Retroscena
Intervista con un esperto di sicurezza informatica: «Rispetto alla guerra classica, la guerra cibernetica passa in secondo piano»
di Philipp Rüegg
Attacchi informatici alle aziende: «Ci sono chiaramente più casi»
7.2.2022
Al momento, nessuna azienda sembra essere al sicuro da attacchi informatici. Il Senior Cyber Security Analyst Stefan Rothenbühler spiega in un'intervista come le aziende diventano vittime, cosa vogliono gli hacker e come ci si può proteggere.
Stefan Rothenbühler lavora da sei anni per l'azienda di sicurezza informatica InfoGuard AG di Baar. In un'intervista, l'esperto analista di sicurezza spiega cosa c'è dietro l'attuale ondata di attacchi informatici.
Stefan, il tuo datore di lavoro InfoGuard si concentra sulla sicurezza informatica – hai a che fare quotidianamente con gli hacker?
Stefan Rothenbühler: Si può dire così. Lavoro nel team di Computer Security Incident Response, che è il «vigile del fuoco» di InfoGuard. Arriviamo quando un'azienda ha subito un attacco informatico. Non passa una settimana senza uno o due nuovi casi.
Quindi i cyber-attacchi sono davvero aumentati o sono solo dichiarazioni dei media prese poco sul serio?
Gli attacchi informatici sono aumentati estremamente negli ultimi anni, non sono solo voci. Certo, se ne parla di più nei media, ora sono più aperti, ma ci sono chiaramente più casi.
Quali aziende si rivolgono a voi?
Molte PMI. Le grandi aziende come le banche o le assicurazioni sono meno colpite. Quando ci contattano aziende più grandi, sono soprattutto aziende industriali che, come molte PMI, non hanno ancora costruito una protezione forte come, ad esempio, le banche.
Come avviene un attacco informatico?
Di solito avviene in tre casi diversi. In primo luogo, a causa della mancanza di autenticazione a più fattori (MFA), cioè se l'autorizzazione di accesso passa solo attraverso un posto. Oggi, la MFA è obbligatoria per le aziende. Nel 70-80% dei nostri casi, gli aggressori erano ancora in grado di penetrare nel sistema a causa della mancanza della MFA. Questo perché è molto facile indovinare una password: ci sono bot su Internet che non fanno altro tutto il giorno. Una debole combinazione del nome dell'azienda e dell'anno si scopre molto rapidamente. Quindi, se un'azienda oggi non ha installato l'MFA ovunque in modo costante, è gravemente negligente ed è solo una questione di tempo prima che succeda qualcosa.
Qual è il secondo caso?
Le e-mail di phishing o spam. Per esempio, quelle che ti invitano a scaricare un programma per rintracciare un presunto pacco perso. L'antivirus spesso fallisce e vengono installati i cosiddetti Trojan ad accesso remoto. Anche se i dipendenti inseriscono le password su un sito di phishing, gli aggressori possono accedere immediatamente alla rete se non è installata una MFA.
Il terzo caso sono le falle di sicurezza nei prodotti, che vengono sfruttate molto rapidamente. Questo può essere una lacuna nel server Microsoft Exchange o su piattaforme collaborative come Confluence, che gli hacker sfruttano in poche ore.
«Un'azienda vuole concentrarsi solo sulla protezione o prepararsi già ad un attacco?»
Un'azienda è sicura se ha questi tre punti sotto controllo?
È certamente ben posizionata, ma non esiste la certezza al cento percento. Ecco perché si pone la domanda: un'azienda vuole concentrarsi solo sulla protezione o prepararsi già ad un attacco? Le banche e le assicurazioni hanno già subito un cambiamento di paradigma e si preparano preventivamente agli attacchi degli hacker. Una volta la sicurezza significava che un'azienda creava un «fossato» intorno alla sua infrastruttura. Oggi ci siamo allontanati da questo pensiero medievale. Ora è più importante rilevare rapidamente un attacco e reagire correttamente.
Questo significa che prima o poi le aziende subiranno comunque un attacco?
Sì, esattamente, perché dietro gli attacchi c'è un'intera industria con molti attori. In primo luogo, un collezionista di password prova le password: se ne trova una, la porta su un forum darknet e la vende per cinque-dieci dollari. Le password delle aziende più grandi sono disponibili anche per un centinaio di dollari. Queste vengono acquistate da un Access Broker che entra nella rete e guarda cosa potrebbe essere preso. Raccoglie informazioni sull'azienda, il suo fatturato annuale e le autorizzazioni dell'utente.
Cosa succede dopo?
L'Access Broker a sua volta va nella darknet e vende il suo lavoro come accesso verificato a un cosiddetto affiliato. Si tratta di un piccolo criminale o di un ragazzino da criptovalute. Solo questo affiliato entra nella rete per rubare o criptare i dati. Tuttavia, non fa la crittografia lui stesso, ma compra il ransomware per la crittografia. Ecco perché si chiama «Ransomware as a Service». Gli operatori del ransomware ottengono una parte del riscatto. È così che viene finanziato il tutto.
Quindi è diventato più facile hackerare qualcuno?
Esatto. Ecco perché il ransomware è così in aumento. In passato, per attaccare, dovevi essere intelligente e sapere qualcosa di hacking e programmazione. Dovevi fare ogni passo da solo. Ma oggi da questa attività è emerso un grande mercato con un intero ecosistema. Pertanto, oggi per i piccoli criminali è molto più facile criptare che rapinare una banca.
Per quanto tempo le vittime devono affrontare le conseguenze di un attacco informatico?
Varia molto, ma sono diverse settimane, se non mesi. Il più delle volte noi sosteniamo l'azienda da una a due settimane. Dopodiché, l'azienda si rimette in piedi per continuare da sola. Un tale attacco può colpire molto duramente le aziende, perché si generano costi immensi che all'inizio non sono nemmeno visibili. Le richieste di riscatto sono solo una piccola parte. A seconda di quanto fatturato ha un'azienda, il costo dell'interruzione dell'attività può raggiungere milioni. Poi si aggiungono gli straordinari: i fornitori esterni di servizi informatici e i dipendenti dell'azienda lavorano per molte ore e spesso nei fine settimana.
A quanto ammontano queste richieste di riscatto?
Normalmente, viene richiesto dal due al tre percento del fatturato annuale. I casi che vanno oltre sono piuttosto rari. Tuttavia, quando un'azienda ha un fatturato annuo di 500 milioni, diventano subito 20 milioni.
Il Centro nazionale per la cybersicurezza (NCSC) raccomanda di non pagare riscatti – voi seguite lo stesso principio?
Sì. Dopotutto, si tratta di finanziare il crimine o anche il terrorismo e i regimi autoritari come la Corea del Nord. A volte, purtroppo, il pagamento è inevitabile. Per esempio, se anche i backup sono criptati. Se in questi casi non si paga, l'azienda sparisce. Tuttavia, si paga anche quando gli hacker potrebbero pubblicare dati sensibili di persone private. Al giorno d'oggi, il ricatto non avviene solo attraverso la crittografia, ma anche attraverso la minaccia di pubblicazione.
«Avviamo sempre delle finte trattative per saperne di più sugli aggressori».
Questo significa che gli aggressori comunicano con voi?
Sì. Conduciamo sempre delle finte negoziazioni per scoprire di più sugli aggressori. Così veniamo a conoscenza della richiesta di riscatto e vediamo come possiamo comportarci con loro. Questo dà indizi sull'origine. A volte scopriamo anche come gli aggressori sono entrati nel sistema. In parte si vantano sulla facilità di introdursi in un certo modo.
Che tipo di chat è e che lingua parlate?
Finora abbiamo sempre provato con l'inglese, a volte era stentato e a volte molto buono. Con il ransomware, la chat avviene sempre sulla rete Tor nella darknet. Succede anche che l'aggressore prenda il telefono e chiami l'azienda.
Vedi delle differenze tra i diversi hacker?
Sì, ormai percepisco molto rapidamente che tipo di aggressore è. Solo il tono di voce mi dice se ho a che fare con un'azienda criminale organizzata o solo con un piccolo criminale. Uno scambio di idee con un hacker professionista è interessante. La conversazione si svolge a livello aziendale. I piccoli criminali commettono errori che non accadrebbero a gruppi di professionisti. Per esempio, dimenticare una password.
Queste trattative sono molto simili al lavoro della polizia. Avete avuto sessioni speciali di coaching o imparate col tempo?
Il nostro supervisore era un investigatore informatico. Inoltre, lo si impara sul posto di lavoro. Lavoriamo a stretto contatto con le forze dell'ordine, il Consiglio federale, il NCSC e le forze di polizia cantonali. Ci scambiamo le idee attivamente con loro. Per quanto ne so, però, la polizia stessa non conduce negoziati.
Alcuni attacchi vengono segnalati al NCSC. Nella nostra colonna dei commenti si dice che poi viene riempita solo una riga in Excel e basta – è vero?
(ride) Non so quali siano le procedure interne del NCSC. Per noi la cooperazione con il NCSC è molto preziosa e propositiva. Una riga su Excel può valere molto. Oltre agli attacchi, si registrano anche i versamenti. Se un gruppo ad un certo punto fa un errore e l'attacco può essere assegnato a qualcuno, il denaro potrebbe tornare indietro. C'è già un obbligo di segnalare gli attacchi hacker per le società quotate, per le società soggette alla FINMA e per alcune parti delle infrastrutture critiche. Oltre all'obbligo di denuncia, è anche importante informare il pubblico. Da questo punto di vista c'è stato un cambiamento. Le aziende riferiscono molto di più sugli attacchi, perché l'argomento non è più tabù come una volta. Questo ha dei grandi vantaggi.
«È sempre meglio quando le aziende stesse informano dell'attacco che quando il pubblico lo viene a sapere attraverso i media».
Perché?
È sempre meglio quando le aziende stesse informano dell'attacco che quando il pubblico lo viene a sapere attraverso i media. Quando la comunicazione è chiara, anche la comprensione è maggiore. Potrebbe anche arrivare un aiuto inaspettato dall'esterno. Abbiamo avuto clienti che sono andati dalla stampa dopo un attacco e hanno ricevuto offerte di aiuto improvvise da chi aveva già avuto esperienza con tali attacchi. Penso che questa sia un'azione lodevole.
Cosa possono imparare gli utenti privati di Internet da questa ondata di attacchi?
A usare il buon senso e fare le cose più consapevolmente – e naturalmente ci sono anche misure tecniche concrete. Prima di tutto, c'è la MFA, che dovrebbe assolutamente essere attivata dove possibile, perché protegge molto bene. Gli attacchi possono avvenire comunque, ma l'ostacolo è molto più alto.
Il secondo consiglio è di ragionare: ho davvero bisogno di un programma per rintracciare il mio pacco? Perché devo cliccare proprio su questo link? Visitare siti illegali, come i siti di streaming illegali, è particolarmente problematico, perché può succedere qualcosa ovunque e si può cliccare qualcosa di sbagliato facilmente. Spesso ho a che fare con persone che hanno cliccato dove non avrebbero dovuto. E mi dicono sempre che si sono resi conto un secondo dopo il clic che non avrebbero dovuto farlo. Quindi, prima di inserire le password, assicurati di ripensarci.
E il terzo consiglio?
Un consiglio concreto per l'Internet banking: gli utenti dovrebbero impostare un utente separato sul loro computer per l'Internet Banking. Questo perché i trojan bancari di solito infettano solo il contesto dell'utente e non l'intero sistema. In questo modo, in caso di attacco viene infettato solo il contesto dell'utente. Il quarto consiglio è non riutilizzare le password. Su ogni sito web dovrebbe essere usata una password diversa. Pertanto, consigliamo di usare un gestore di password. Inoltre, le password dovrebbero essere cambiate una volta all'anno. L'ultimo consiglio è quello di effettuare gli aggiornamenti di sicurezza regolarmente. Sono automatici, ma non fa male controllare le applicazioni ogni tanto.
«Vorrei che la Svizzera tornasse ad essere un rifugio sicuro come una volta, non solo per le persone, ma anche per i dati».
Come sarebbe per te la situazione ideale di sicurezza informatica?
Sfortunatamente, non ci libereremo degli attacchi, ma potremmo togliere un po' l'attenzione dalla Svizzera. La nostra ricchezza è ben nota e questo ci rende un obiettivo redditizio. Vorrei che la Svizzera tornasse ad essere un rifugio sicuro come una volta, non solo per le persone, ma anche per i dati. Penso che questo sia stato un po' un problema ultimamente.
A causa delle condizioni generali o perché la Svizzera si è persa qualcosa?
Si può sempre discutere se la Svizzera si sia persa qualcosa con la digitalizzazione o meno. Conosco la prospettiva delle aziende: vogliono produrre, la sicurezza non è la loro prima priorità, ed è comprensibile. Tuttavia, se potessimo rafforzare un po' di più la rete con tutte le persone coinvolte in questi attacchi, saremmo sulla buona strada.
Quindi sei speranzoso?
Sono molto fiducioso, ma certi fatti mi spaventano. Oggi si tratta di attacchi ad aziende industriali, ma cosa succede se colpiscono una centrale nucleare o un ospedale? Cosa succede quando ci vanno di mezzo delle vite? Con la digitalizzazione, sempre più aree della nostra vita dipendono dalle infrastrutture digitali. Stai guidando a 100 chilometri all'ora sull'autostrada e la tua automobile a guida autonoma viene hackerata – cosa fai? Queste situazioni mi fanno molta paura.
«Io voglio tutto: le discese ardite e le risalite stordite, la crema in mezzo!» – queste parole di un noto personaggio televisivo statunitense rispecchiano pienamente il mio pensiero. Vivo secondo questa filosofia di vita anche a lavoro. In altre parole: trovo che ogni storia, dalla più insignificante alla più incredibile, abbia il suo fascino.
Sicurezza
Segui gli argomenti e ricevi gli aggiornamenti settimanali relativi ai tuoi interessi.
16 commenti
later