«Quello che più è inquietante di questa faccenda», dice Claudio Ferretti, Professore associato di Sicurezza informatica all’università Milano-Bicocca (dove è anche membro del Bis-Lab, laboratorio di ricerca dedicato alla sicurezza nel settore IT) a ilsussidiario.net, «è che solo adesso Unicredit scopre, o dice pubblicamente, di aver subito attacchi già alla fine dello scorso anno». Il caso riguarda l’ammissione da parte dell’istituto bancario di un attacco hacker che ha permesso in questi ultimi giorni di accedere ai dati anagrafici e relativi codici Iban di 400mila clienti, una cifra enorme. «Se Unicredit con questo incidente ha scoperto che gli hacker stavano lavorando contro di loro già nel 2016, significa che c’è un grosso problema di sicurezza e allo stesso tempo ci dice il livello informatico a cui sono arrivati questi hacker». Già: ma chi è oggi un hacker?
Professore, siamo passati da Anonymous che attaccava la Casa Bianca e la CIA per motivi dichiaratamente politici, ad attacchi criminali dove si va direttamente “al soldo”. C’è stata davvero una evoluzione di questo tipo?
È vero che si va “al soldo”, ma non è del tutto vero che sia una tendenza dell’ultima ora. Criminali che bloccavano i computer e poi chiedevano riscatti per liberarli o vendevano dati sanitari a persone interessate sottraendoli ad aziende varie, è qualcosa che esiste da tempo. Quello che forse è cambiato è che i dati sottratti a fine criminale sembrano essere sempre più vicini alla visibilità degli utenti.
Cosa intende esattamente?
Che tutti abbiamo un conto bancario. In un caso come questo l’identità di conto bancario è stata violata e quindi fa notizia perché ci tocca tutti, mentre la violazione di una singola azienda o di un singolo utente non fa lo stesso tipo di notizia.
Certo, il phishing per rubare i dati di una persona che usa Internet c’è sempre stato, ma oggi siamo davanti a qualcosa di diverso. Gli hacker si sono venduti alla criminalità?
Discutendo del caso Unicredit nel nostro laboratorio, in cui teniamo monitorati gli eventi, la prima cosa che è saltata all’occhio è una stranezza, cioè che Unicredit dica che indagando su un incidente di qualche giorno fa abbia scoperto che c’erano già state intrusioni diversi mesi fa. Vuol dire che non tutto viene colto anche in quelle aziende che sanno di essere potenziali vittime di attacchi, come appunto le banche.
Chi sono i soggetti dietro questi attacchi? Criminalità organizzata?
La forma associativa per quello che sappiamo non è collegata direttamente con le dimensioni dell’azienda vittima. Esistevano forme di associazione politica di hacker che si coordinavano come Anonymous, o forme associative come quelli che sguinzagliano in automatico software come Wannacry per colpire tante aziende, ma è vero che esistono singoli hacker che violano le aziende. Non sempre si può dire se è una associazione, sicuramente per entrare in Unicredit hanno lavorato per mesi cercando di trovare la via per entrare. Quello che è sicuro è che per poter usare economicamente questo tipo di dati sottratti a una banca bisogna essere inseriti in una struttura criminale che paga questi dati. Che ci sia criminalità organizzata che ruba e il riciclatore che paga queste informazioni è molto preoccupante.
Voi come università siete un soggetto a rischio attacchi?
Abbiamo attacchi continui, però non di tipo economico. Sono attacchi in termine di sfruttamento per altri fini delle nostre strutture informatiche. C’è chi va a caccia di computer da usare come parassiti per fare calcoli di estrazione di bitcoin o installare phishing.
Le accuse che si fanno normalmente alle aziende riguardano il mancato aggiornamento die loro sistemi di sicurezza, è davvero così? Una cosa così banale?
Come ha dimostrato il caso Wannacry, un incidente planetario, se l’azienda è grande e strutturata e ha più parti che collaborano tra loro in automatico, paradossalmente pur avendo personale di sicurezza l’operazione di aggiornamento non è fattibile con velocità.
Perché?
Bisogna aggiornare più software che con questi aggiornamenti creano problemi inceppando il meccanismo. C’è sempre almeno uno dei sistemi dell’azienda molto delicato da aggiornare. Nella grande azienda c’è sempre un pezzettino che è complicato aggiornare.
Ma esiste un modello di sicurezza definitivo? L’azienda aggiorna il suo sistema difesa e l’hacker aggiorna il suo sistema di attacco, è una sfida senza fine?
La soluzione magica non c’è. La sfida continua tra la difesa e l’attaccante che lo scavalca, questo tipo di lotta all’idea nuova continuerà sempre. Quello che è certo è che l’attacco oggi vuol dire competenze e tempo. La via di intrusione facile e veloce sta scomparendo ovunque. Una volta si era più superficiali, era facile trovare porte aperte, oggi no. L’attacco di Unicredit è fatto esplorando con calma la presenza di piccole brecce e saltando da una breccia all’altra fino ad arrivare ai dati.
La stessa Unicredit ha detto che sono passati da una falla aperta da un partner commerciale esterno.
È una cosa molto importante che va chiarita questa. Per quanto una azienda possa collaborare con un fornitore, difficilmente l’azienda lo porta dentro fino al massimo livello di sicurezza. Quindi è stata una combinazione di alcune brecce in banca, oltre al fatto che il fornitore sia stato violato.
Chi è oggi l’hacker? Il ragazzino brufoloso maniaco di computer o un professionista super attrezzato?
È certamente un professionista di alto livello informatico, anche se ci sono giovanissimi che hanno accumulato notevole conoscenza. Non è più necessariamente il giovincello emarginato socialmente, ma si tratta di veri professionisti. Esiste comunque una marea di giovani che fanno attacchi alla cieca, attacchi a tappeto fatti da giovani preparati che però non ottengono risultati. Diciamo che l’hacker di oggi è una tipologia di persona piuttosto varia.
(Paolo Vites)