Kaseya: un incidente grave che poteva essere evitato.


La sicurezza informatica lo abbiamo sempre detto, è una materia complessa, dove basta imbattersi in una cyber-gang altamente qualificata e finanziariamente motivata per poter vanificare tutti gli sforzi di un programma cyber milionario.



È anche vero che maggiore è la superficie di attacco di una piattaforma, e maggiore è il rischio e che basta una sola vulnerabilità mal gestita per subire una pesante violazione e informatica.


È una lotta tra "titani".


In molti casi, è come se tu dovessi difendere un vaso di miele all'interno di un pagliaio mentre un esercito di formiche vogliono entrarci dentro, e tra queste vulnerabilità non devi trascurare i bug zeroday, molto spesso derivanti da un errato sviluppo del codice.


Il gigantesco attacco ransomware contro Kaseya avrebbe potuto essere del tutto evitabile. L'ex personale che parla con Bloomberg afferma di aver avvertito più volte i dirigenti di difetti di sicurezza "critici" nei prodotti Kaseya tra il 2017 e il 2020, ma che la società non li ha risolti. Diversi membri del personale si sono dimessi o hanno affermato di essere stati licenziati per inerzia.



Secondo quanto riferito, i dipendenti si sono lamentati del fatto che Kaseya utilizzava un codice vecchio, implementava una crittografia scadente e non riusciva nemmeno a correggere regolarmente il software.


Il Virtual System Administrator (VSA) dell'azienda, lo strumento di manutenzione remota che è caduto preda del ransomware, era presumibilmente pieno di bug di sicurezza, talmente tanti che i lavoratori volevano che il software venisse sostituito o riscritto.


Un dipendente ha affermato di essere stato licenziato due settimane dopo aver inviato ai dirigenti un briefing di 40 pagine sui problemi di sicurezza. Altri semplicemente sono rimasti frustrati con un apparente attenzione su nuove funzionalità e versioni invece di risolvere problemi di base.


Kaseya ha anche licenziato alcuni dipendenti nel 2018 a favore dell'esternalizzazione del lavoro in Bielorussia, che alcuni dipendenti consideravano un rischio per la sicurezza date le partnership dei leader locali con il governo russo.



La società ha mostrato segni di voler risolvere i problemi. Ha risolto alcuni problemi dopo che i ricercatori olandesi hanno evidenziato le vulnerabilità. Tuttavia, non ha risolto tutto e non ci è voluto molto prima che società di analisi come Truesec trovassero evidenti difetti nella piattaforma di Kaseya.


Non era nemmeno la prima volta che Kaseya affrontava problematiche di sicurezza. Secondo quanto riferito, il software dell'azienda è stato utilizzato per lanciare ransomware almeno due volte tra il 2018 e il 2019 e non ha ripensato in modo significativo la sua strategia di sicurezza.



Per quanto accurati possano essere i rapporti, la situazione di Kaseya non sarebbe unica. Il personale di SolarWinds, Twitter e altri hanno descritto falle di sicurezza che non sono state risolte in tempo.


Questo peggiora solo la situazione, intendiamoci. Suggerisce che parti chiave dell'infrastruttura online americana sono state vulnerabili a causa della negligenza di alcune aziende che gestiscono le sue infrastrutture.