Attacco Hacker all'Aero Club d'Italia

Pare che l'ennesimo attacco informatico nei confronti di un ente pubblico sia stato messo a segno la sera di lunedì otto novembre al server dell'Aero Club d'Italia, organizzazione che oltre agli sport aeronautici, su delega del Ministero dei trasporti gestisce le licenze di volo del settore ultraleggero e le identificazioni dei velivoli. Non è stato dichiarato se siano stati carpiti i dati di migliaia di piloti, quindi il condizionale è d'obbligo poiché l'Ente ha ufficialmente dichiarato soltanto il proprio disservizio attraverso il suo sito web, scusandosi per il disagio. Purtroppo l'Aero Club d'Italia è soltanto l'ultima delle vittime di attacchi di questo tipo a enti italiani: una decina i Comuni aggrediti, la Regione Lazio, Enel e Snai soltanto per citarne alcune, insieme con molte altre aziende private. Ma oltre all'opera di hacker e cyber criminali, a favorire queste operazioni illegali è lo stato in cui si trovano almeno il 25% dei server e delle reti informatiche italiane, come aveva già sottolineato tempo fa la squadra di risposta rapida all'emergenza informatica (Cert) dell'Agenzia per l'Italia Digitale. Ci sono carenze per vetustà dei sistemi e anche delle protezioni delle reti, così la fotografia che il Cert ha fatto dell'informatica pubblica ha determinato che circa il 22% dei server sono vulnerabili e che questo tipo di debolezza è anche alta. Ciò è dovuto a criticità e debolezze che risalgono dai primi anni Duemila fino al 2012, evidenziando che la Pubblica amministrazione italiana ha grandi problemi in fatto di manutenzione e sostituzione dei software ma anche di aggiornamento dei propri sistemi che li ospitano.

Mentre nelle aziende provate esiste un budget dedicato alla manutenzione e all'evoluzione informatica, ritenuta sempre più un importante investimento, e di conseguenza c'è un programma che il responsabile IT deve attuare, negli uffici pubblici convivono ancora versioni di sistemi operativi (in maggioranza Windows di varie versioni) che oggi rappresentano i talloni d'Achille delle reti. La comparsa di un sempre maggiore numero dei cosiddetti ramsomware (strumenti con i quali i pirati criptano i dati e chiedono un riscatto), ha reso necessarie delle contromisure non soltanto per recuperare i dati, fattibile con un buon sistema di backup, quanto per evitare i tempi di paralisi delle attività che questi atti provocano, a grave danno delle produzioni. Dunque la forza di un ramsomware è tanto maggiore quanto è debole l'anello più esposto di una rete informatica.

La maggior parte degli aggressori spera in due cose: nel tempo per la diffusione dell'attacco e nei soldi pagati per farlo smettere. Storicamente, il ripristino poteva richiedere settimane o addirittura mesi quando era un processo estremamente manuale e laborioso che si estendeva a più parti interessate all'interno di un'organizzazione. Ora il ripristino può essere orchestrato e automatizzato con opzioni flessibili e alternative, come la rapida attivazione di un data center su cloud pubblico, che può ridurre i tempi di inattività e fornire alternative al pagamento di un riscatto. Con i giusti sistemi in atto, i tempi di ripristino possono essere minimi.

Ecco, allora, alcuni suggerimenti per proteggersi al meglio. Il paradiso di ogni pirata informatico è una rete unica e continua. Ciò significa che i virus possono diffondersi facilmente nell'intera infrastruttura. Un modo efficace per fermare gli aggressori e ridurre significativamente i punti d'attacco è la segmentazione della rete in diverse sotto-reti più piccole e dall'accesso gestito e limitato, in particolare ai dati più importanti, in modo selettivo.

Bisogna comunque fare aggiornamenti software e di sistema frequenti; l'uso di software obsoleti può consentire agli aggressori di sfruttare vulnerabilità non attenuate nelle versioni successive, compresa la struttura di backup. Questo perché è inutile cercare di combattere i virus di oggi con la tecnologia di ieri. Eseguendo frequentemente il backup dei dati, delle immagini di sistema e delle configurazioni, avremo sempre un luogo aggiornato dal quale riprendere le operazioni in caso di attacco. Meglio ancora evitando i "punti d'avaria singola", ovvero sistemi che dipendono completamente da un solo elemento. Lo si fa conservando almeno tre copie in luoghi diversi su due supporti di memorizzazione distinti e quindi archiviare una copia fuori dalla rete. Ciò ridurrà le possibilità che un utente malintenzionato ottenga l'accesso a tutti i dati.

Non fidarsi mai completamente di alcun dispositivo, ovvero usare la filosofia "Zero Trust", che si basa sul dubitare anche di computer e dispositivi presenti all'interno della nostra rete. E invece di richiedere una sola password anche se è lunga e complicata, è possibile richiedere l'autenticazione a più fattori e il controllo degli accessi. In questo modo i dati fuoriusciti saranno sempre parziali e non utilizzabili. Abbassando il numero di utenti che accedono ai backup e limitando il loro collegamento nel tempo toglieremo l'accesso più comune di il ransomware. È anche una buona pratica mantenere le funzioni vitali dell'infrastruttura scollegate fisicamente da internet e dare l'accesso ai fornitori di materiali in forma informatica (si pensi all'editoria, con testi e foto inviati da molti collaboratori), su macchine filtro dedicate allo scopo. È poi fondamentale avere strumenti che forniscano una visibilità completa del proprio ambiente, che rilevino anomalie e avvisino se ci sono attività dannose in corso senza che il "virus" possa nascondersi. Gli archivi e i backup devono avere caratteristiche di conservazione con immutabilità dei dati, che in quel modo non possono essere modificati in nessuna circostanza. Una volta organizzata l'architettura del sistema il lavoro del tecnico non è però finito: occorre fare dei test che assicurano il funzionamento del sistema nel momento del bisogno, quindi si tratta di un lavoro continuo; e naturalmente tutto è inutile se chi lavora su quella rete non è istruito. Gli operatori, dipendenti o collaboratori, sono spesso la via principale per un attacco. Gli errori accadono, è inevitabile, ma informarli come riconoscere una mail sospetta è fondamentale, così come aumentare le possibilità navigando su siti non garantiti e, soprattutto, devono sapere che cosa fare in quei casi.