SOCIETÀ

In guerra contro i ransomware

Li chiamano ransomware, ‘virus del riscatto’ (da ransom, riscatto, e ware, software): criptano i file e li rendono inaccessibili, poi chiedono alla vittima di pagare – in genere bitcoin o altre monete elettroniche – per avere la password per recuperarli. Soprattutto a partire dal 2014, come riporta il libro di Carola Frediani #Cybercrime (Hoepli 2019), sono arrivati a pioggia sui nostri dispositivi; spesso basta una mail con un finto allegato (una bolletta o una ricevuta di spedizione): una volta aperto il documento il ransomware di turno inizia a cifrare i file e per l’hard disk rimane poco da fare.

All’inizio si trattava di piccole truffe da poche decine di dollari, poi la musica è cambiata: negli ultimi anni gli assalti da parte dei pirati informatici sono diventati sempre più frequenti e pericolosi. È il caso dell’attacco che lo scorso 7 maggio ha investito il Colonial Pipeline, con quasi 9.000 chilometri il più grande oleodotto statunitense, che da Houston rifornisce di carburante tutta la costa est. I gestori sono stati costretti a bloccare per giorni l’infrastruttura e alla fine hanno pagato ai pirati informatici circa 4,4 milioni di dollari in bitcoin. Qualche giorno più tardi, il 31 maggio, è stata la volta di JBS, il più grande fornitore di carne al mondo, costretto a versare 11 milioni agli hacker. Solo due esempi tra tanti: negli ultimi mesi sono state colpite le reti informatiche di diversi ospedali, un impianto di filtraggio e purificazione dell’acqua in Florida, il servizio traghetti tra Cape Cod, Martha's Vineyard e Nantucket… Energia, cibo, acqua, sanità, trasporti.

“Ormai quasi tutte le infrastrutture che ci circondano integrano sia componenti di Information Technologies (IT) che elementi tradizionali (Operational Technologies, OT); sono dette cyber physical systems: rete elettrica, sanità, ma anche grande distribuzione, traffico ferroviario e aereo… – spiega Mauro Conti, docente di informatica e coordinatore presso l'università di Padova del corso di laurea magistrale in Cybersecurity e di SPRITZ, Security and Privacy Research group –. Compromettere la parte informatica di una infrastruttura significa mettere in ginocchio un Paese, come abbiamo visto in Ucraina o negli attacchi per sabotare il programma nucleare iraniano con il virus Stuxnet”.

L'intervento di Joe Biden sull'attacco a Colonial Pipeline

Ultimamente c’è un aumento enorme degli attacchi – continua Conti – anche perché c’è sempre più informatica in ogni respiro che facciamo. Non si tratta più soltanto di ragazzini che cercano di rompere i sistemi: se riesco a mandare in blackout un Paese per una mezza giornata questo avrà un impatto molto concreto sulla sua economia”. Ma chi si nasconde dietro i team di hacker che sempre più terrorizzano governi e imprese? “Difficile avere prove solide, è però lecito pensare che dietro ci siano anche forze governative, che tutelano il loro Paese con difese e attacchi di tipo cyber”.

Assieme al suo team SPRITZ Conti passa al setaccio software e reti alla ricerca di falle e criticità. “Quando sono le stesse aziende a scoprirle rilasciano un aggiornamento, una cosiddetta patch – chiarisce il docente e ricercatore –; se però se ne accorgono prima gli hacker malevoli spesso sono messe in vendita nel dark web a qualsiasi organizzazione che possa trarne benefici. Quando invece le troviamo noi ricercatori (o in generale hacker etici) scatta il meccanismo della responsible disclosure: prima contattiamo l’azienda, permettendole di risolvere il problema, e solo dopo pubblichiamo un eventuale articolo scientifico. Altrimenti, estremizzando, è come dire al mondo che premendo un bottone puoi far esplodere un aereo: se qualcuno sfrutta la vulnerabilità sei almeno in parte responsabile dei danni che ne conseguono”. Dove ci sono i fuorilegge, esistono anche i cacciatori di taglie: spesso infatti le aziende di software ripagano chi segnala una criticità con un cosiddetto bug bounty, una ‘taglia sul bug’.

I cyberpirati costituiscono comunque una minaccia più che seria, se il direttore dell’Fbi Christopher Wray la paragona addirittura agli attacchi dell’11 settembre 2001 e il segretario al commercio Gina Raimondo dice che nella risposta del governo Usa verranno considerate tutte le opzioni, comprese quelle militari. Stavolta però, invece del terrorismo islamico, principale indiziata è la Russia di Vladimir Putin, accusata già in passato di essere coinvolta in operazioni come quella che ha coinvolto l’azienda di software SolarWinds. Al momento il presidente Joe Biden ha emanato un executive order promettendo ‘cambiamenti importanti’ e ‘investimenti significativi’, oltre a inviare una lettera aperta alle imprese in cui invita a prendere molto sul serio la cybersicurezza. Ha inoltre affrontato il tema nel suo primo colloquio da presidente con il suo omologo russo, senza peraltro ottenere molto in termini di ammissioni e di impegni per il futuro.

Non si tratta più di ragazzini: un attacco può mettere in ginocchio un intero Paese

Quali sono le minacce più pericolose alla cybersecurity? “Due mi preoccupano particolarmente e sono forse ancora sottostimate – risponde Mauro Conti –: la prima, come ho detto, è la fragilità dei cyber physical system, la seconda è l’enorme mole di dati che stiamo accumulando in maniera ancora troppo inconsapevole, e che prima o poi influiranno sulle nostre vite. Forse neanche chi fa scienza è pienamente cosciente di quanto stiamo mettendo on line, che con il tempo potrebbe ritorcersi contro di noi. Oggi si inizia a parlarne ma ciascuno tende ancora a risolvere il problema a modo suo: perfino Facebook rispetto a un tempo oggi raccoglie meno dati sui suoi utenti, ma la mole di informazioni continua comunque a crescere. E la velocità con cui gli utenti diventano consapevoli del problema è ancora molto inferiore a quella con cui nascono nuove applicazioni”.

Secondo il Global Risks Report 2021 del World Economic Forum oggi i cyber attacchi, al pari di pandemia e crisi economica, rappresentano una delle minacce più preoccupanti per la stabilità mondiale. Una sfida che coglie impreparata anche l’Italia: addirittura il 93-95% dei server della pubblica amministrazione non sarebbero in condizioni di sicurezza, secondo quanto dichiarato dal ministro per l'innovazione tecnologica e la transizione digitale Vittorio Colao. “Un allarme forse esagerato, ma se anche fossero il 30% sarebbe comunque un grosso problema – è il commento di Conti –. Pensiamo solo alla possibilità che venga compromessa una parte dei nostri dati personali”.

Per questo, mentre il governo nel PNRR spinge sulla digitalizzazione delle pubbliche amministrazioni locali, viene allo stesso tempo istituita una nuova agenzia per la cybersicurezza nazionale (ACN). “In realtà non siamo proprio fermi, in questi anni ci sono stati anzi tantissimi passi sia a livello europeo che nazionale: in particolare GDPR e direttiva NIS al livello europeo, e molte azioni al livello nazionale, tra cui quelle sul Perimetro Nazionale Cybersecurity e la vicedirezione generale del Dipartimento delle Informazioni per la Sicurezza (DIS) della Presidenza del Consiglio con delega proprio alla cybersecurity, ruolo ricoperto dal 2017 dal collega Roberto Baldoni. L’importante ora è passare da una visione legata all’intelligence a una più ampia, diretta a supportare tutto il sistema nazionale. Anche le medie e grandi imprese sono ad esempio un pezzo fondamentale della cybersicurezza del Paese e vanno coinvolte in maniera importante”. La sicurezza informatica è insomma una delle grandi sfide del nostro tempo: se non la più grande, nel senso che coinvolge anche tutte le altre. Ma il cambiamento deve partire dai cittadini: “Bisogna maturare più consapevolezza – conclude Conti –. In fondo se uno entra in casa tua con un kalashnikov te ne accorgi, ma quasi nessuno si rende conto se il suo smartphone è intercettato”.

© 2018 Università di Padova
Tutti i diritti riservati P.I. 00742430283 C.F. 80006480281
Registrazione presso il Tribunale di Padova n. 2097/2012 del 18 giugno 2012