Attacchi hacker in Italia? Parola all’esperto, il Prof. Corrado Giustozzi

Nella giornata di ieri sono apparse su media e testate specialistiche notizie allarmanti su un possibile attacco hacker rivolto all’Italia che avrebbe creato disagi e disservizi anche agli utenti TIM. Per capire cosa è successo e fare chiarezza abbiamo posto alcune domande al Prof. Giustozzi, già esperto senior di sicurezza cibernetica presso il CERT-AGID e membro dell’Advisory Group di ENISA (2010-13, 2013-15, 2015-17, 2017-20), nonché componente del Consiglio Direttivo di Clusit e co-fondatore e Senior Partner di Rexilience.

 

Il Prof. Corrado Giustozzi

 

Buongiorno Prof. Giustozzi e grazie per aver accettato l’invito di DIMT a rilasciare questa intervista, iniziamo subito con chiederLe una sommaria descrizione di cosa è avvenuto ieri?

Non è successo nulla di diverso da quello che succede molto spesso, solo che questa volta è stata costruita sopra una campagna mediatica che ha parlato di un attacco hacker mondiale di matrice statale. In realtà sono stati indebitamente correlati una serie di eventi, anche risalenti nel tempo, avvenuti in Francia già il 3 febbraio, disservizi vari, come quelli occorsi a TIM, e altri attacchi su ransomware che sono del tutto scollegati tra loro.

L’attacco ransomware di cui tanto si parla ha sfruttato, in verità, una vulnerabilità già nota da due anni e che, proprio in quanto nota, ha colpito un numero estremamente limitato di aziende. Certo non è comune che vulnerabilità note da più di due anni non siano risolte, lasciando così spazio a questi attacchi.

Per altro anche Palazzo Chigi oggi ha smentito in un comunicato stampa con l’ACN la ricostruzione diffusa sui media.

 

Come si riconosce un attacco ransomware?

Un attacco ransomware è un attacco di matrice criminale con finalità estorsive che vede come obiettivo i dati di un’azienda o di un ente che vengono cifrati illecitamente. L’attaccante poi notifica alla vittima l’avvenuta cifratura, con la richiesta di pagamento di un riscatto per decifrare i dati.

Spesso a questo primo attacco viene associata una esfiltrazione dei dati, c.d. double extorsion, realizzata al fine di prevenire che la vittima possa non interessarsi al riscatto avendo copie di backup dei dati.

L’attaccante spesso rilascia comunicati stampa per far percepire la pericolosità di quanto accaduto e costringere la vittima al pagamento del riscatto. Questo per dire che è un fenomeno facilmente identificabile e riconoscibile, perché lo stesso attaccante ha tutto l’interesse a che la vittima si accorga di ciò che sta avvenendo.

Questo è un fenomeno di criminalità organizzata, che nulla ha a che vedere con hacker che, in realtà, poco si interessano a queste attività illegali. Si tratta, piuttosto di attacchi cibernetici, null’altro, così è più corretto definirli. Gli hacker sono storicamente degli appassionati di informatica e telematica che entrano nei server, cercano di capire il funzionamento di sistemi di protezione, ma per puro scopo di apprendimento, mai con finalità estorsive o criminali come in questo caso.

Peraltro, bisogna sottolineare che proprio avendo uno scopo puramente estorsivo il ransomware non è un fenomeno che interessa a uno Stato, anche perché la necessaria interazione con la vittima aumenta il rischio di essere smascherati. Gli attacchi cibernetici di matrice statale hanno una finalità di sabotaggio o di infiltrazione, subdola, volta a capire i segreti che transitano sulla rete o a prenderne il controllo in caso di attacco. Questi sono gli attacchi più pericolosi proprio perché è difficile accorgersene.

 

Per quanto di dominio pubblico i disservizi occorsi agli utenti di TIM sono legati a quanto accaduto?

Quello occorso a TIM non è un attacco, è un incidente tecnico, puramente interno, imputabile tanto a errore umane, quanto a un guasto tecnico, o a una convergenza di errore umano e guasto tecnico. Si sono semplicemente degradate alcune funzioni di scambio di dati a livello internazionale operato tramite il protocollo BGP (“Border Gateway Protocol”), che ha comportato il rallentamento per qualche ora del traffico dati internazionali.

 

Per la sua esperienza, quale è il grado di sicurezza del nostro Paese e quali strutture sono ancora esposte?

Il nostro Paese non sta, mediamente, né meglio né peggio di altri Stati. Gli attacchi cibernetici sono un fenomeno percepito nella sua pericolosità solo di recente, nonostante i numerosi appelli che da anni sono lanciati a livello mondiale dalle principali organizzazioni.

In Italia il problema è più serio in ragione del tessuto imprenditoriale fatto di piccole imprese che non pensano, sbagliando, di essere dei potenziali bersagli della criminalità informatica, ma che, proprio in quanto sguarniti sono i più esposti. È un problema che riguarda soprattutto la piccola azienda manifatturiera di micro-componentistica, che in realtà, proprio per essere una ruota dell’ingranaggio, è spesso “infiltrata” per colpire le grandi aziende.

In un tessuto imprenditoriale di così piccole dimensioni manca proprio la cultura della sicurezza informatica, a volte anche dell’informatica, che porti a percepire il problema.

Il problema è acuito nelle realtà pubbliche dove oltre alla mancanza di cultura si registra anche un grave problema di carenze di risorse, per cui se, ad esempio, una struttura ospedaliera deve scegliere se acquistare un nuovo ecografo o investire in sicurezza informatica opterà per l’ecografo, sperando di non subire un attacco cibernetico. Si capisce bene, però, come in caso di un attacco a una struttura ospedaliera ad entrare in gioco sono vite umane, non soldi.

 

Professore, grazie ancora per i chiarimenti che ci ha dato e per quanto fa per diffondere questa cultura della sicurezza informatica.