sabato 10 luglio 2021

Mie riflessioni sui recenti attacchi ransomware

Chiara Ponti degli Idraulici della privacy mi ha chiesto qualche riflessione in merito ai recenti (e meno recenti) attacchi ransomware. Lei era partita da un articolo oggettivamente superficiale e quindi non lo cito.

Intanto dobbiamo distinguere due tipi di attacchi: quello ransomware mirato direttamente alla vittima e gli attacchi sulla filiera di fornitura o "supply chain". Questi ultimi prevedono di attaccare un fornitore in modo poi da usarlo come "ponte" per colpire altre vittime. In questo caso, il fornitore è stato attaccato per impiantare ransomware presso le vittime.

Per il ransom qualcosa l'avevo già scritta (http://blog.cesaregallotti.it/2021/05/attacco-colonial-pipeline.html), ma vorrei ribadire che la prima regola è quella di segregare le reti, oltre a fare backup e aggiornare i sistemi. Tutto questo richiede molti investimenti e non è sempre fattibile (per esempio, se i software possono essere compromessi dagli aggiornamenti di altri software). Inoltre difendersi da questi attacchi è super difficile, soprattutto quando sono mirati. Basta solo un errore e i danni sono altissimi.

Tutto richiede un'ulterore riflessione sulla spinta alla convergenza, sempre più elevata. Pensiamo al fatto che vogliamo farci connettere la casa, i sistemi di ufficio, la macchina, l'industria, i giochi elettronici e via così. Tutti sulla stessa rete e basati su tre o quattro protocolli e sistemi operativi. O si cambia tendenza o attacchi come quello alla Colonial Pipeline saranno all'ordine del giorno. Recentemente si è anche avuto il blocco dei POS di una catena di supermercati.

E' difficile, per il singolo, evitare la spinta alla convergenza, anche perché questa permette, alle organizzazioni, di avere maggiori risparmi e dati e, ai privati, maggiore comodità. Inoltre le stesse tecnologie sono fatte per spingere alla convergenza; in particolare gli smartphone cercano di far convergere su di loro ogni attività degli utenti. Eppure, solo una certa separazione permetterà di ridurre i danni.

Per quanto riguarda gli attacchi alla filiera di fornitura, bisogna dire che è difficile controllarla. Anzi: impossibile.

Purtroppo, da questo punto di vista, l'approccio che vedo imporsi è quello sbagliato: documenti, analisi, registrazioni; non strumenti, formazione, tecnologie. Gli auditor e le autorità di controllo spingono verso investimenti sbagliati: un mio cliente ha dovuto assumere una persona (oltre al mio supporto) solo per rispondere ai questionari privacy e "Sicurezza" dei clienti. Tutta roba burocratica e spesso inutilmente dettagliata. Molti suoi progetti di miglioramento tecnologico (presidio del patching, uso dell'MDM, separazione netta tra sviluppatori e sistemisti).

Anche Renato Castroreale ha risposto a Chiara, dicendole: Questi attacchi sono oggi un business, anche appoggiato da Stati come Russia e Stati Uniti (Kaseya è utilizzato da Apple, dalle forze armate statunitensi, da molte agenzie governative inclusa l'FBI che sta lavorando assiduamente con il brand). La consapevolezza, l'attenzione e la voglia di investire fanno la differenza. Ma nessuno può realmente essere al sicuro, mai ed in nessuna condizione".

Renato aggiunge che la sua azienda è riuscita a resistitere all'attacco, e dà il merito alla sua prontezza, ma anche alla fortuna e agli investimenti fatti (chiedendosi quanti possono farli).

Ringrazio Chiara e Renato perché ci permettono di ricordare che la sicurezza non si ottiene con uno schiocco delle dita o facili formulette.

Nessun commento:

Posta un commento