Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca

Riflessioni sulla Cyber Security in Italia, in questa estate cyber “piccante”.

Massimiliano Brolli : 8 Agosto 2021 12:48

  

Autore: Massimiliano Brolli
Data Pubblicazione: 08/08/2021

Questa estate sotto l’ombrellone (con un po di Covid in circolazione) siamo diventati tutti esperti in cybersecurity.

Molti ne hanno parlato al bar, altri in famiglia, si è parlato di hacker, di ransomware e di tutta una serie di notizie in circolazione che hanno alimentato l’attrazione verso l’oscuro, ma anche (giustamente) verso un problema che inevitabilmente si è riversato “con forza” in Italia e con il quale dobbiamo fare per forza i conti.

Cercheremo di fare una sintesi del cocktail esplosivo che si è venuto a generare in una Italia che ha scoperto in questa torrida estate il cybercrime, tra opinionisti improvvisati, politici, tuttologi e delle decisioni strategiche da prendere.

Gli opinionisti Italiani

Possiamo dirlo. Finalmente oggi tutti sono esperti in cybersecurity, termine che meno di 3 settimane fa non ne sapevamo l’esistenza e questo è molto importante, in quanto siamo carenti di personale specializzato sul tema. Tutti i brontosauri si ricorderanno della data 2000 quando tutti, ma dico tutti divennero programmatori e “opinionisti” del millenium bug.

Si parlava addirittura che il primo gennaio del 2001, tutto si sarebbe fermato, gettando il panico nel mondo, senza avere minimamente percezione di quello che era una “if” e 2/4 byte nel codice.

Vi ricordate anche di Luna Rossa? Anche in quel caso divenimmo tutti esperti di “strambate”, di come “cazzare” la vela, ma questo è solo un altro esempio del quale ce ne siamo dimenticati.

Ma dopo l’incidente alla regione Lazio, ecco che gli Italiani hanno scoperto il crimine informatico e diventano nuovamente “opinionisti” sulla sicurezza informatica.

Quando ancora non erano chiare le modalità di attacco (non che adesso lo siano) sono dilagate informazioni in rete da fonti spesso poco attendibili, ma tutti hanno contribuito nel criticare, dare consigli, spiegare le migliori pratiche di sicurezza per essere resilienti al ransomware. Ma con quale preparazione?

La sicurezza informatica

La sicurezza informatica è una materia complessa dove da anni su Red Hot Cyber abbiamo anticipato che saremo arrivati a questo punto anche in Italia.

Il 2021 ha visto l’esplosione del RaaS, crimine informatico altamente militare che colpisce grandi organizzazioni e paesi, dove la grande America sta soccombendo e ad oggi ancora non ha le idee chiare su come venirne fuori.

Ricordiamoci degli attacchi USA alla Colonial Pipeline e alla JBS, ma anche dell’attacco distribuito di REvil su Kaseya. Insomma un problema grande con il quale tutti gli stati industrializzati devono fare i conti, tanto che Biden e Putin, ne hanno discusso in un recente incontro nel quale hanno parlato di sicurezza informatica, cosa mai avvenuta prima.

Ma dobbiamo dire che l’uomo non è “un animale” proattivo. Spesso lavora in contingency dopo che scoppia un reale problema. Ricordiamoci della curva del tamburello quando morì Ayrton Senna, la “chicane” venne realizzata solamente dopo in quanto (anche se era conosciuto il problema) nessuno ci aveva lasciato la pelle.

L’Italia si sta preparando

Nasce in Italia nel 2021 la ACN (l’agenzia di cybersicurezza nazionale) e viene nominato Roberto Baldoni, probabilmente tale nomina accelerata dai recenti problemi della Regione Lazio.

Ma l’Italia è spaccata in due. C’è chi crede in questa nuova agenzia e chi no.

Ma la percezione è che il mondo tecnico, quello più prezioso per contrastare gli attacchi come gli esperti di hacking etico, malware analysis, threat intelligence, ricercatori di bug, non sono molto d’accordo su come si stanno affrontando le cose, mentre il mondo della cybersecurity “high level”, quella più da “slide, annunci e comunicati”, esultano su questa nuova arrivata e fanno la lista dei 50 migliori esperti italiani.

Questo deriva dal fatto che la politica e la burocrazia non piace ai tecnici, ma occorre dire che le guerre si fanno con i soldati e una agenzia piena di colonnelli non serve a nulla.

Inoltre occorre dire che saper reagire ad un attacco informatico (sia come operation, ma si inizia a parlare anche di attacchi “offensivi”), lo si può fare solo con un esercito di tecnici altamente qualificati ed in Italia sono pochi, superpagati e riluttanti ad entrare in una agenzia statale per stare sotto un capo politicizzato e burocrate.

Per il bene dell’Italia speriamo che questo nodo venga risolto immediatamente per attrarre realmente le menti migliori e speriamo che vengano avviati dei percorsi altamente attrattivi nelle università, in quanto è da li che occorre agire per “stimolare” e far scoccare la giusta “scintilla” verso questo mondo dove di tecnici ce ne sono veramente pochi, ma di “chiacchiere” ce ne sono moltissime.

La prospettiva inquietante

L’Asimmetria tra il bene e il male sta crescendo verticalmente ogni giorno sempre di più.

Questo vuol dire che i black hacker oggi, sono fondamentalmente molto più bravi degli hacker etici. Questo per mille fattori, ma per primo, come sempre, lasciamo la parola ai soldi.

Una azienda può offrire ad un ricercatore un buon stipendio da 100k (mi tengo larghissimo), ma spartirsi in 10 un riscatto di 5 milioni di euro, e di questi riscatti metterne su 2 all’anno (mi tengo stretto pensando a REvil o Darkside), chi è in bilico tra bianco e nero, da chi parte vorrebbe stare?

Se un bug RCE noclick su iOS costa 2,5 milioni di dollari venduto ad un broker zeroday quando Apple riconosce per lo stesso bug 1 milione di dollari, se sei in bilico tra bianco e nero, da quale parte vorresti stare?

La risposta risulta pressoché scontata. Pertanto per poter ridurre l’asimmetria tra bene e male occorre lavorare su questo aspetto non da poco, ma anche incentivare la ricerca, la ricerca di vulnerabilità non documentate, la malware analysis, le competizione CTF, in sintesi far sentire i tecnici “a casa loro”, in una community altamente tecnologica e non legati ad un cappio in un mondo completamente burocratizzato e politicizzato.

Ricordiamoci che la burocrazia è il nemico numero uno dei tecnici altamente specializzati in cybersecurity. Questo dobbiamo comprenderlo fin da subito per evitare che una volta acquisiti vadano via dopo pochi mesi. I tecnici vogliono sperimentare, sviluppare cose nuove, superare i loro stessi limiti, non essere legati a procedure e normative. Esattamente come i criminali informatici fanno. Occorre quindi trovare il giusto compromesso e fidarsi di loro per farli sentire a loro agio.

Ritornando al ransomware, il RaaS funziona, e funziona dannatamente bene e si creano nelle underground costantemente delle nuove organizzazioni (ricreate dalle ceneri delle vecchie) capaci di violare qualsiasi azienda o paese tenendolo in ostaggio.


Una possibile de digitalizzazione

Ne parlammo diverso tempo fa su questo blog, ma se questo fenomeno continuerà (e continuerà per un lungo periodo), ci sarà una involuzione del digitale, le persone inizieranno a eliminare i loro profili prima dai social network, poi dai negozi online e poi chissà dove.

Gli stati per poter arginare questo fenomeno e per mantenere resilienti le proprie economie, dovranno correre ai ripari creando uno stato di sorveglianza (sicuramente anche accelerato dalla ultima pandemia), o creare infrastrutture capace di disconnettersi da internet o bloccare e avere il preciso controllo di ogni informazione in transito, come di fatto ha fatto la Russia con la sua RUNET, o come ha fatto la China con il Great Firewall of a China e il Great Cannon.

Per poter vivere in un mondo digitale occorrerà sempre più controllo, ne parlammo su questo blog anche di ChatControl, che sta ovviamente portando avanti la comunità europea, ma anche della legge FISA degli Stati Uniti D’America messa in piedi dopo il disastro dell’11 settembre.

Concludendo

La situazione è spinosa e la politica è scesa in campo. Sta scendendo in campo in molti governi in quanto il pericolo del collasso delle rispettive economie potrebbe mettere a rischio i paesi. Speriamo quindi che la politica non generi una idiosincrasia con il mondo dei tecnici e che si possa collaborare assieme per un bene comune.

Ma tanto, tra qualche settimana ci sarà l’inizio del campionato, dove tutti ricominceremo ad essere “opinionisti” sul tema sul quale in Italia siamo sempre stati le massime autorità, ovvero il calcio.

Massimiliano Brolli
Responsabile del RED Team di TIM S.p.a. e dei laboratori di sicurezza informatica in ambito 4G/5G. Ha rivestito incarichi manageriali in Telecom Italia che vanno dal ICT Risk Management all’ingegneria del software alla docenza.