Il 2011 è stato considerato da tutti i professionisti internazionali del settore come l'anno nero della sicurezza informatica. Il 2012, tuttavia, non solo conferma il trend negativo, ma lo amplifica (per i dati del 2013 è ancora troppo presto ed è plausibile pensare che molti non si siano ancora accorti degli incidenti di sicurezza di cui sono vittime).
Proviamo a vedere gli eventi più famosi che hanno caratterizzato il solo 2011 (in ordine cronologico):
- RSA (produttore di token per la strong authentication, quelli usati in banca con i codici numerici che cambiano continuamente, per intenderci): viene sottratta una parte di dati importante e che, a detta di RSA stessa, può comprometterne la sicurezza. Solo negli USA si stima che la sostituzione dei token sia costata ad RSA 100 milioni di dollari
- Sony: 100 milioni di account sono stati compromessi; nomi, cognomi, email, password, indirizzi di fatturazione.. per un valore stimato di circa 14 miliardi di dollari
- Macchine del Fondo monetario Internazionale sono state colpite da un malware atto a catturarne i dati
- Sega: sono stati compromessi circa 1,3 milioni di account
- Un'azienda fornitrice del Pentagono ha subito un attacco da uno Stato straniero che ha causato il furto di circa 24.000 documenti. Un'arma è stata riprogettata in seguito all'evento
- NATO: C'è stata una violazione di documenti classificati
- SK Communication: 35 milioni di account sono stati compromessi, rivelando nomi, cognomi, password, etc.
- Borsa di Hong Kong: in seguito ad un'ondata di attacchi la borsa chiude per 2 giorni
- Mitsubishi: un attacco sottrae progetti di aerei giapponesi da combattimento, elicotteri e centrali nucleari
- Due modelli di droni americani vengono infettati da un malware in grado di catturare dati su ogni operazione
- Steam, piattaforma di vendita di giochi online, annuncia la compromissione di nomi, cognomi, password, indirizzi di fatturazione, numeri di carte di credito (cifrate), email,.. di 35 milioni di utenti
- Nexon: 13 milioni di account compromessi
Questi sono solo gli eventi più in vista, quelli più eclatanti che hanno fatto scalpore su ogni rivista del settore e quelli che ci è dato sapere. Senza contare i celebri attacchi alle CA, unica certezza ed unico fulcro di trusting (se la Certification Authority, entità che certifica la validità e l'integrità dei servizi online, non è più elemento di fiducia, di chi ci dobbiamo fidare?). Gli incidenti di sicurezza informatica sono stati centinaia di migliaia, se non milioni.
Volutamente ho glissato sui moltissimi attacchi ad enti governativi, veicolati probabilmente da altrettante nazioni.
E nel 2012 ci sono casi persino peggiori.
Come si stanno muovendo i governi?
Tutti i governi, salvo rare e piccole eccezioni, stanno dotando le proprie infrastrutture di divisioni apposite.
Fino a qualche anno fa era consuetudine sentir parlare di organi "civili", al servizio dei cittadini. Oggi la tendenza è diversa, le divisioni di difesa ed attacco informatico sono diventate in alcuni casi parte di una forza armata militare (aeronautica, esercito, marina,..), in altri casi un ente completamente assestante e con connotazioni sempre militari. Lo spazio virtuale è diventato un nuovo dominio oltre a terra, mare ed aria.
Gli investimenti in tal senso sono ingenti, ed i rischi anche. Un attacco informatico può paralizzare un intero paese, mandandolo nel caos. Basti pensare agli attacchi veicolati verso le centrali elettriche (anche nucleari) in Iran. Ma non sono da escludere obiettivi critici come ospedali, basi militari, ministeri, ambasciate, etc.
In Italia è notizia recente quella della formazione di un nucleo specialistico, direttamente ai comandi della Difesa, che ha reclutato pubblicamente via web a Luglio 2013 i soggetti interessati a parteciparvi (http://www.sicurezzanazionale.gov.it/sisr.nsf/lavora-con-noi.html).
Nonostante tutto e nonostante i governi abbiano strumenti straordinari (basti pensare alla possibilità di richiedere la visione di email, account, etc.. in caso di possibile minaccia), appare ancora evidente che una vera supremazia non ci sia ancora, anzi. Per riportare un aneddoto interessante che dimostra quanto ancora gli Stati siano succubi di questa continua ed incredibile guerra virtuale, basti pensare che tra maggio e giugno un noto gruppo hacker veicolò per svariate settimane attacchi massivi verso Sony, CIA, FBI, Nintendo e varie istituzioni NATO inclusa. Furono fermati solo da un altro gruppo hacker che, ritenendo eccessiva l'operazione, decisero di intervenire.
La piccola e media impresa che chance ha di difendersi?
La domanda sorge spontanea, se colossi che hanno centinaia di persone solo per curare la security vengono fatte "saltare" così "facilmente", il piccolo cosa può fare per difendersi?
Vanno, tuttavia, fatte delle considerazioni. Il piccolo ha una "superficie di attacco" molto più ridotta del grande. Esporrà meno servizi, ed i dati esposti, solitamente, sono meno importanti e meno interessanti. Da questo ne deriva che lo sforzo stesso di un attaccante potrebbe essere minore e potrebbe essere visto come un inutile spreco di energia rispetto a chi gestisce centinaia di migliaia di account. Potrebbe.
Detto questo, tutto il mondo dell'IT Security lavora non per trovare la soluzione perfetta (impossibile come dimostrano i fatti quotidianamente), ma per elevare il livello di sicurezza dell'infrastruttura. Si ragiona per livelli: all'aumentare dell'altezza della mia staccionata, diminuiranno gli individui in grado di saltarla. Installando una porta blindata con una buona serratura, delle grate ed un sistema di allarme perimetrale, ridurrò i rischi di subire un furto da parte di teppisti poco organizzati e non in grado di superare questi vincoli. Nulla o poco potrò con il professionista in grado di fare key bumping e aprirmi la serratura della porta blindata europea, ma a quel punto avrò anche investito una cifra adatta a supportare quel tipo di rischi ed entro quel limite.
