Viterbo – “Non esistono difese in grado di garantire la sicurezza di un sistema al 100%. Nè aziendale, né istituzionale. Bisogna migliorare i propri strumenti e la consapevolezza che si ha quando si utilizzano. Ad esempio lo smartworking ha probabilmente aumentato il rischio di attacchi passando per il computer di casa”. Gianluca Boccacci è un ethical hacker della Tuscia che da anni si occupa di prevenzione e sensibilizzazione delle minacce presenti nella rete. Parla dell’attacco hacker contro la regione Lazio di domenica scorsa di cui si stanno occupando anche i magistrati dell’antiterrorismo.
Esperto di cyber security, Boccacci è presidente dell’associazione no profit Cyber actors che sta organizzando un Cyber act forum per il prossimo primo ottobre a Viterbo.
Viterbo – L’associazione Cyber actors
Cosa è successo con l’attacco hacker contro la regione Lazio di domenica scorsa?
“Non sappiamo quale tipo di virus sia, ma è sicuro che è entrato un ransomware. Ciò significa che sono stati criptati tutti i dati, backup compresi, e quindi non è più possibile utilizzare i sistemi”.
Che cos’è un ransomware?
“E’ un virus con cui si chiede un riscatto. Gli attaccanti entrano, e c’è da capire quale sia stato il vettore d’ingresso, e una volta dentro la rete lancia il ransomware che cripta i dati e pone i termini del riscatto”.
Come è possibile entrare all’interno di un sistema come quello della regione Lazio?
“Parliamo in generale. I motivi potrebbero essere veramente tanti. L’utente stesso potrebbe essersi ‘infettato’ direttamente dal suo Pc. Un rischio che lo smartworking adottato dalle pubbliche amministrazioni potrebbe aver accresciuto”.
In che modo?
“Un conto è utilizzare dispositivi presenti solo sul posto di lavoro e dove si suppone si lavori e basta. Un conto è invece utilizzare i propri dispositivi privati dove, durante il proprio tempo libero, si immagina possa andare a vedere anche altro. Altre volte, l’accesso può avvenire attraverso il password reuse”.
Che cos’è?
“Password che vengono rubate da una parte e riutilizzate da un’altra. Di solito vengono messe prima in vendita sul darkweb. Sono tante le possibilità che permettono di infettare un computer e da lì muoversi all’interno di un’azienda”.
Roma – La sede della Regione Lazio
Un sito come quello della regione Lazio non ha meccanismi di difesa contro attacchi hacker?
“In teoria sì. Si spera che ci siano. E comunque sia pare non abbiano funzionato. Comunque sia non esiste la sicurezza al 100% e prendersela adesso con la regione sarebbe sbagliato. Anche perché tutti potrebbero essere attaccati e nessuno è al sicuro”.
Esistono sistemi per innalzare ancora di più le difese?
“Sì, questo è possibile. Ma nessuno può dare sicurezze al 100%. Esistono dei sistemi che permettono di rilevare azioni che un utente di solito non fa mai. Ma parliamo sempre di analisi e prodotti che alla fine sono sempre limitati. Te ne accorgi oppure no. Si possono mettere in campo azioni che riducono il danno o mandano l’alert”.
Secondo lei, cosa sta facendo la regione Lazio in questi giorni per ripristinare il sistema?
“Starà capendo cosa è successo. Anche i backup sono stati criptati. Ciò significa che sono stati prelevati e messi altrove. Quindi se la regione Lazio non ha una copia dei dati da qualche parte, l’alternativa è il contenuto del ricatto avanzato da chi ha hackerato il sito, che di solito è una richiesta di riscatto per non rendere pubblici i dati oppure per non distruggerli. E al tempo stesso ripartire. Sicuramente la regione ha una copia dei dati da qualche parte e sta cercando di ripristinare tutto attraverso questa”.
Viterbo – L’ethical hacker Gianluca Boccacci
Quali dati potrebbero essere stati criptati?
“Non lo sappiamo. Gli attaccanti, una volta avuto accesso, hanno avuto anche tutto il tempo di guardarsi intorno e di girare. Potrebbero però aver fatto un’azione veloce criptando il possibile per poi poter monetizzare il prima possibile. Atteniamoci a quello che ci dice la regione Lazio, ossia che non sono stati toccati dati sanitari e dati sensibili. Vediamo quello che succede. Se un domani troviamo i dati sul darkweb, allora vuol dire che c’è stata quella che in gergo si chiama ‘esfiltrazione'”.
Cosa si impara da questi attacchi?
“Ci insegna che non è un gioco e che nessuno è più al sicuro. E si parla anche di bande organizzate, non degli sprovveduti. Non solo, ma molto spesso, la lotta è impari. Basta un solo punto di vulnerabilità contro un sistema il cui titolare deve invece rispettare alla lettera tutta una serie di passaggi. Un confronto impari. Quanto meno sbilanciato verso chi attacca. E’ molto più facile attaccare piuttosto che difendere”.
Invece che “segno” lascia?
“Il segno che lascia è a sua volta un insegnamento. Oggi bisogna innalzare il livello di difesa, sia con prodotti, sia con processi e formazione fatta direttamente sulle persone. Perché si passa sempre da un utente che deve capire i rischi e i pericoli che ci sono in rete quando sta seduto di fronte a un computer. Bisogna migliorare il proprio modo di utilizzare i propri strumenti per evitare azioni che possano mettere a repentaglio il proprio computer e intere aziende o istituzioni”.
Daniele Camilli