12 / 32
EON
EWS
n
.
608
-
MAGGIO
2017
12
sistema azienda. A livello
settoriale, soffrono partico-
larmente le conseguenze
del mondo connesso sia
la sanità, dove i dati sono
preziosi per l’operatività e
quindi la vita di molti pa-
zienti, sia l’automotive. C’è
preoccupazione anche per
il settore manifatturiero e in
particolare le fabbriche del
modello industria 4.0, che
sono più vulnerabili visto il
maggior numero di server e
device connessi, sia interni
sia esterni all’azienda nella
supply chain. Un attacco
cibernetico può bloccare
l’operatività di un’industria
con danni incalcolabili. E
non solo. Il White Paper di
IBM
“Security attacks on
industrial control systems”
spiega come i criminali si-
ano interessati a carpire o
compromettere la proprietà
intellettuale e l’informazio-
ne sull’operatività interna.
I due “gioielli” di ogni ma-
nifattura. Un attacco po-
trebbe focalizzarsi anche
sul prodotto stesso, ad
esempio modificando un’u-
nità elettronica di controllo
di un veicolo o inserendo
un Trojan nel software del
sistema di entertainment.
Non esistono statistiche su
questi eventi perché chi li
subisce generalmente non
li pubblicizza, semplice-
mente paga.
Nel 2015, secondo la ri-
cerca IBM Managed Se-
curity Services, il 30% de-
gli attacchi venne subito
dall’industria automotive
utilizzando il vettore di at-
tacco più diffuso in tutta
l’industria manifatturiera:
Shellshock. Tutti i sistemi
Unix-Like, quelli che adot-
tano un’interfaccia che si
chiama Bash (una finestra
in cui si scrive del testo
per dare dei comandi al
computer) sono facilmen-
te vulnerabili attraverso
Shellshock.
Stati Uniti, Italia, Cina e
Giappone sono i paesi di
appartenenza delle indu-
strie manifatturiere più at-
taccate e anche quelli dai
quali parte il maggior nu-
mero di attacchi.
Cosa si può fare allora?
La ricetta di tutti gli spe-
cialisti consiste comunque
nell’adottare un sistema
di regole e interventi ben
strutturato e coordinato
che coinvolga tutti gli attori
interni ed esterni all’azien-
da**. Combattere si può e
anche con un certo succes-
so. Le raccomandazioni di
IBM al settore manifatturie-
ro contenute nel White Pa-
per “Security trends in the
manufacturing industry” (p.
12-15 del White Paper) in-
cludono quelle più generali
valide per tutti i settori e
ad esse si aggiungono in-
dicazioni specifiche. Temi
generali da affrontare sono
l’identificazione e la pro-
tezione dei dati aziendali
più preziosi, la simulazione
di attacchi per verificare
la capacità di risposta, la
cura della consapevolezza
al tema di tutti i collabora-
tori, la verifica dell’integrità
di tutta la supply chain. In-
dicazioni specifiche riguar-
dano la sicurezza dei siste-
mi di controllo industriali,
che, ad esempio, devono
essere isolati dall’esterno
e segmentati per prevenire
potenziali intrusioni; l’utiliz-
zo di linguaggi criptati e la
verifica di eventuali vulne-
rabilità nelle applicazioni.
Note
*Dal Rapporto Clusit 2017 sulla si-
curezza ICT in Italia
**Fra le tante e interessanti indica-
zioni degli specialisti software dispo-
nibili in rete, si legga anche quelle
di Enzo Maria Tienghi, coordinatore
area di ricerca Internet of Things di
CSA Italia (Cloud Security Alliance)
sull’ICT Security Magazine del 15
febbraio 2017, nell’articolo “Cyber
security e Industria 4.0”
segue da pag.11
Il ransomware*
Secondo le statistiche elaborate dai laboratori di
Cisco
, il ransomware è di gran
lunga il tipo di malware più diffuso e attivo al giorno d’oggi, con nuove frontiere che
sono pronte ad aprirsi.
Questo malware esiste da molto tempo, ma è letteralmente esploso nel 2015
quando delle email ben confezionate inducevano gli utenti a cliccare su documenti
allegati alle email camuffati da file PDF o addirittura eseguibili. Il malware così
eseguito passava a criptare velocemente i file trovati sul disco con alcune esten-
sioni ben precise, di solito file di Office o Adobe PDF, per poi lasciare sul desktop
un documento contenente le istruzioni per pagare il riscatto e ricevere la chiave
necessaria a “liberare” i documenti.
Le prime versioni di TeslaCrypt, CryptoWall, CryptXXX e omologhi erano funzionanti
ma rozze: gli errori nell’implementazione degli algoritmi di codifica erano molto
comuni e questo rendeva possibile sviluppare dei tool capaci di recuperare i file
codificati anche senza bisogno della chiave.
In breve, però, i criminali impararono a usare correttamente la crittografia e i ricer-
catori dovettero ricorrere a espedienti “laterali” per recuperare i dati delle vittime,
come il ripristino della versione originale dei file cancellati dal ransomware dopo
la codifica o l’accesso alle versioni precedenti sui cloud storage. Ma tutte queste
tecniche venivano facilmente aggirate dalle nuove versioni dei ransomware e, con
il passare del tempo, trovare dei metodi alternativi diventava sempre più difficile.
Il ransomware finì per vincere la guerra e quello che ci resta adesso sono malware
estremamente ben costruiti, robusti e quasi impossibili da violare a meno di errori
da parte di chi li produce. Le probabilità di recuperare i file colpiti da ransomware
senza una chiave valida oggi sono estremamente basse e, per di più, i ransomware
sono disponibili come Malware as a Service, ovvero chiunque può creare la propria
campagna ransomware sfruttando i servizi disponibili nel Deep Web.
Oggi la capacità di esplorare orizzontalmente le reti ha aperto il fronte più doloroso
e pericoloso con il quale le aziende si stanno confrontando a tutt’oggi: basta un clic
sbagliato su di una macchina per mettere in pericolo tutti i dati dell’azienda, anche
quelli che sono conservati su di un server centrale, nelle cartelle condivise degli altri
client e addirittura nei backup. Sono famosi i casi degli ospedali americani e inglesi
colpiti da ransomware e costretti a pagare perché tutti i dati dei pazienti erano stati
codificati, mettendone a repentaglio la salute, ma non sono mancati anche casi
altrettanto emblematici e addirittura ironici come quello della centrale di polizia in
Texas che ha capitolato per non rischiare di dover rimettere in libertà una parte dei
criminali arrestati. Si stima che nel 2016 il ransomware sia costato alle aziende
mondiali ben 210 milioni di dollari, con un danno medio superiore ai 20.000 dollari
per ogni vittima tra costi di ripristino e occasioni di business perse.
Contrastare l’avanzata del ransomware non è un’operazione semplice. Del resto, la
“ricerca e sviluppo” da parte dei cybercriminali è molto attiva e condotta in maniera
efficiente. Man mano che il prodotto, se così possiamo definirlo, viene raffinato, i
criminali provvedono anche a studiare nuovi sistemi per evitare che venga intercet-
tato dalle contromisure di sicurezza IT.
Lo scorso anno, per esempio, i cybercriminali hanno provveduto a creare un consi-
stente rumore di fondo nel quale nascondere le loro operazioni.
I laboratori Clusit hanno identificato oltre 4000 famiglie di ransomware, molte
delle quali con caratteristiche tecniche uniche. In questo modo, per gli antivirus è
diventato molto complicato riconoscere un ransomware dalla firma o dalle caratte-
ristiche del codice, perché, semplicemente, ne esistono troppi.
Come bisogna agire, allora? Trattando il ransomware esattamente come si dovreb-
be trattare tutto il resto del malware: con pianificazione e analisi del rischio. Se le
aziende mettessero in pratica le regole necessarie a una buona difesa informatica,
i danni provenienti dai ransomware sarebbero decisamente minori e nella maggior
parte dei casi trascurabili.
Nota
*Dal Rapporto Clusit 2017 sulla sicurezza ICT in Italia
R
EPORT