Il nome di Andrea Pompili magari non vi dice niente, ma se vi ricordo la vicenda dei dossier illegali di Telecom / Pirelli e vi dico Tiger Team immagino che la nebbia vada diradandosi. Andrea apparteneva al team di Fabio Ghioni, un gruppo di abili hacker a cui era demandata la sicurezza dell’azienda. Compito del Tiger Team era tentare di violare le protezioni con attacchi basati sulle metodologie e gli approcci tipici dell’underground hacking. Pompili è stato condannato a quattro anni di carcere dalla corte d’assise di Milano per il coinvolgimento nella vicenda dei dossier illegali durante il regno di Giuliano Tavaroli, come riportato lo scorso febbraio dal Corriere. È forse per questo che il suo talk sui miti e leggende della sicurezza informatica sabato al Codemotion ha registrato il pienone.

Andrea ha centrato il discorso su un concetto molto semplice: c’è una differenza abissale fra fra percezione e realtà di quelle che sono le minacce informatiche. Oggi la difficoltà maggiore è capire come pensano gli attaccanti e come fanno per entrare nei sistemi. Poi bisogna comprendere in che modo viene sfruttato l’accesso ottenuto e il terzo elemento necessario di un’analisi seria è capire che cosa sta succedendo.

La storia dell’intrusione in RCS nel 2004 è decisamente simbolica a riguardo. Il super attacco condotto dai pericolosisimi hacker si è svolto più o meno così: ad alcuni giornalisti è stata mandata una mail che li invitava ad aggiornare il proprio sistema cliccando su un link per scaricare un update. Questo sostanzialmente avviava il download via ftp (no, dico: via ftp!!!!) dei documenti presenti nell’hard disk. Dopo che erano già stati scaricati oltre un gigabyte di dati dal sistema, l’attacco è stato scoperto. Come? Grazie a un giornalista che si è rifiutato di aggiornare il proprio computer perché non era suo compito, e anziché cliccare sul link ha chiamato l’IT pretendendone l’intervento. Peccato che gli analisti questo non l’abbiamo mai capito, sostenendo la teoria dell’attacco tramite pericolosi trojan e l’utilizzo di macchine ponte site dall’altra parte del mondo fino alla confessione di uno degli hacker arrestati, che aveva semplicemente utilizzato una SIM brasiliana per inviare le mail.

Nella percezione generale l’attaccante è uno di War games, bianco, caucasico e disadattato come quelli che buttano i sassi dal cavalcavia. Questo, spiega Andrea, è il primo mito. Il secondo mito è che l’obiettivo degli attacchi sia la NASA anziché nostra zia. Le organizzazioni criminali hanno la lista delle spesa: sono pronte a pagare da 2 a 90 dollari per una carta di credito, 15 per una botnet e così via. Solo nel 2011 si stima che il business della criminalità informatica valesse 411 miliardi di dollari, ma da allora la crescita è verosimile che sia stata esponenziale. L’attacco più comune, racconta Andrea, consiste nel bucare un sito per inserire un redirect a un sito che vende droghe e viagra al posto delle originali pubblicità.

Un altro fenomeno di difficile comprensione è quello degli hacktivisti. Sono persone arrabbiate con il sistema che anziché andare a battere le pentole sotto una finestra ora bucano i siti, usando sempre gli stessi semplici strumenti, e pubblicano quello che trovano. Pubblicando pubblicando a volte però tirano fuori cose molto pericolose. E magari poi si ritrovano in mano attacchi zero day per cui i criminali informatici sono pronti a pagare svariate centinaia di dollari.

Un virus come Stuxnet costa 3 milioni di dollari, ricorda Andrea, introducendo il concetto della matematica dell’attacco: se violare una macchina costa più di quanto ci si guadagna, allora non ne vale la pena. Comprare vecchi exploit da usare su macchine con ancora Windows XP e magari senza antivirus è il modo migliore per raccogliere dati come i numeri di carte di credito che poi vengono rivenduti velocemente. Inoltre la facilità con cui viene bucato Java (ecco come disabilitarlo) ha fatto sì che gli hacker si siano concentrati su questo per violare i Mac di Cuperino.

Come ci si difende? È molto semplice, spiega l’hacker: occorre tenere alto il prezzo dell’attacco e basso quella della difesa, in modo da avere budget da allocare in caso di intrusione. Questo però nell’ambito della sicurezza informatica viene però spesso sottovalutato. Come nel caso di RCS: le difese erano tutte concentrate sul perimetro, ma ci si è dimenticati di proteggere gli utenti.

Un altro comune errore che le aziende compiono è non difendere il valore percepito. È stato il caso di Vitrociset, azienda italiana si occupa di sistemi informatici per la difesa, il controllo del traffico aereo, i trasporti e diverse altre cose. Bucata da Anonymous e Lulzsec, l’azienda ne ebbe più un danno d’immagine che altro, in quando i documenti pubblicati non contenevano informazioni interessanti. Il fatto di non saperli proteggere era però grave.

Qualche settimana fa Gianpiero Riva ci ha dato qualche consiglio per migliore le nostre password: vi consiglio di leggervi quel post.