Quanto è difficile fare cyber security

L'attacco ai danni del sistema di gestione email Exchange di Microsoft mi permette di fare alcune riflessioni.

La storia è ben nota: ai primi di marzo l'azienda di Redmond rilascia un aggiornamento di emergenza per correggere quattro vulnerabilità che consentono di violare il sistema di posta più diffuso in tutto il mondo. In seguito si viene a sapere che la scoperta delle prime aggressioni (si sospetta da parte di un gruppo sponsorizzato dalla Cina) e delle debolezze risale al 6 di gennaio e nel mentre un numero variabile tra i 30 e i 100 mila server nel mondo sono stati colpiti. Inoltre si rileva che su molti dei sistemi compromessi è stata installata una "backdoor" che permette di accedere anche dopo la rimozione delle vulnerabilità.

La Rubrica - Cybersecurity Week

Si tratta di un caso emblematico di quanto sia diventato difficile il mestiere di chi si occupa di cyber security nelle aziende. In primo luogo, ma per molti è storia vecchia, esiste un problema di persistenza degli attacchi che ormai possono durare sistematicamente per mesi o anni. In questo caso la presenza di una backdoor ne è un indicatore. Il secondo tema sono i tempi entro cui le potenziali vittime sono avvisate e gli aggiornamenti vengono rilasciati. Due mesi, in questo ambito, sono un'era geologica. La terza questione è emersa prepotentemente negli ultimi anni e riguarda la divulgazione degli exploit (ovvero le modalità attraverso cui si sfrutta una vulnerabilità). Chiunque si occupi di sicurezza è ben consapevole che se finisce nel mirino di un gruppo hacker "state sponsored" ha pochissime possibilità di cavarsela, fosse soltanto perché si trova di fronte ad un'organizzazione che non ha problemi di tempo e denaro, quindi il paradigma per cui i criminali valutano l'economia dello sforzo viene meno.

Tuttavia, di regola, i governi che riescono a entrare in possesso di vulnerabilità "zero day" (non esiste la correzione) e dei relativi exploit tendono ad essere piuttosto gelosi, perché rappresentano un vantaggio sul terreno di un guerra cyber più o meno fredda. In questo specifico caso, invece, abbiamo assistito, per dirla in metafora, al pasto delle iene dopo la caccia del leone. La stragrande maggioranza delle decine di migliaia di sistemi violati sono stati aggrediti da altre organizzazioni criminali, molte delle quali si sono limitate a iniettare un ransomware per poi chiedere un riscatto in cambio della chiave per decifrare i dati. Tutto ciò significa che dopo i primi attacchi le tecniche per perpetrarli sono diventate di "pubblico dominio". In tal modo la posizione di chiunque si occupi di sicurezza rischia di diventare non molto diversa da quella del bersaglio al tiro a segno del luna park. Un'ultima nota a margine. Microsoft ha precisato che la sua soluzione di posta elettronica in cloud, sempre basata su Exchange, non è stata compromessa dagli attacchi. Che bravi!