I 7 peccati capitali di SolarWinds

Difficile non parlare questa settimana del "caso SolarWinds".

Per chi si fosse distratto o semplicemente "perso" nella ridda di notizie, mi riferisco alla scoperta della compromissione dei sistemi di FireEye, una delle principali società di cybersecurity al mondo, di alcuni servizi Microsoft, questa non ha bisogno di presentazioni, e di varie agenzie governative statunitensi. Cosa c'entra SolarWinds, una società che produce un software per la gestione delle reti?

Sarebbe ormai assodato che proprio attraverso degli aggiornamenti per i suoi prodotti, decisamente molto diffusi, sia stato possibile per gli aggressori violare i network delle vittime, sembrerebbe alcune migliaia. Fatto questo breve riassunto veniamo alla questione veramente importante che non riguarda il "cosa", nemmeno il "quando", neppure il "perché" e soltanto in misura modesta il "chi".

Il vero tema è il "come" e su questo, come quasi sempre accade quando si tratta di incidenti di cybersecurity, avere delle certezze è quasi impossibile, per una serie di ragioni di cui ci occuperemo in seguito. Nel caso in questione si è immediatamente parlato di un attacco talmente sofisticato da non avere precedenti, poi qualcuno ha rivelato che per accedere su alcuni server pubblici in cui erano custoditi tutto o parte del codice del software la password sarebbe stata "solarwinds123". Improvvisamente l'exploit del secolo è diventata una barzelletta? Personalmente penso che la verità stia nel mezzo. Cercherò di spiegarmi meglio.

Tra il criminale e la sua vittima esiste quella che definirei una sorta di "complicità involontaria". Il primo ha la necessità di trovare un punto debole, il secondo soffre di tutti quei difetti molti dei quali sono parte integrante della nostra umanità. Una rapida lista: ira, avarizia, invidia, superbia, gola, accidia, lussuria (giusto per citare solo quelli capitali). Nel settore delle nuove tecnologie i più diffusi in assoluto sono la superbia e l'accidia (pigrizia). Succede quindi che il professionista informatico, che pensa di sapere, si ritenga curiosamente invulnerabile e allo stesso tempo pecchi di pigrizia nello scegliere modalità e sistemi di autenticazione troppo "comodi". Di fatto si pone due domande e si fornisce due risposte.

Prima domanda: chi avrebbe il coraggio di cercare di colpire me, che so quello che faccio?

Risposta: nessuno che sia sano di mente e non voglia perdere tempo. Questa risposta porta alla domanda successiva: se nessuno sano di mente mi vuole colpire perché mi devo preoccupare di banalità come una password?

Risposta: non esiste una buona ragione. Tutto ciò genera la "falsa sicurezza".

Il criminale segue esattamente lo stesso ragionamento e questo produce il primo effetto: molto probabilmente il criminale riuscirà ad arrivare dove non dovrebbe essere possibile. Tuttavia a questo punto inizia la parte difficile per il nostro delinquente. Essere all'interno di un sistema senza essere scoperti e fare in modo di produrre effetti che parimenti non siano rilevabili, non è tanto diverso dal vivere nella stessa casa di qualcuno senza che questi se ne accorga. Riuscirci significa essere molto abili e competenti. Nel caso SolarWinds immagino sia accaduto qualcosa del genere: entrare è stato facile, riuscire a inserire nel prodotto un malware (precisamente una backdoor) difficile da scoprire e quasi invisibile è stata una vera e propria opera d'arte criminale.

Purtroppo non credo ci verrà mai rivelato come sono andate esattamente le cose per almeno due buone ragioni. La prima: nessuno, soprattutto se "del settore", vorrà mai ammettere di essere stato turlupinato se non grazie ad un attacco "estremamente sofisticato". La seconda, molto più grave e direttamente connessa alla prima, l'impossibilità di dichiarare di essere fallibili e quindi fondamentalmente umani (superbi e accidiosi). Umani come tutti quegli utenti che i professionisti stessi ridicolizzano per qualche pessima abitudine come utilizzare sempre e dappertutto la stessa banalissima password.