Redazione
Il recente caso di Colonial Pipeline riporta l’attenzione sugli attacchi hacker che avvengono continuamente.
In questo caso specifico, ci sono alcuni modi di reagire per Colonial Pipeline:
- pagare il riscatto – che tutti sconsigliano perché fondamentalmente l’azienda aiuta la sopravvivenza del network dei criminali informatici;
- oppure, siccome non è stata hackerata l’infrastruttura delle tubazioni (pipeline) ma il sistema automatizzato di controllo – che ha sede negli uffici – una soluzione temporanea può essere l’intervento attraverso i comandi manuali dell’infrastruttura (oleodotto).
Si comprende subito che non solo i computer possono essere hackerati ma anche le infrastrutture.
Molte persone dimenticano che ovunque oggi vengono usati computer per la gestione delle infrastrutture. Oltretutto da 10-15 anni a questa parte questi computer di gestione e controllo sono anche collegati a internet e per questo è diventato più facile e accessibile hackerare aziende, istituzioni e privati. E succede regolarmente.
L’impatto è piuttosto rilevante e crea un danno all’intera infrastruttura aziendale. Si pensi al caso Colonial Pipeline ma anche a quello che può succedere in un ospedale. Fino al ripristino dell’oleodotto, negli USA c’è stato un vero sconvolgimento sociale: lunghe file di persone con la tanica da riempire di carburante e con tutte le preoccupazioni che ne derivano per potenziali rischi e pericoli.
COME FUNZIONA UN ATTACCO HACKER: LE FASI
L’attacco che ha colpito Colonial Pipeline non è stato difficile. Questi tipi di hacker sparano a raffica e indiscriminatamente su internet e finché trovano dei sistemi non adeguatamente protetti. E questo è il primo passo. È probabile che il fatto di aver intercettato Colonial Pipeline con questo attacco sia stata solo una coincidenza. Nel passo successivo c’è invece consapevolezza. Infatti, gli hacker criminali vanno a vedere quale azienda hanno trovato. Una volta capito chi è l’azienda e il giro d’affari iniziano a pensare all’ammontare del riscatto (ransom) da chiedere e a come procedere.
Ormai si tratta, in genere, di network criminali invisibili; infatti, non esiste più la figura dell’hacker che opera dal garage o dalla sua camera e poi chiede all’azienda di essere pagato. Si tratta invece vere e proprie organizzazioni singole che collaborano fra loro senza confini perché i confini in internet non esistono.
In pratica gettano la rete da pesca e, come in questo caso, scoprono di aver catturato un bel pescione…..
MA COME VIENE CALCOLATO IL RISCATTO?
Gli hacker entrano nel sistema da una porta lasciata aperta e da lì vanno a cercare che tipo di organizzazione è, quanto vale, quasi certamente vedono le fatture emesse, i conti bancari, etc.
Una volta appurato il valore dell’azienda, il passo successivo è l’appropriazione di tutti i dati e informazioni aziendali perché l’obiettivo non è soltanto bloccare l’operatività dell’organizzazione ma, in un tempo successivo, scaricare su internet tutte le informazioni e i segreti industriali rubati all’azienda. In questa maniera si crea anche una doppia minaccia:
- non solo l’organizzazione rimane bloccata fino al pagamento del riscatto ma,
- se l’organizzazione non pagasse tutti i dati sarebbero resi pubblici su internet.
L’impatto di quanto successo nel caso Colonial Pipeline è impressionante dal punto di vista dei disagi sociali creati agli utenti americani ma fortunatamente non è un attacco che porta con sé vittime dirette; anche se potrebbero esserci vittime indirette, ad esempio persone che stavano andando in ospedale per gravi problemi di salute e si trovano senza benzina.
Mentre dal un punto di vista dell’impatto tecnologico non è altrettanto impressionante.
L’attacco in sé è abbastanza facile da realizzare, ovviamente con le dovute conoscenze tecniche. Oggi siamo schiavi delle funzionalità tecnologiche che vengono create spesso senza pensare alle conseguenze.
RANSOMWARE AS A SERVICE: IL MODELLO DI BUSINESS DI DARKSIDE
Secondo l’FBI l’attacco a Colonial Pipeline è stato realizzato da DarkSide, un’organizzazione criminale dell’Est Europa i cui componenti sono per la maggioranza di lingua russa.
È un organizzazione particolare perché vendono “ransomware as-a-service” ossia vendono software e relativa piattaforma per “ottenere riscatti”. Per cui i loro clienti sono altri criminali che acquistano questo software e poi si concentrano sulle aziende da colpire. DarkSide ottiene anche una commissione percentuale sugli importi dei riscatti pagati attraverso l’utilizzo del ransomware da loro prodotto.
Sebbene DarkSide affermi di mirare esclusivamente ai soldi, per cui il motivo è puramente economico ci sono margini di dubbio. In teoria, si potrebbe addirittura trattare di un attacco terroristico visto che vengono interrotte le attività in una buona parte degli USA. Da ricordare che Colonial Pipeline è il più grande oleodotto degli Stati Uniti nonché il più grande fornitore di benzina e diesel della costa orientale.
IL PAESE E LE AZIENDE POSSONO DIFENDERSI INSIEME
Questo tipo di attacchi hacker possono accadere – e accadono – in ogni Paese. Per questo in alcuni Paesi c’è un’apposita ransomware task-force che cerca di catturare gli hacker criminali (da non confondere con gli ethical hackers). Uno dei consigli è proprio di non pagare il riscatto perché l’azienda fa un accordo con persone che di cui non può fidarsi. Come fa l’azienda ad essere certa:
- di ottenere il valido codice di sblocco,
- che i dati non vengano distrutti oppure
- di non diventare vittima di ricatto in quanto i criminali potrebbero chiedere un ulteriore riscatto?
La grande differenza fra Europa e USA è che qui da noi queste notizie difficilmente circolano mentre negli USA se ne parla fin da subito e apertamente coinvolgendo anche la stampa.
Non solo c’è un ruolo per la polizia ma anche la società civile dovrebbe pensare a difendersi dai criminal hacker. Si può fare coinvolgendo i ragazzi fin dalla scuola elementare insegnandogli, ad esempio, come costruire una password sicura, cosa significa autenticazione a doppio fattore, etc. D’altra parte, molte aziende potrebbero chiedersi più spesso se sono “sicure” e come proteggersi da eventuali attacchi informatici. Occorre essere chiari.
La protezione al 100% dagli attacchi hacker non esiste ma le aziende possono pensare alla loro sicurezza facendo “un confronto” con l’azienda vicina. Infatti, cercare di essere meno attrattivi per gli hacker rispetto all’azienda vicina significa rendere la vita difficile agli hacker. È anche una questione di numeri: gli hacker cercano le aziende “facili prede” quelle con minori resistenze, dove è più facile penetrare in modo da poter avere successo nel maggior numero di attacchi possibili. E questo vale anche a livello di Paese. Se le aziende italiane hanno un livello di sicurezza adeguato gli hacker tenderanno a scartare l’Italia dai loro attacchi massivi perché hanno meno probabilità di successi “facili”.
Aziende, cittadini, scuola molto si può ancora fare ma un ruolo fondamentale lo riveste la politica. Occorre coltivare e far crescere una generalizzata “educazione alla sicurezza” partendo proprio dalla scuola.
Nelle aziende, l’anello debole sono spesso i dipendenti che a digiuno di sicurezza informatica – troppo facilmente – cliccano su un link contenuto in una email e portatore di attacchi ransomware. È necessario far crescere la consapevolezza ma anche le buone abitudini:
- non usare la stessa password su più sistemi e servizi;
- mantenere aggiornato il proprio computer e dispositivi mobili;
- utilizzare i programmi di antivirus.
Concludiamo con le ultime novità su Colonial Pipeline. È notizia di ieri che l’oleodotto Colonial Pipeline è di nuovo in funzione; con molto sollievo per autorità e società civile (utenti) che avevano già iniziato a fare incetta di “taniche piene di carburante” nonostante rischi e pericoli connessi.
Secondo l’Agenzia di Stampa Bloomberg, la Colonial Pipeline aveva pagato il riscatto di 5 MLN di dollari già la scorsa settimana e dopo poche ore che l’azienda era stata presa in ostaggio attraverso il software ransomware.
Il problema è stato che la chiave di sblocco fornita dagli hacker era molto molto lenta e quindi hanno dovuto comunque ripristinare tutti i back-up.