“Non possiamo aspettare che gli hacker lascino al buio le nostre città. La rete di data exfiltration ai danni di politici, istituzioni e aziende scoperta dalla Polizia Postale è un campanello d’allarme estremamente serio per l’Italia, ed è già di per sé incoraggiante che il fenomeno sia venuto alla luce: vuol dire che non siamo all’anno zero, e che si sta lavorando nella giusta direzione. Allo stesso modo però dobbiamo sottolineare che, se un malware è stato in grado di creare questi danni, nel nostro Paese – e nel mondo – c’è una carenza di consapevolezza sui rischi del cyber tutta da colmare. A meno che non vogliamo che il nostro sistema economico sia alla mercé delle iniziative di hacker intraprendenti. Nel momento stesso in cui creiamo un’economia che si basa completamente su Internet dobbiamo conoscerne i pericoli”.
Così Roberto Baldoni, direttore del Cyber Intelligence and information Security Center dell’Università “Sapienza” di Roma, commenta il caso di cyberspionaggio emerso oggi che ha portato a Roma all’arresto di due persone e ha scoperchiato un circuito esteso di intercettazioni informatiche.
Professor Baldoni, il Gip parla di rischio per la sicurezza nazionale. Come è stato possibile che un malware abbia infettato così tanti account e sistemi informatici strategici per l’Italia?
Il problema principale è che non c’è abbastanza consapevolezza dei rischi legati alle applicazioni di Internet. Il rischio è che girando sui siti, aprendo mail che non dovrebbero essere aperte o allegati, si apra la strada a virus particolarmente complessi: poi dipende da che tipo di malware vengono scaricati, spesso aprendo file allegati a una mail: si può trattare, come in questo caso, di data exfiltration, o di ransomware, con il denial of service o la cifratura dei contenuti per renderli inaccessibili agli utenti.
C’è a suo avviso una carenza di protezione o di strategia difensiva?
Non abbiamo ancora informazioni abbastanza dettagliate per capire cosa è successo, bisognerebbe vedere le carte. L’attacco potrebbe essere stato sferrato tramite alcuni account privati, che di solito sono meno controllati, e dove è più facile cadere in errori e in “aperture incaute”. Oltretutto le e-mail utilizzate dagli hacker per veicolare i malware sono diventate molto mirate, precise, e particolarmente curate nella loro composizione, nel modo in cui sono scritte, nei toni che vengono usati. Quanto alle Botnet, è importante sapere che spesso sono in giro spesso da anni: si tratta di infrastrutture che cambiano pelle nel tempo, che vengono uste volta per volta da gruppi diversi di hacker, in “affitto”, per compiere le operazioni più disparate.
Quali rischi corre il sistema economico e istituzionale italiano?
Le informazioni sottratte possono essere scottanti nei toni e nel modo di parlare, e quindi potrebbero sollevare problemi legati diplomatici o di rapporti per la parte governativa o politica di più alto profilo. Sul versante delle aziende, è chiaro che si potrebbero fornire vantaggi competitivi straordinari alla concorrenza di aziende, magari non italiane. Al momento non sappiamo a chi sono stati date le informazioni e da quanto tempo.
Quali sono ora le azioni principali per correre ai ripari?
Per distruggere una botnet l’unico modo è ridurla, portandone il traffico al di sotto di un certo livello, e riuscire a capire come è strutturato il suo centro di comando e controllo: solo a quel punto sarà possibili sostituirsi a chi controlla la rete e mandare un ordine di “suicidio” a tutta una serie di malware. La prima fase deve essere di studio, la seconda di controffensiva.
L’operazione è stata portata a termine anche in collaborazione internazionale con l’Fbi. Quanto è importante stabilire e coltivare questo genere di partnership?
Nel cyber e negli attacchi di una certa dimensione la collaborazione internazionale è fondamentale, perché i server, che in questo caso erano negli Usa, potrebbero essere basati ovunque nel mondo. Queste collaborazioni devono poi essere gestite nel modo adeguato, e funzionano solo se ci sono strutture adeguate in termini di ingegneri, tecnici e ricercatori. Un sistema valido sia per contrastare la parte “crime”, sia per la parte di intelligence per la difesa della nazione e della nostra economia. Se non avremo questo sistema sempre più specializzato, in grado di agire in diversi settori, avremo difficoltà a stabilire collaborazioni internazionali e rischieremo di rimanere “soli”.
