CYBER E POTERE

Immagine: 
Qualifiche dell'autore: 
cybersecurity specialist, CEO di Sawscan

Fino a poco tempo fa la cyber security era un tema riservato a pochissimi esperti. Perché adesso è diventato quasi d’interesse comune?

L’attenzione per le tematiche della cyber security è legata principalmente a due fattori – spesso interconnessi – l’aumento costante degli attacchi in formatici da un lato e la convergenza geopolitica globale dall’altro.

Da gennaio a giugno il numero delle vittime da parte dei virus che vanno a crittografare direttamente le aziende, con richiesta di riscatto, (noti come ransomware) è aumentato del 185% rispetto agli anni precedenti. Com’è possibile che questi attacchi informatici continuino a crescere con ritmi così vertiginosi? Il motivo è molto semplice: oggi è facile colpire qualsiasi azienda, l’asticella – che si tratti di competenza tecnica o di fattori economici – è sempre più bassa; rendendo questo tipo di attività estremamente redditizia per i Criminal Hacker.

La questione è che oggi possiamo creare immagini con foto realistiche grazie a Midjourney o testi strutturati grazie a un buon prompt, con tutte le sue varie declinazioni fino a Chat GPT, e abbiamo tra attaccanti e difensori non cambia se seguiamo questo flusso. Va da sé, però, che noi dobbiamo seguire costantemente la trasformazione, anche se la trasformazione digitale porta con sé il tema della sicurezza dei dati e delle informazioni, che diventano i driver degli attacchi contro di noi. anche strumenti per creare offesa.

Infatti. Ed è altrettanto vero che l’intelligenza artificiale oggi si aggiunge alle modalità di accessibilità. Non si tratta di avere a che fare con attaccanti capaci ed esperti: oggi per condurre un attacco basta avere un po’ di tempo, navigare non nel dark web, ma nel web, magari con Google, mettendo le parole corrette e cercare, per esempio, “carte di credito”, e troviamo un elenco di carte di credito in vendita. Op pure si trovano forum completamente disponibili che offrono coppie di mail e di password trafugate illegalmente. La questione è che il mondo del cyber oggi è diventato quasi un argomento da bar, perché è diventato accessibile e facile per chiunque.

Il vero passaggio cui prestare attenzione è che il rischio per le aziende aumenta ulteriormente con l’avvento dell’intelligenza artificiale: se non voglio neanche andare su Google per cercare lo strumento per svolgere un attacco, posso chiedere all’intelligenza artificiale di crearmi uno strumento come meglio credo.

Allora, se le aziende frenano rispetto alla trasformazione digitale, a un certo tipo di  sviluppo tecnologico e alla digitalizzazione hanno ragione?

No, non hanno ragione. Nel momento in cui ci fermiamo e non innoviamo perdiamo la nostra competitività e la nostra forza.

Allora come si difendono?

Le imprese innovano i processi industriali, acquistano nuovi macchinari, aumentano l’efficienza della produzione e la stessa cosa fa la tecnologia. L’innovazione va seguita, anche se è un traguardo sempre in movimento.

Quando qualcuno parla dell’intelligenza artificiale come di un rischio, sbaglia. L’intelligenza artificiale non fa altro che “esasperare” l’accessibilità al know-how, alle informazioni, agli strumenti che possono essere utilizzati per svolgere attacchi informatici, ma nello stesso tempo offre quegli stessi strumenti che andranno a contrastare questi attacchi. L’equazione attuale Posso immaginare quante persone, aprendo la posta elettronica, si trovano la classica mail di phishing che prova a ingannarli e quanti ricevono il classico sms che dice che hanno un pacco in sospeso e che devono paga re un euro per poterlo sbloccare. La domanda da porsi ciascuna volta è: “Come hanno trovato il mio cellulare o la mia mail?”. Partiamo dal presupposto che tutte le nostre informazioni sono già completamente disponibili su Google, quindi non sto parlando di dark web, di questi ambienti strani: il fatto incredibile è che, oggi, il mondo del dark web, quel mondo nascosto in cui si ha l’idea di avere di fronte gente con il cappuccio in testa e gli occhiali da sole anche a mezzanotte, in realtà, quel mondo è diventato grigio, è diventato un mercato dove operano imprenditori, anche se si tratta d’imprenditori criminali. Si tratta di un mercato molto florido, tenendo conto che oggi c’è una disponibilità immensa d’informazioni: noi viviamo con il cellulare in mano, viviamo con altri strumenti digitali sempre connessi, e condividiamo le nostre informazioni sempre dentro questi sistemi. E sono le 14 trasformazione digitale, a un certo tipo di stesse informazioni che hanno un ciclo di vita molto interessante e redditizio, perché quelle informazioni possono essere vendute e utilizzate per svolgere attacchi ransomware. La cosa in credibile è che si tratta di un mercato che si costruisce e prende esempio dal mercato lecito. Non so quante persone sanno che le gang ransomware, che si danno nomi particolari, per esempio LockBit, operano con un sistema di franchising: sviluppano un prodotto, dopodiché ci sono gruppi di criminali che pagano una fee per utilizzare il loro prodotto. Ma non finisce qui, producono anche i tutorial, danno gli strumenti per entrare in un’azienda, spie gano i vari passaggi e in più danno un servizio. Addirittura, adesso stanno aggiungendo un negoziatore, in altre parole, chi va a negoziare con l’azienda colpita non è chi ha fatto l’attacco ma è uno della gang. È un’industria a tutti gli effetti.

Un’ulteriore questione: com’è possibile che queste gang colpiscono la grandissima impresa, il grande ospedale, la grande struttura universitaria, ma anche il piccolo studio di commercialisti, di notai o di avvocati? Perché in realtà loro non sanno chi stanno attaccando, operano secondo un concetto di opportunità, che è data dalla presenza di una vulnerabilità, che loro possono sfruttare per entrare all’interno di un’infrastruttura informatica. Questa modalità è anche chiamata “pesca a strascico”. La cosa particolare è che nel secondo semestre di quest’anno le aziende maggiormente colpite sono quelle che hanno da uno a cinquanta dipendenti e corrispondono all’87% delle vittime.

Le modalità con cui fanno l’attacco sono le stesse e sono tre: nella prima c’è una vulnerabilità su un oggetto esposto su internet, per esempio, il sistema di posta elettronica ha una configurazione non corretta o non è stato aggiornato, oppure c’è un sistema che permette ai dipendenti di lavo rare da remoto, che ha una vulnerabilità molto elevata. Loro trovano quella vulnerabilità e attaccano con la modalità chiamata “exploit”, che è una sequenza di codice, che addirittura si può trovare su Google. Basta digitare il nome della vulnerabilità e si trova la sequenza di codice da utilizzare. E se qualcuno dubita su come funziona, può andare su YouTube e troverà il tutorial che lo spiega. La seconda modalità è quella di social engineering, che indica smishing and phishing, tentativo d’inganno.

Qui può entrare in gioco l’intelligenza artificiale, perché per esempio si possono mandare audio con una voce contraffatta per convincerti a dare password, magari sanno che tuo figlio è fuori in viaggio e ti dicono che è in difficoltà, quindi devi man dare soldi. Sono strumenti molto potenti in grado di entrare nella sfera personale…

La terza modalità si verifica quando gli hacker hanno già le credenziali per accedere direttamente dentro l’azienda. Hanno trovato queste credenziali attraverso un malware, un virus, che si chiama Infostealer, che infetta il dispositivo, ma non fa alcun tipo di danno, rimane silente e registra tutto quello che l’utente digita. C’è un market che si chiama Genetic Market che fino a tre mesi fa era online su Google. Per fortuna l’Fbi e le forze di polizia sono intervenute e l’hanno chiuso. Ma adesso è tornato online sul dark web e il link per trovarlo è sempre su Google. Per entrare sul dark web basta andare su Google e scaricare il programma Tor. E quali sono i paesi con il maggior numero di credenziali in vendita al mondo? Gli Stati Uniti e, al secondo posto, l’Italia.

Mi sembra di capire che nessuno possa sentirsi al sicuro. Ma come si contrasta tutto questo?

Il modello è molto semplice: si chiama sicurezza predittiva, sicurezza preventiva e sicurezza proattiva. La sicurezza predittiva va a cercare all’interno del mondo web e di quello dark web tutte le informazioni facenti parte della mia azienda che qualcuno sta già condividendo con terzi, quindi per capire se qualcuno ha scoperto vulnerabilità, che possono essere tecnologiche, ma anche quelle che fanno riferimento, per esempio, ai dati dei dipendenti. La sicurezza preventiva è l’analisi del rischio, cioè cerca di capire da dove potrebbe entrare un attaccante, quindi effettua attività di vulnerability assessment, ma anche di formazione e sensibilizzazione del personale. Tra l’altro, tutte queste attività di sicurezza predittiva e preventiva rientrano già nelle norme nazionali e internazionali di sicurezza. La sicurezza proattiva è paragonabile al sistema d’allarme del le aziende. Quando l’allarme suona, c’è qualcuno che arriva. Oggi è necessario dotarsi dello stesso dispositivo nel mondo delle infrastrutture informatiche, con un sistema di controllo SOC (Security Operating Center) paragonabile alla vigilanza che guarda le telecamere: è un sistema informatico che scopre l’eventuale presenza di ano malie e, appena le identifica, mette in atto l’intervento per bloccare l’attacco e respingere l’attaccante.

In Italia si fanno tante campagne di pubblicità progresso, ma finora ne è mancata una che sensibilizzi al tema del rischio informatico.

Teniamo presente che il nostro paese è stato uno tra quelli che ha digitalizzato in più breve tempo – in soli tre giorni! – ogni singola azienda della pubblica amministrazione, ospedali e uffici pubblici compresi. Nel periodo del lockdown milioni di persone, anche quelle più anziane, si sono trovate a interagire con dispositivi digitali di cui prima non avevano assolutamente dimestichezza.

Perché ha accostato le parole “cyber” e “potere” nel titolo del libro che ha scritto su questo argomento?

Qualcuno diceva che l’informazione oggi rappresenta il vero potere. Ebbe ne, sottolineo che il cyber si basa soprattutto sulla tutela e sulla corretta gestione delle informazioni. Quindi, io azienda posso avere un vantaggio competitivo ed essere un punto di riferimento se gestisco correttamente le mie infrastrutture tecnologiche, ma legate al tema delle informazioni che ho in casa.

 

Intervista di Alessio Iacona, curatore dell’Osservatorio Intelligenza Artificiale (Ansa)