L’Italia s’è desta nel cyber-spazio?

(di Ciro Metaggiata)
26/02/17

"Tacete il nemico vi ascolta", ammoniva un manifesto ideato al tempo dell'ultimo conflitto mondiale. L'esigenza era quella di sensibilizzare i soldati e la popolazione, riguardo l'importanza di non divulgare informazioni che potessero in qualche modo avvantaggiare il nemico in battaglia. Da allora sono cambiate molte cose ma quell’imperativo mantiene ancora tutta la sua importanza anzi, nella cosiddetta era dell'informazione che stiamo vivendo, assume una valenza ancor maggiore. Certo, fortunatamente il nostro Paese non è impegnato in alcun conflitto bellico, quindi non ha alcun "nemico" che "ascolta". Tuttavia, rispetto all'epoca del manifesto citato pocanzi, la situazione da questo punto di vista è migliorata solo in apparenza e le nostre Autorità se ne sono accorte: tra Paesi, anche Alleati, in competizione con la nostra nazione in campo economico, commerciale, scientifico, tecnologico e militare e tra minacce non statuali quali organizzazioni criminali e organizzazioni terroristiche, è chiaro che se l’Italia non ha un nemico, certamente ha moltissimi temibili "avversari" che la "ascoltano". E ci si è accorti che questi avversari per competere ricorrono in maniera disinvolta allo spazio cibernetico nazionale per reperire preziose informazioni. In tale contesto, l'Italia fino a poco fa sembrava "navigare" nel cyber-spazio in acque, tutto sommato, tranquille. Ma l'apparentemente calma è stata bruscamente interrotta con il nuovo anno a causa di due eventi saliti clamorosamente all'onore delle cronache nostrane: l'episodio del presunto caso di cyber-spionaggio imputato ai fratelli Occhionero e l'attacco cyber ai sistemi del Ministero degli Affari Esteri e della Cooperazione Internazionale. Due eventi che, se non altro, hanno “sfondato” la cortina impenetrabile che fino a quel momento sembrava separare il mondo degli esperti di cyber security dal cittadino comune e dai suoi governanti e responsabili degli apparati di sicurezza.

Al centro del primo caso vi sono due insospettabili fratelli arrestati lo scorso 10 gennaio: un ingegnere nucleare, tra l'altro fondatore di una società di sicurezza informatica e una chimica divenuta manager. I due sono accusati di aver costituito una centrale di spionaggio che, grazie ad un particolare malware diffuso usando tecniche di ingegneria sociale, raccoglieva informazioni scambiate via e-mail da professionisti del settore giuridico economico, da autorità politiche e da alte cariche militari che hanno un ruolo di importanza strategica per la nazione. Le indagini sono ancora in corso e richiederanno tempo a causa della considerevole mole di dati già sequestrati ai due fratelli in Italia da analizzare e per le lungaggini burocratiche che sono necessarie per poter accedere a quelli ancora custoditi nei server all'estero. Perciò, per capire se si tratti di Massoneria 2.0, di spionaggio internazionale o di un caso di criminalità, ci vorrà tempo ma almeno un paio di considerazioni si possono già fare. La prima: un singolo utente diligente è più efficace di molti costosissimi sistemi di sicurezza. La seconda: il cyber-spionaggio è ormai alla portata di quasi tutti. L'utente diligente è un responsabile dell'ENAV (Ente Nazionale per l'Assistenza al volo) che, ricevuta una e-mail sospetta, ha fatto la cosa giusta: non ha aperto l'allegato (che in realtà conteneva il malware usato dagli Occhionero) e ha segnalato il caso alle autorità. L'e-mail è quindi stata passata al CNAIPIC (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche) della Polizia di Stato che ha condotto le indagini (a cui ha contribuito almeno un’azienda specializzata italiana) che, successivamente, hanno portato all'arresto dei due fratelli. Siamo di fronte ad un caso da manuale ma purtroppo, a giudicare dal gran numero di utenti che la coppia sarebbe riuscita a spiare, è stato un evento più unico che raro. È comunque la dimostrazione che il fattore umano può fare la differenza in un attacco cyber. Seconda considerazione: due persone non particolarmente esperte di informatica sono state in grado di recuperare un malware che circola in rete da anni, di modificarlo per le proprie esigenze e di usarlo per lanciare gli attacchi. Sconvolgente? No, purtroppo è la triste realtà: come ciò si possa fare è ben spiegato in rete, in caso di bisogno si può comunque chiedere aiuto a qualcuno pagando cifre ragionevoli e per ora nessun antivirus è capace di riconoscere un malware "fatto in casa", se non dopo che ha colpito ed è stato scoperto (e si torna alla prima considerazione).

Del secondo caso ne siamo venuti a conoscenza grazie a una testata giornalistica straniera (The Guardian) lo scorso 10 febbraio: un attacco cyber avrebbe colpito il sistema di posta elettronica del Ministero degli Esteri l'anno scorso, consentendo di spiarne tutte le comunicazioni e-mail per alcuni mesi. Il Ministero, in merito, si è affrettato a chiarire che le comunicazioni riservate non sono state compromesse in alcun modo. D'altra parte, pur confermando che un'indagine sull'accaduto è stata avviata dalle autorità competenti, il Ministero non ha confermato la presunta origine degli attacchi indicata dalla testata giornalistica: il governo russo. In ogni caso ora dovrebbe essere ancor più chiaro che il nostro Paese è nel "cyber-mirino" di qualcuno in grado di pianificare e condurre attacchi molto sofisticati che richiedono ingenti risorse. Una riflessione anche su questo caso: è possibile affermare con sicurezza che ogni dipendente del Ministero spiato abbia utilizzato correttamente il sistema di posta elettronica colpito dall'attacco, ossia che non lo abbia utilizzato per scambiare informazioni riservate anche se non "etichettate" come tali o comunque di valenza strategica? Anche in questo caso il ruolo dell'utente è stato cruciale. Un'ulteriore lezione appresa: in caso di attacco cyber la differenza la fa soprattutto la capacità di reagire con efficacia e tempestività. Avere piani di emergenza pronti, testati, conosciuti da parte di responsabili, dipendenti e personale tecnico, che siano oggetto di esercitazioni periodiche è oggigiorno fondamentale. D'altronde si dice che esistano solo due tipi di sistemi informatici: quelli che sono stati già “hackerati” e quelli che prima o poi lo saranno. Anche la comunicazione verso i media dovrebbe rientrare nei piani di emergenza perché non può aver fatto certo piacere, da cittadino italiano, l’aver appreso la notizia in questione da un sito straniero.

Insomma, l'Italia si è forse finalmente destata nel cyber-spazio dopo che per anni gli esperti si sono “sgolati” per avvertire dei rischi che si stavano correndo? Sembra di sì: lo scorso venerdì 17, a seguito di una riunione del CISR (Comitato Interministeriale per la Sicurezza della Repubblica) è stato approvato il nuovo piano nazionale sulla sicurezza cibernetica ed è stato adottato un nuovo decreto sulla stessa materia da parte del Presidente del Consiglio dei Ministri (il precedente risale al 2013). Ci si augura che gli effetti di questi provvedimenti si facciano sentire al più presto perché, come è stato detto a margine della presentazione del rapporto 2016 della CLUSIT (Associazione Italiana per la Sicurezza Informatica), nella situazione attuale i rischi cyber sono "fuori controllo". E ci si aspetta che, oltre a investire in tecnologia, si investa molto su quel fattore umano che, molto spesso, alla prova dei fatti risulta essere quello determinante.

L'Italia s'è desta...e adesso deve agire molto velocemente.

 

Principali fonti:

http://formiche.net/2017/01/11/giulio-occhionero-cyber-spionaggio/

http://formiche.net/2017/01/17/mentat-solutions-occhionero/

https://www.theguardian.com/world/2017/feb/10/russia-suspected-over-hack...

http://www.sicurezzanazionale.gov.it/sisr.nsf/archivio-notizie/cyber-sec...

http://www.corrierecomunicazioni.it/digital/45999_clusit-2016-annus-horr...