Hackeraggio a Bezos, parla l’esperto di sicurezza Diego Coco: ecco come proteggersi

Sembra che lo spyware che ha permesso di rubare migliaia di files dal telefono del proprietario di Amazon Jeff Bezos sia stato inviato via WhatsApp direttamente dal principe ereditario saudita Mohammad Bin Salman. Per capire come sia stata possibile una cosa del genere ai danni dell’uomo più ricco del mondo, abbiamo parlato con Diego Coco, ufficiale in congedo dei Carabinieri e presidente del Consorzio Intrasecur che si occupa di sicurezza e investigazione.

La domanda che in molti si pongono in questi giorni è: come è possibile che un uomo come Bezos che non solo è il più ricco del mondo ma è anche un’imprenditore dell’economia digitale sia così vulnerabile a questo tipo di minacce.

Innanzitutto premetto che spesso facciamo l’errore di dare per scontato che l’attenzione alla sicurezza personale sia analoga a quella riposta nella protezione dei propri dati. Poi c’è il bias cognitivo di immaginare che l’attenzione investita nella sicurezza personale sia proporzionale al proprio status o patrimonio.
Detto ciò, tutti siamo esposti al cyber attack ed è evidente che la nostra esposizione sia tanto più alta quanto più siamo soggetti in vista o tanto più rappresentiamo un ruolo chiave per raggiungere l’obiettivo dell’hacker.

La vulnerabilità però è un’altra cosa, è la capacità della nostra sfera personale, in particolare quella veicolata sul digital channel, di essere più o meno facilmente individuata e manipolata. La vulnerabilità dipende essenzialmente da due fattori, il primo nei sistemi di difesa telematici attivi e passivi che mettiamo in campo per arginare il rischio ed il secondo è la condotta che adottiamo.

Posso affermare, per esperienza professionale sul campo , che è proprio la condotta che spesso è il vero troian del nostro sistema di difesa personale, quella condotta che ci fa calare le barriere, che ci fa cliccare sul link con il trigger emozionale giusto, che ci rende più superficiali e meno attenti ad allegati, siti internet e messaggi e che di fatto vanifica tutto il lavoro fatto dai sistemi, software e team che lavorano per garantire l’ermeticità della sfera personale.

E’ proprio così, ho avuto a che fare con stimati imprenditori che, nonostante la divisione IT aziendale lavorasse correttamente, adottavano comportamenti, relativi alla tutela dei propri dati, assolutamente sconsigliabili. Pensate alla stessa fuga di notizie dal comitato elettorale della Clinton ed a come sia stata possibile attraverso un banalissimo phishing, per intenderci, la classica e sempre verde fake e-mail che riceviamo da un fittizio account della nostra banca, posta o gestore di carta di credito; se il destinatario non avesse cliccato sul link e non avesse fornito i dati richiesti non sarebbe successo assolutamente nulla.

Però stiamo parlando del padrone di Amazon, avrà a disposizione un team di cybersicuerezza che nemmeno certi stati hanno.

Questo è certo, così come ritengo che sia anche un soggetto capace di arginare i più comuni attacchi ma come dicevo poc’anzi più è alta la posta in gioco e più si è disposti a investire.

Bisogna guardare al mondo dell’hacking come un mercato in continua metamorfosi dove la corsa alla creazione del nuovo malware è costante così come costanti sono le attività di creazione delle contromisure e contrasto a questo tipo di minacce. Ed ecco che fra spionaggio e controspionaggio informatico è una competizione infinita ed appena trovata una difesa efficace arriva un’altra modalità di attacco.

E’ un tema caldo che sta a cuore a molteplici multinazionali, direi fra le più importanti al mondo, che prima di lanciare al pubblico nuovi sistemi e prodotti ingaggiamo la comunità di sviluppatori mondiale con programmi di bug bounty che altro non sono che accordi unilaterali con i quali le aziende propongono laute ricompense a chi sarà in grado di segnalare vulnerabilità software e relativi exploit. Certo anche qua il fattore umano continua ad essere predominante, le contromisure: software, firevault, etc sono configurate e monitorate dall’uomo, uomo che in quanto tale è soggetto a due bug: l’errore umano e il dolo. Il primo di norma è arginabile grazie a regole, doppie conferme o automatismi mentre il secondo purtroppo è basato su quella spesso è definita “l’infedeltà professionale”. Ed ecco che, per analogia, come nei sequestri di persona spesso dalle indagini emergeva un soggetto complice interno alla famiglia che aveva favorito il sequestro, anche per i dati, non è affatto raro che sia proprio un addetto ai lavori a lasciare una “porta aperta” nel sistema e ad indicarla al miglior offerente.

Quindi se è vulnerabile Jeff Bezos figuriamoci noi comuni mortali.

Come detto siamo tutti esposti, nessuno escluso, imprenditori, capi di Stato, decision makers di flussi critici di lavoro. Esistono migliaia di malware e spyware in grado di hackerare sistemi informatici. Certi bisogna tenere in considerazione che alcuni non si trovano proprio allo scaffale del negozio di informatica ma magari nel darkweb o direttamente con società che sviluppano questo tipo di software. Nel caso di specie parliamo di un software cosiddetto a “zero click exploit” ovverosia che non richiede alcuna interazione con l’utente destinatario pertanto è sufficiente che il soggetto riceva l’allegato che parta lo script che genera i comportamenti anomali richiesti dall’hacker che lo ha scritto.

Software di questo tipo, che eludono quindi la condotta magari prudente del soggetto, possono costare milioni di dollari e sono di norma sviluppati dalle poche società specializzate cui, in ragione dell’alto investimento, si affidano Agenzie di informazione, Organizzazioni Governative, Lobby ma potrebbero farlo nel peggiore dei casi, seppur per interposizione, anche Organizzazioni criminali con scopi tutt’altro che ecologici.

Come ci si può difendere quindi?

In primo luogo bisogna sviluppare una cultura della protezione della propria privacy. Spesso siamo proprio noi stessi a fornire i nostri dati, ad esempio sui social, rendendo note moltissime informazioni sulla nostra identità e profilo di vita: dove viviamo, come si chiamano i nostri figli, che auto abbiamo, quando siamo o meno in casa o in vacanza, dove lavoriamo, come si chiamano i nostri colleghi, che strade facciamo, qual’è il nostro tenore di vita e così via. Poi usiamo password facilmente hackerabili con un semplice attacco “dizionario”, ed ancora usiamo le note e la rubrica del telefono come archivio di dati sensibili, pin, codici e password come fossero pizzini telematici; Tutte cose all’apparenza banali ma che espongono noi e i nostri cari tutti i giorni.

Nello scandalo MBS-Bezos si è detto anche che probabilmente lo spyware utilizzato è Galileo realizzato dalla Hacking Team, un’azienda italiana leader mondiale con sede a Milano, è possibile che queste aziende vendano a chi vogliono senza considerare il tipo di regime che compra?

Abbiamo toccato il vero fulcro del problema. L’accelerazione del mondo cibernetico e informatico in generale non ha visto da subito pronte le Forze di Polizia e le Agenzie Governative in grado di fronteggiarlo e le stesse hanno rapidamente risposto con la creazione di reparti specializzati ad hoc e protocolli di intervento inter Forze. Tuttavia tanti sono stati gli sforzi rivolti a rispondere ai continui furti d’identità, intrusioni, manipolazioni di dati ed altri crimini informatici che non si è trattata invece affatto la normativa in materia di sviluppo malware. Si pensi che ad oggi non esiste un albo professionale di soggetti capaci di scrivere software, alcune società che operano nell’ambito della sicurezza cibernetica non sono neanche dotate di Nulla Osta di Segretezza (N.O.S.) ma soprattutto non esiste una licenza prefettizia né un registro dove annotare i committenti dei software, gli obiettivi, gli interlocutori ed il valore economico. Questi software una volta usciti dall’alveo universitario dove si progettano per scopi didattici, non possono essere lasciati alla libera scrittura ed andrebbero di fatto trattate come vere e proprie armi cibernetiche. Armi sì, che progettano di fatto dei veri e propri attacchi e che, come tali, al pari di un’arma convenzionale andrebbero sottoposti a vincoli e normative stringenti.

Dovremmo considerare queste come armi a tutti gli effetti, per l’esportazione di armi ci sono moltissimi vincoli e una normativa stringente, poi ci sono le risoluzioni ONU che limitano molto, anche se poi sappiamo che illegalmente succede di tutto, per quanto riguarda questo tipo di sistemi di spionaggio invece, le cose sono più fluide. Il problema è che le compagnie si difendono dietro l’assunto che ogni “arma” può essere usata per un attacco ma così anche per difendersi o appunto addirittura per scopi didattico formativi ed è per gli Stati quindi gioco facile sostenere che i sistemi vengono impiegati solo per tutelare la sicurezza dei cittadini.

Quindi una regolamentazione c’è ma potrebbe facilmente essere aggirata? 

Almeno per l’Italia, ci sono solo le norme per l’attività produttiva, ossia per fare impresa ma faccio un esempio: per operare come agenzia investigativa si necessita di diverse autorizzazioni preventive e poi noi dobbiamo tenere un registro consultabile dalle autorità in cui figurano i clienti, gli importi, il tipo di servizi che abbiamo fornito, insomma siamo tenuti alla trasparenza mentre un’azienda che produce un malware non è tenuta a nulla di tutto questo, potrebbero essere fondata da chiunque senza che il fondatore abbia requisiti particolari o abbia superato esami.

Che consigli daresti a chi vuole proteggere la propria privacy?

Io suggerisco di barattare la comodità con la sicurezza. Non consiglio l’impiego di assistenti digitali, né di comandi vocali che registrano la propria voce, così come l’uso dei sistemi di cloud esclusivamente per quei dati “innocui”. Per le cose serie direi di andare su software email crittografati e non comuni (ne esistono anche di free), di utilizzare software specializzati per la custodia di password, codici, pin ed altro che ci consentano anche di non digitarli; di usare dei software per la cancellazione dei dati in modo efficace, di cancellare il proprio device prima di lasciarlo in assistenza e di salvare quanto di importante in un NAS locale. Insomma sono molteplici le forme di maggiore garanzia personale cui ovviamente aggiungiamo maggiore cautela nella trattazone di e-mail, link e call to action cui veniamo invitati da messaggi di varia natura.

Comunque ritengo che manchi proprio la percezione dei rischio, c’è una sottovalutazione generalizzata nella nostra società e credo che sarebbe opportuno partire dalla scuola con la sensibilizzazione al tema, i reati informatici sono in forte ascesa e i cittadini, soprattutto quelli più vulnerabili devono essere coscienti dei rischi che corrono e in grado di difendersi dagli attacchi che non dobbiamo pensare siano solo rivolti ai “potenti”

Nessun commento

Lascia un commento sull'articolo