L’ufficio sicurezza cibernetica, informatica e delle comunicazioni è uno degli uffici del reparto C4S di Maristat; al suo interno si trova la sezione Cyberdefence, dov’è stato istituito ilCERT (Computer Emergency Response Team). Il CERT è suddiviso in due aree, il Centro di Coordinamento, che stabilisce la policy e il Centro Tecnico, responsabile degli aspetti tecnici.
«Abbiamo il compito di trovare soluzioni a inconvenienti, incidenti ed errori nel sistema informatico – spiega il capo sezione Cyber Defence, capitano di fregata Luca Scudieri - effettuiamo anche attività di prevenzione da cyber-attacchi, lanciati da singoli o gruppi criminali. Siamo la soluzione di parte dei problemi che ci vengono segnalati dal call center interforze. La nostra è una sezione giovane, realizzata tra il 2012 e il 2013. Siamo in stretto contatto con gli altri CERT della difesa, sia a livello nazionale che internazionale e cooperiamo con organismi governativi e privati che si occupano di sicurezza informatica e industriale. A breve sarà attivata anche la Cyberoom, uno spazio della Marina Militare dedicato alla sicurezza informatica; le minacce e gli attacchi rivolti ai computer del personale della Marina sono, quindi, la nostra area di competenza tecnica ».
Nell’ultimo anno il CERT ha rilevato 806 minacce, distribuite fra le varie basi della M.M.; 678 sono eliminate, 128 sono in fase di risoluzione. In 474 casi si è dovuto ricorrere alla formattazione del personal computer.
«Dal 2013 ad oggi – continua il capo sezione, - abbiamo notato che la maggior parte delle potenziali minacce ai nostri sistemi arriva tramite messaggi e-mail. Messaggi di posta elettronica camuffati da chi li invia, per far credere ai destinatari che si tratti di comunicazioni provenienti da fonti commercialmente o istituzionalmente conosciute. Questi messaggi possono essere riconosciuti anche dagli utenti meno esperti, perché sono spesso caratterizzati da una scrittura imprecisa e una sintassi difforme dall’italiano corretto. Esistono gruppi di cyber-criminali, poi, che generano virus in grado di criptare i dati della vittima per poi pretendere un riscatto per decriptare il sistema.
Venti anni fa la minaccia informatica era rappresentata dal ragazzo che creava e diffondeva virus per superare le difese di un sito web; adesso siamo passati alla cyber-guerra, attacchi simultanei da organizzazioni criminali che agiscono in maniera coordinata, persistente ed efficace: minacce di tipo APT (Advanced Persistent Threat). In questo caso si tratta di virus che infettano il computer, estremamente difficili da rilevare e che sono capaci di trafugare pacchetti dati di piccole dimensioni. Un furto di modeste quantità di dati con cadenza quotidiana che si traduce, nel tempo, in una mole enorme di dati sottratti in piccola quantità per non generare allarmi sul traffico in uscita, che viene monitorato».
Ci sono anche attacchi sferrati sfruttando i contatti del dipendente, la sua posta elettronica e i dispositivi di archiviazione di massa (chiavi usb e hard disk portatili). I social network giocano, anche se inconsapevolmente, un ruolo centrale nella scelta della strategia criminale seguita dagli hacker. L’obiettivo è quello di rubare informazioni in rete a uno o più dipendenti.
Il “cyberladro” analizza i profili dei social network, così da comprendere passioni e interessi, da sfruttare per agganciare la vittima con post o messaggi attinenti la sua sfera privata. Quando queste minacce sono scoperte è praticamente impossibile risalire al luogo da dove è stato lanciato l’attacco e quando ciò è possibile si tratta quasi sempre di paesi lontani, con una giurisdizione assai permissiva per quel che riguarda i reati di carattere informatico. Nei cyber-attacchi, infatti, la difficoltà di individuare i responsabili delle minacce rende molto complesso contrattaccare.
«I sistemi sono sempre più sofisticati - prosegue Scudieri – e gli hacker dispongono di gruppi di ben formati, che possono contare su apparecchiature dai costi molto elevati e che hanno a disposizione molto tempo per organizzare e seguire il corso dell’attività criminale. Dal 2013, anno in cui siamo divenuti operativi, ad oggi, ci siamo evoluti dal punto di vista organizzativo e tecnico, investendo sulla parte hardware e software. Condividiamo piani di lavoro con organismi militari e paramilitari che operano in ambito NATO e per quel che riguarda i sistemi di difesa collaboriamo anche con apparati civili e gruppi industriali».
«Uno degli attacchi fra i più utilizzati è la “Botnet” (rete di computer violati e attivati da un botmaster che poi sfrutta i “ghost” per lanciare attacchi simultanei ad altri sistemi) i DDos (Distribuited Denial of service). Migliaia di postazioni lanciano l’attacco a un server per ottenere lo stallo del sito che andrà in tilt. Il sistema che viene attaccato vede arrivare minacce da una moltitudine di computer privati, così da non capire chi effettua realmente l’offesa. Ci occupiamo anche di censire le periferiche di memorizzazione usate dal personale della Marina per impedire il fenomeno dell’”Air Gap” (violare sistemi attraverso i dispositivi portatili del personale che, inconsapevolmente, trasferisce i virus dal computer di casa a quello in ufficio)».
Abbiamo chiesto al CERT alcuni consigli per chi usa il PC.
Anzitutto è importante sapere che le minacce arrivano quasi sempre via posta o durante la normale navigazione sul web. Quando si ricevono email è sempre importante verificare con attenzione il mittente. Non fermarsi al logo dell’azienda o al nome dell’intestatario del messaggio, cercare di capire e intuire anche se l’email rientra tra le normali attività dei nostri interlocutori. Se si riceve un messaggio inusuale proveniente dai propri contatti o dal proprio istituto di credito verificare telefonicamente. In ogni caso fare attenzione a cliccare sui link allegati.
Spesso, quando viene violata una e-mail privata l’attacco produrrà un messaggio inviato a tutti i contatti, che l’utente veicola in maniera del tutto inconsapevole. In questo caso i destinatari faranno bene ad avvertire il mittente. Navigando in internet è necessario fare attenzione a dove si va a posare il mouse. Oggi, infatti, le minacce sono nascoste nei banner, fotografie, link video e ipertestuali.