Hacker senza freni, colpiti i maestri della cybersecurity

Ci sono alcune notizie che fanno il giro del mondo, altre restano confinate in ambiti molto ristretti. Partiamo dalla prima che ha visto al centro dell'attenzione il caso di un tentato colpo ai danni alla Gigafactory Tesla in Nevada.

Nel caso si può parlare di un attacco ibrido iniziato nel mondo reale, ma che avrebbe dovuto concludersi in quello virtuale. Tutto inizia quando un ventisettenne russo entrato negli Stati Uniti con visto turistico "aggancia" un dipendente di Tesla per poi proporgli, in cambio di un milione di dollari, di installare un malware all'interno dello stabilimento per bloccarne la produzione. Nulla di complesso, l'impiegato avrebbe dovuto collegare una chiavetta USB a un computer connesso alla rete Tesla e aspettare circa otto ore per dare il tempo al virus distribuirsi su tutti i sistemi.

Interessante notare come il criminale abbia cercato in vari modi di rassicurare il potenziale complice spiegandogli che molte operazioni di questo tipo erano già state portate a conclusione con successo e, volendo, l'organizzazione criminale avrebbe potuto predisporre delle tracce che avrebbero spinto le indagini verso un suo collega, magari per il quale non aveva particolare simpatia. Insomma un lavoretto di routine che avrebbe portato nelle tasche dei delinquenti 4 milioni di dollari (tale sarebbe stato il riscatto chiesto a Elon Musk) di cui un quarto spettava alla "talpa". Per sfortuna dei ricattatori il dipendente si è rivelato di specchiata onestà e ha immediatamente denunciato tutto a Tesla e quindi alla FBI, con il risultato che l'emissario russo è finito in manette.

Tutto è bene quel che finisce bene, ma si tratta dell'ennesima dimostrazione di come il sistema criminale si è strutturato e ha affinato le sue modalità operative. Inoltre segnala come l'obiettivo sia quello di causare il maggior danno possibile, un risultato che si può ottenere soltanto se ci si trova all'interno dei sistemi. Quante altre aziende sono state vittime di questo tipo di truffa non è dato saperlo, ma il sospetto che siano decisamente molte è legittimo. In fondo tutti hanno un prezzo.

La seconda notizie, invece, non prevede un lieto fine, è nota a pochi, e probabilmente è molto più inquietante. Circa una settimana orsono il SANS Institute ha ammesso di avere subito un data breach (violazione di dati personali) che ha portato alla compromissione delle informazioni relative ai 28 mila suoi iscritti e membri.

Qualcuno, anzi, molti si chiederanno cosa sia il SANS e perché questo attacco debba essere considerato inquietante. Il SysAdmin, Audit, Networking, and Security Institute è forse la più nota organizzazione a livello mondiale che offre servizi di formazione e addestramento in materia di sicurezza informatica da oltre un quarantennio. In questo lasso di tempo ha istruito ed educato oltre 165 mila professionisti in materia di sicurezza. Le sue attività di ricerca in materia hanno ottenuto oltre 1.200 riconoscimenti ufficiali per originalità e qualità. Quindi stiamo parlando del Gotha in materia di cyber security, eppure un dipendente dell'organizzazione è stato vittima di una email di phishing che gli proponeva di scaricare un documento da Sharepointoline.

Dopo i soliti fatidici clic sul dispositivo della vittima è stato installato un malware che provvedeva a inoltrare a un casella di posta esterna le email che contenevano determinate parole chiave (per esempio IBAN, payment, bank, etc.). Prima che al SANS si rendessero conto di cosa stava accadendo oltre 500 email avevano preso il volo verso lidi sconosciuti. Due aspetti fondamentali della vicenda meritano di essere sottolineati. In primo luogo l'organizzazione ha dato comunicazione, azione meritoria, di tutti i dettagli dell'attacco in modo che altre aziende possano studiare i dettagli e prendere contromisure (per la cronaca questo stesso attacco è stato rilevato in Italia tra giugno e luglio di quest'anno). In secondo luogo, se mai fosse ancora necessario, il caso ha dimostrato che ognuno di noi può essere una vittima. Nel 2016 le prime righe del mio libro "Come pesci nella rete" recitavano: "Se pensate che quando accendo il mio portatile mi senta tranquillo, avete ragione. Nel senso che sono tranquillamente pronto ha scoprire che qualcuno mi ha truffato online". Era vero quattro anni fa ed è vero oggi, ma soprattutto mi stupisco continuamente di come migliaia di persone che si occupano professionalmente di information technology ancora oggi di fronte a certe raccomandazioni che gli vengono rivolte le commentino come banalità, finendo per appartenere a pieno titolo alla categoria di quelli che accendo un PC o uno smart phone e spengono contemporaneamente il cervello.