L’anno scorso il Wall Street Journal ospitava un preoccupante articolo del Presidente Obama. Da allora lo scenario di un’apocalisse digitale è stato rievocato più volte. Il 19 febbraio Mandiant, azienda specializzata nella risposta alle minacce digitali, ha pubblicato un report insolitamente dettagliato sugli attacchi riconducibili alla Unit 61398 dell’esercito cinese.
Vale la pena di leggerne il testo integrale. Intanto perché i sistemi utilizzati sono quelli di cui si parla spesso. Sono detti sofisticati ma si tratta per lo più di tattiche per ingannare un essere umano. Triste poi constatare come firewall e altri sistemi di protezione non siano configurati per impedire comunicazioni di ben dubbia necessità verso l’esterno.
Come prevedibile, viene accettata passivamente da molti l’attribuzione della responsabilità ai cinesi. I quali rispondono con le formule ben note: La Cina vieta comportamenti che minacciano la sicurezza di Internet, l’esercito cinese ripudia l’hacking come metodo di azione, un indirizzo IP non significa molto (obiezione tutt’altro che balzana) eccetera. Incidentalmente, nota il portavoce del Ministero degli Esteri, dagli episodi analizzati dal CERT cinese emergono oltre 70 mila indirizzi IP stranieri che sarebbero collegati ad attacchi contro 14 milioni di computer cinesi. Al primo posto ci sono hacker provenienti dagli Stati Uniti!
Mandiant è azienda notoriamente gradita ai governi di Stati Uniti e Gran Bretagna e la sua reputazione trae beneficio da quanto pubblicato. Non a caso è ben nota anche per essersi sempre trovata al posto giusto nel momento giusto rispetto ai finanziamenti.
Ogni volta che il governo statunitense preme sull’acceleratore verso una normativa che inevitabilmente comprimerà le libertà individuali (penso alla privacy ed alla libertà di Internet), ecco che i quotidiani si riempiono di storie di attacchi attribuiti ai cinesi (al limite agli iraniani). Mandiant dichiara di aver pubblicato il report per questa ragione:
è giunto il momento di riconoscere come la minaccia arrivi dalla Cina e vogliamo fare la nostra parte per armare e preparare con efficacia i professionisti della sicurezza.
Che spirito disinteressato!
Il silenzio sugli attacchi subiti è un errore: condividere le informazioni acquisite è doppiamente utile. In prima battuta ha un effetto deterrente nei confronti degli aggressori, che non potranno utilizzare gli stessi strumenti, domini e indirizzi IP. Questo aumenta il costo di attacco. In seconda battuta, la divulgazione regolare e “normale” delle informazioni relative agli attacchi elimina tutti quei retropensieri sui motivi della divulgazione e sul non detto che spesso ingombrano il ragionamento.
Se usciamo dalla retorica legata alle attività più o meno confessabili degli stati-nazione o alle minacce persistenti ed avanzate, questo report insegna che l’attacco inizia con una email mirata alla vittima, la quale cade nel tranello e scarica un allegato o visita un collegamento. Dopo di che sul sistema compromesso viene installato quanto necessario a controllarlo da remoto e trasmettere all’esterno le informazioni desiderate. È possibile bloccare questo tipo di attacchi! Riconoscere i messaggi di phishing non è difficile e si può insegnare. L’infezione dei sistemi può essere prevenuta eliminando quanto non strettamente necessario all’attività lavorativa (Java? Flash?).
Il whitelisting è un metodo sicuramente accettabile e può dare risultati anche superiori a quello degli antivirus.
Fate infine in modo che i sistemi di sicurezza perimetrali non si limitino a respingere gli attacchi provenienti dall’esterno, ma analizzino anche il traffico “normale”, in modo da riconoscere più velocemente le anomalie.
L'autore
Iscriviti alla newsletter
Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo
