Cyberwar anche in Italia? IL TERRORISMO INFORMATICO STA DIVENTANTO UNA REALTÀ PERICOLOSA ANCHE PER IL NOSTRO PAESE. Marco R. A. Bozzetti, OAI founder Mentre scrivo questo articolo è in pieno corso la campagna per sollecitare la compilazione, via web, del Questionario 2014 OAI: l’analisi e l’elaborazione dei dati raccolti porterà alla realizzazione del Rapporto OAI 2014, che fornirà una significativa fotografia del fenomeno degli attacchi informatici in Italia per aziende ed enti di ogni dimensione e settore merceologico. In attesa dei risultati di questa indagine, che verranno ampiamente commentati nei prossimi numeri di questa rubrica, dai media arrivano notizie molto preoccupanti che già hanno, e che soprattutto avranno nei prossimi tempi, impatti sulla sicurezza dei nostri sistemi informatici. Attacchi informatici in Italia dai terroristi jihadisti? Il problema del terrorismo islamico è ben noto da tempo, anche se spesso sottovalutato in Europa e in Italia: si pensi ai tanto discussi libri di Oriana Fallaci “La rabbia e l’orgoglio” del 2001 e “La forza della ragione” del 2004. Siamo ora ben lontani dai tempi dell’attacco alle Torri 88 marzo 2015 Gemelle e alla successiva reazione statunitense. Dopo quindici anni “la guerra santa islamica” è più viva e aggressiva che mai e la nascita e l’ampliamento dell’auto proclamato Califfato di Al Baghdadi, chiamato anche Isis, e i feroci assassinii ed attacchi terroristici anche in Europa a esso correlati, hanno portato il problema a un livello di criticità mai visto prima. Recentemente gruppi jihadisti hanno occupato alcune città libiche e dichiarano, consapevolmente, di essere a “sud di Roma”. Ma al di là del tradizionale terrorismo, fino a oggi in Italia ben contrastato soprattutto dal controspionaggio, cresce il pericolo sul fronte informatico. Gli aberranti filmati degli assassinii perpetrati mostrano una sofisticata regia mediatica e una ottima padronanza degli strumenti informatici per realizzarli e montarli. E sono stati creati numerosi siti web, anche in lingua inglese, per promuovere l’estremismo jihadista e per reclutare combattenti anche in Europa. Viste le competenze informatiche di questi gruppi, non occorre certo una sofisticata analisi dei rischi per prevedere prossimi attacchi informatici, qualora non siano magari già in atto. Un indicatore di questa gravità è anche dato dall’annuncio di Anonymus di aver intrapreso una ‘guerra informatica’ contro questi terroristi. I primi obiettivi, oltre ai sistemi informatici del Vaticano, ragionevolmente potrebbero essere le ‘infrastrutture critiche’, che includono i sistemi di produzione e di distribuzione energetica (elettricità, gas), le reti di telecomunicazione, le reti idriche, i sistemi di trasporto aereo, navale, ferroviario, stradale, le banche e i servizi finanziari, gli ospedali ed i servizi sanitari, i sistemi e le reti delle forze dell’ordine pubblico, dei militari, della protezione civile, del Governo e delle Pubbliche Amministrazioni. A livello italiano la protezione informatica delle infrastrutture critiche è coordinata dal CNAIPIC, Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (https:// www.commissariatodips.it/profilo/ cnaipic.html), nell’ambito della Polizia Postale. Ma saranno solo questi i potenziali target del cyber terrorismo, siamo sicuri che non saranno oggetto di attacchi anche importanti industrie del nostro Paese? E saranno escluse anche le PMI e le piccole amministrazioni locali? Personalmente ne dubito. Chi sarà nel mirino? In relazione agli altri più importanti Paesi occidentali, in Italia abbiamo meno infrastrutture critiche, e ancor meno grandi industrie conosciute a livello mondiale. Tutti questi potenziali target sono noti e spero per queste realtà che le loro infrastrutture informatiche vengano adeguatamente rinforzate con misure di prevenzione e protezione adatte, oltre a quelle di ripristino. Ma la stragrande maggioranza delle PMI e delle pubbliche amministrazioni locali, hanno meno di 10 dipendenti. Sarebbe comunque paralizzante per l’economia italiana se una parte, più o meno consistente, di queste realtà subisse attacchi ai sistemi informatici, basati su meccanismi non particolarmente efficaci, come per esempio su DoS/DDoS o su malware bloccanti, tipo ransoware. Senza farsi prendere dal panico, i nuovi rischi della cyberwar devono anche rappresentare un caldo invito a tutte le organizzazioni per rivedere e rafforzare le proprie misure di sicurezza: nel 2015 potremmo essere sotto attacco non solo per frodi .. ma anche per cyber terrorismo. Buone vecchie regole... Come si può rispondere a questi nuovi rischi? Le strategie di sicurezza implementate nelle aziende italiane sono state diverse in questi anni, ma ricordiamoci che la sicurezza non WORST PASSWORD La classifica 2014 delle password più utilizzate in Internet... e dimenticate 11 12 13 14 15 16 17 18 19 10 11 12 13 123456 password 12345 12345678 qwerty 1234567890 1234 baseball dragon football 1234567 monkey letmein 14 15 16 17 18 19 20 21 22 23 24 25 abc123 111111 mustang access shadow master michael superman 696969 123123 batman trustno1 Fonte: Splashdata, 2014 è una tecnologia, è un processo e come tale impatta l’organizzazione aziendale, l’attenzione che dedicano a questo tema le singole persone mantenendosi aggiornati e avendo sempre comportamenti conformi a ‘buone pratiche’ di sicurezza. Tra queste non si può trascurare certamente quella più fondamentale di tutte: utilizzare password, e cambiarle spesso, non banali e che non risultino già utilizzate da altri. Giusto per la cronaca in questa pagina trovate la classifica 2014 delle password più utilizzate in Internet curata da Splashdata. Dobbiamo rafforzare le misure di sicurezza e ancora vengono usate queste password? Il problema è soprattutto organizzativo, ma sicuramente occorre ancora una forte campagna di sensibilizzazione anche all’interno delle aziende verso gli utenti per insegnare loro ad usare password meno banali e più sicure. La crescita del rischio Malvertising Infine un aggiornamento sulle tipologie di attacco emergenti. Il termine Malvertising sta per ‘malicious advertisements’, ossia pubblicità malevola, nel senso di pagine web che nascondono un codice maligno o altre tecniche di attacco, come il dirottamento su siti web mascherati e pericolosi. Questo rischio è quello che oggi ha il più alto indice di crescita, ma che è ancora il meno noto a livello mondiale. Il nuovo meccanismo di malware si diffonde anche grazie a leggi diverse adottate nei vari Stati e, più in generale, per una scarsa sorveglianza complessiva sulla pubblicità in Internet. Nel 2014 il Malvertising ha registrato una crescita esponenziale, ed è stato la causa di varie frodi e furti d’identità digitale. Secondo un’indagine della californiana RiskIQ, nel solo terzo trimestre 2014 negli USA sono stati identificati ben 200.000 malvertising, le cui tre più diffuse tipologie erano: falsi aggiornamenti software (80K), codici maligni (>70k), falsi antivirus (40K). Marco R. A. Bozzetti, OAI founder [email protected] marzo 2015 89