Gli ultimi avvenimenti stanno condizionando pesantemente il mondo informatico. Modalità criminali sempre più spietate e sempre meno "didattiche", ma finalizzate alla monetizzazione, stanno trasformando il panorama informatico in una vera e propria giungla (oltre quanto non lo fosse già).
La sensazione, alla luce degli ultimi accadimenti, è quella di una totale impotenza dinnanzi all'insicurezza delle apparecchiature che quotidianamente fanno muovere il pianeta. Proviamo a fare il punto di questo primo semestre del 2015.
CryptoLocker, CryptoWall et simila
Un tempo il mondo della sicurezza informatica, nella sua accezione più variegata, aveva comunque delle regole. Chi attaccava, spesso, si poneva degli interrogativi etici, ragionava in virtù di un tornaconto, ma che comunque non inficiasse gravemente la propria vittima. Adesso le cose sono cambiate, ed era solo questione di tempo perchè l'adolescente freschezza lasciasse spazio ad una incurante spietatezza. Ed arrivò CryptoLocker, l'estorsore.
CryptoLocker è un malware a km 0. Dal produttore al consumatore. Per monetizzare l'inventore lo vende all'attaccante che incassa dalla vittima direttamente. Non deve più rivendere qualcosa nel deep web, con innumerevoli passaggi attraverso un non ben meglio noto black market. I tuoi dati vengono crittografati, tu paghi per riaverli. Fine. Spietato, pragmatico, immediato. CryptoLocker traccia una linea e separa due epoche informatiche, definisce permanentemente la fine dell' "adolescenza" degli attaccanti. Di cryptolocker mi affascina non la modalità, nè la tecnica (banale, quanto il suo metodo infettivo da ABC del piccolo hacker) nè l'idea (tutto sommato semplice), ma la socialità. Mi stupisce la fine di un'etica che, comunque e per quanto spesso irrisoria, stava tutto sommato alla base di questo mondo.
Le sue varianti CryptoWall sono in grado di cancellare backup, shadow copy, dischi di rete... e sono così tante che molte non vengono nemmeno identificate.
Se pensate che questo sia il peggio, sappiate che non abbiamo nemmeno iniziato.
HackingTeam e lo spionaggio governativo
Qui si apre un altro scenario, grazie alla ben nota vicenda HackingTeam. Senza soffermarci troppo sul caso in se, la vicenda ha mostrato in tutta la sia semplicità
- quanto sia banale compromettere macchine ed assumerne completamente il controllo (e persino far lasciare al software "forense" prove di reato... ma questa è un'altra storia e la magistratura si occuperà di valutarne la veridicità);
- quanto l'NSA sia potente e possa controllare sostanzialmente ogni informazione (in alcuni passaggi è emerso che, nonostante HackingTeam sia una multinazionale di tutto rilievo, non sia praticamente nulla in confronto all'NSA che sistematicamente è presente praticamente ovunque con una "potenza di fuoco" illimitata);
- quanto possa essere conveniente creare un software gratuito ad alta diffusione e che contenga delle backdoor rivendibili a chi le deve usare di mestiere (uh.. il responsabile della Security di Facebook ha bandito Flash... la verità è che ci siamo un pò tutti stancati di questo colabrodo);
C'è anche un aspetto positivo, ora sappiamo che Karspersky Labs braccava dal 2013 HT e forse (si vocifera) avrebbe cercato di corrompere alcuni sviluppatori interni con mezzo milione di euro per la creazione di un antidoto. Quindi è emersa la vera potenza di sistemi antivirus come Karsperky, seguito da Sophos, e quanto siano in grado di investire nei loro prodotti.
Una chicca: era in progetto di sviluppare dei micro-droni a ricarica solare in grado di atterrare autonomamente nei pressi di una rete wifi specifica compromettendone la sicurezza e, quindi, infettandone le macchine. Fantascienza? No, tutta la tecnologia è ampiamente disponibile, tutto sommato serviva solo avere l'idea. Ed ora l'idea è pubblica.
Firmware Injection
Un interessante articolo di Repubblica (qui) spiega un nuovo scenario, fin'ora sempre toccato in maniera più o meno collaterale, ovvero che un'infezione possa avvenire direttamente dal firmware delle periferiche che colleghiamo alla nostra macchina. Bene, ora è realtà ed è stato dimostrato che PC e MAC possono essere resi inutilizzabili definitivamente (formattare non risolve) semplicemente collegando una periferica o una scheda con firmware infetto.
Che scenari si aprono? Un mondo.
A breve, quindi:
- in perfetto stile CryptoLocker potremmo ritrovarci con una macchina davvero inutilizzabile (a partire dal bios) salvo corrispondere un pagamento;
- dovremo far attenzione ad acquistare hardware su internet, poichè al costo basso di una periferica potrebbe corrispondere un illecito guadagno derivato da un'attività successiva e correlata;
- infezioni inattive ed azionate a comando potrebbero partire tutte insieme, mettendo in ginocchio intere aziende
Anche qui... fantascienza? Mannò, è noto che l'NSA alteri sistematicamente i firmware di alcune macchine destinate a paesi "caldi". Ci sono innumerevoli articoli tecnici di come l'alterazione di un firmware di un hard disk possa compromettere la stabilità della macchina o dei dati in esso contenuti, ed è tristemente noto che l'acquisto di hard disk usati possa essere passibile di queste problematiche ("controllate che non vi siano saldature strane sul circuito sotto al disco", recitava un promemoria qualche tempo fa).
ShellShock, HeartBleed e chi più ne ha più ne metta
In ambito Linux non siamo messi meglio, i recenti ShellShock e HeartBleed, rispettivamente su bash (software più stabile penso non esista...) e openssl (su cui gira praticamente tutto) nascondevano incredibili vulnerabilità, classificate per la prima volta come 10/10/10 (potenzialmente e realmente di una pericolosità fuori dal mondo). Non c'è più riparo... salvo diventare "eremiti informatici" come Stallman...
Insicurezza informatica
Come dire... ClamAV ha dichiarato di recente di non riuscire a classificare oltre il 30% dei nuovi virus che vengono creati quotidianamente. Dropbox ha visto compromessi 7 milioni di account, intere Certification Authority hanno fallito perchè compromesse e persino chi fa "attacco informatico" si è visto 400Gb di dati e email spiattellati su Wikileaks... che considerazioni possiamo fare?
Riporto un aneddoto. Quasi 10 anni fa mi chiamarono per fare un'analisi su un server. Era evidente che fosse stato compromesso, ma era un server su cui non c'erano dati importanti... si trovava in DMZ e tutto sommato gli attaccanti stavano usando anche poca banda. Il server era difficile da migrare o da ripristinare, quindi il cliente mi confessò che avrebbe lasciato il mondo come stava e, seppur tenendo sotto controllo la situazione, non sarebbe comunque intervenuto. Come per un sistema vivente, il parassita non creava problemi e andava bene così. Oggi tutto questo sarebbe impensabile, gli attacchi si sono incattiviti, non c'è più scrupolo e dove ieri si scippava, oggi si spara a bruciapelo.
E' convenuto avere tutta questa libertà? Io non sono nessuno per giudicare, ma temo che il motto "sul web siamo tutti liberi" possa lasciare troppo spazio ad anarchie ed attività illegali assolutamente fuori controllo.
Stiamo vivendo in piena insicurezza, le armi difensive sono assolutamente inefficaci.
Immaginate cosa accadrebbe se lo sviluppo Microsoft fosse compromesso. Nel giro di un aggiornamento avremmo l'apocalisse. Aeroporti fermi, mercati finanziari fermi, compagnie elettriche, aziende chiuse (dalla S.p.A. al tabaccaio). I computer sono alla base dell'umanità per come la conosciamo oggi, senza riusciremmo a far funzionare tutto? E se una nuova vulnerabilità in grado di infettare le macchine intaccasse Microsoft? O Google? O Facebook? Non mi sembra uno scenario poi così irrealizzabile... nonostante osservatori e sforzi governativi...
