. Tale organizzazione può avere
numerosi accessi ai sistemi informativi dei propri clienti che potrebbero, in
questo modo, cadere nelle mani degli attaccanti. Gli attaccanti
successivamente potrebbero continuare ad espandere il loro perimetro
avviando operazioni di attacco verso tutti i clienti dell’organizzazione
originariamente attaccata aumentando capacità di spionaggio ed
eventualmente avendo la possibilità di “bloccare” una o più organizzazioni a
“comando”.
In questo caso si presume che gli hacker stessero rubando dati per conto del
governo cinese, ma ultimamente situazioni analoghe si stanno verificando in
quasi tutto il mondo. Secondo lei, la cyber-sorveglianza sarà il nuovo futuro
dello spionaggio? E come potranno i governi difendersi da una possibile
guerra virtuale combattuta da hacker?
Io credo che la cyber-sorveglianza e l’affine cyberwar sia già attualità.
Sorvegliare, spiare o combatte attraverso sistemi informativi è oggi molto più
semplice e meno costoso rispetto al classico “human-int” in quanto usufruisce
di un fattore di scala estremamente superiore di quest’ultimo. Con il classico
processo di “human-int”, ovvero ove un essere umano entra fisicamente in
gioco spiando uno o più esseri umani, il fattore di scala associato a questo
processo può essere al massimo 1:n, ovvero un essere umano può spiare al
massimo un numero ristretto (“n” per l’appunto) di altri esseri umani.
Contrariamente un captatore digitale ha la possibilità di spiare un numero
indefinito e teoricamente infinito di sistemi digitali. Oggi nel mondo
informatizzato (circa 1/3 del totale) ad ogni essere umano corrisponde almeno
un sistema digitale, ma sempre più spesso ad ogni essere umano
corrispondono più di un sistema digitale. Questo fatto rende da un lato più
probabile riuscire a spiare/sorvegliare un essere umano attraverso il proprio
dispositivo personale (si hanno più possibilità su più sistemi) dall’atro lato
sempre più condivisioni ed attività “fisiche” vengono mappate digitalmente da
ognuno di noi, e questo rende più semplice lo spionaggio/controllo massivo.
Lei è il Ceo di un’azienda composta da un team specializzato proprio in cyber
security. Quali consigli darebbe ad una persona per proteggersi dagli attacchi
hacker?
Si potrebbero dare consigli tecnici sull’utilizzo del secondo fattore di
autenticazione, sul mantenimento dei sistemi aggiornati, su mantenere
sempre attivo un sistema anti-intrusione, e soprattutto su utilizzare teams
esterni alla propria organizzazione a garantire una buona postura di
sicurezza, ma credo che il migliore consiglio che posso offrire, oltre ai classici
consigli tecnici, sia quella di restare aggiornati, di leggere articoli di giornale
sul tema, di capire un po’ di più come avvengono tali attacchi. Leggendo e
comprendendo si avrà la possibilità di crearsi un’opinione propria e di
conseguenza riuscire a prendere le migliori decisioni sulla propria
organizzazione e/o sulla propria vita digitale, e capire quali tecnologie ed
attività mettere in atto per reagire agli attacchi informatici.
Infine, le vorrei chiedere quale sarà, secondo lei, il futuro della cyber security?
Difficile prevedere il futuro, ma studiando il passato e gli ultimi avvenimenti
credo che nel 2022 continueranno ad essere predominanti attacchi
ransomware di tipo double-extortion e che dovremmo tutti concentrarci sulla
supply chain. Credo che il digitale diverrà un asset molto importante per ogni
organizzazione e che la cybersecurity possa influenzare notevolmente il
business di ogni organizzazione. Per questo credo che sia necessario
valutare la postura di sicurezza digitale anche in ambiti strutturali
dell’economia come, per esempio, prima dell’erogazione di un finanziamento,
in una operazione di M&A, prima accreditarsi in un portale fornitori e prima di
usufruire di rimborso.