Il giorno più lungo del mondo connesso

Venerdì 19 luglio 2024 verrà ricordato come il giorno della consapevolezza informatica. Il giorno in cui un mondo iperconnesso e digitalizzato ha scoperto quanto siano fragili e critici gli effetti di una gestione disattenta, non condivisa con le community aperte e individualizzata dei servizi informatici che governano ormai la larga maggioranza delle attività umane e dei servizi su cui facciamo affidamento

Maria Costanza Candi

I numeri parlano da soli con oltre 4.000 voli cancellati e 35.500 ritardi in tutto il mondo, oltre 180 grandi ospedali coinvolti con apparati medicali inutilizzabili, sale operatorie chiuse, prenotazioni bloccate, per 8,5 milioni di terminali interessati dall’evento.

Per capire cosa sia successo, ItaliaImballaggio ha incontrato Pietro Melillo, PHD, CISO di Würth e parte del team di esperti che danno vita al blog RedHotCyber, una vera e propria comunità dedicata alla sicurezza informatica che mette a disposizione le proprie competenze per affermare la necessità di una cultura condivisa della cybersecurity in azienda e nella quotidianità dei cittadini.

«Prima di ogni altra considerazione va sottolineato che non si è trattato di un attacco informatico» esordisce Melillo. «Inoltre, non è Microsoft responsabile, ma l’aggiornamento contemporaneo di milioni di PC da parte di un antivirus avanzato fornito da CrowdStrike, società specializzata in software e sicurezza informatica con sede in Texas. La crisi è durata complessivamente 90 minuti, il tempo di procedere all’aggiornamento dei terminali, accorgersi del problema e tentare di limitare i danni. Ma in questo contesto, quello che ha generato ulteriore caos è l’atteggiamento incauto degli operatori nella gestione della crisi e nella costruzione di processi e architetture adeguate al livello critico dei servizi gestiti».

Cybersecurity tassello essenziale nelle organizzazioni

Procedure inadeguate e panico hanno quindi facilitato l’evento e favorito una catena di situazioni di instabilità in cui i criminali informatici si sono inseriti accrescendo la portata della crisi.

«Al presentarsi dei primi problemi con la visualizzazione del famigerato schermo blu del BSOD (Blue Screen of Death) - prosegue Melillo - i tecnici in difficoltà hanno diffuso su social e community specializzate una serie di screenshot con cui recuperare informazioni utili alla gestione della situazione. Questo ha però rese pubbliche informazioni essenziali sulla strategia di gestione della sicurezza informatica interna ad aziende e istituzioni, scatenando una serie di attacchi da parte dei cybercriminali. Gli screenshot postati dagli utenti hanno infatti aiutato gli attaccanti a individuare ulteriori vulnerabilità, che hanno permesso ai malviventi di inviare mail con finte comunicazioni di patch e update di correzione che hanno in realtà raccolto dati o diffuso malware. CrowdStrike Intelligence ha segnalato la distribuzione di un archivio ZIP ingannevole, denominato crowdstrike-hotfix.zip, contenente un payload HijackLoader progettato per distribuire il RAT (strumento di accesso remoto) RemCos. Il file ZIP, con nomi file e istruzioni in spagnolo suggerisce un attacco mirato agli utenti LATAM. Il file è stato caricato per la prima volta da un submitter con sede in Messico che lo ha caricato su un servizio di scansione malware online.

Queste truffe spesso coinvolgono e-mail di phishing, false chiamate di supporto e offerte fraudolente di servizi di ripristino. La prassi migliore è contattare le aziende direttamente tramite i loro canali ufficiali anziché rispondere a comunicazioni indesiderate. La sequenza di attacco inizia con l’esecuzione di Setup.exe, che utilizza il dirottamento DLL per caricare HijackLoader. Pubblicizzato come un servizio di crittografia privato noto come ASMCrypt, HijackLoader è abile nell’elusione del rilevamento. Esegue il payload finale di RemCos, che si connette a un server di comando e controllo a 213.5.130.58:433, consentendo all’attaccante di ottenere il controllo sui sistemi infetti.

Il tutto approfittando del down e della relativa confusione, accresciuta dalla superficialità di tutte le parti coinvolte che hanno offerto accesso ai propri sistemi su un piatto d’argento».

Il fattore umano, nel bene e nel male

Per quanto si parli di macchine come soggetti a sé, il fattore umano è sempre presente sia nel bene che nel male, come nel caso di errori che secondo Melillo affondano le proprie radici in un approccio sbagliato ai temi della sicurezza informatica, vissuta spesso dal management come un extra costo non necessario e gestita dagli uffici IT senza le dovute procedure di sicurezza, ma con una fiducia eccessiva nella reliability dei brand fornitori di software.

«L’errore dell’utente finale e dei tecnici è stato quello di postare la situazione dichiarando le proprie strategie di difesa - prosegue Melillo - ma Crowdstike ha fatto un errore ancora più discutibile, non testando l’aggiornamento prima di distribuirlo. Errore di procedura che ha investito anche le aziende, pubbliche e private che hanno aggiornato i sistemi senza le dovute precauzioni. Tra queste in particolare la ripartizione tra ambiente di sviluppo, di test e di produzione che avrebbe permesso di verificare la tenuta dei sistemi con il nuovo aggiornamento. Il tema centrale ruota attorno alla consapevolezza che spinge le organizzazioni a definire procedure orientate alla sicurezza informatica e basate su competenze interne, non sulla fiducia assoluta nei brand del software che con ogni evidenza, possono sbagliare, generando problemi di caratura mondiale».

Una questione di percezione del rischio

La cybersecurity è quindi strettamente legata alla cultura condivisa sul tema, senza differenze tra cittadini, istituzioni o aziende.

«Il problema della sicurezza informatica è centrale - chiosa Melillo - e le infrastrutture dimostrano di non essere protette adeguatamente, con processi ben strutturati come la verifica delle incompatibilità e dei malfunzionamenti. Serve quindi tornare ad accogliere e governare la complessità, come del resto il 19 luglio ha dimostrato chiaramente, affermando che il tema centrale sia proprio la gestione della complessità e dei processi, governati oggi con grande superficialità. I processi di testing servono per verificare eventuali password in chiaro, librerie scoperte e vulnerabilità che possono generare disastri della portata di quello a cui abbiamo assistito. E anche se alcuni processi introducono maggiore effort e perdita di tempo, in caso di necessità salvano da preoccupanti situazioni che possono coinvolgere la vita delle persone più di quanto non si pensi. Voli, treni, ospedali, servizi essenziali non hanno solo subito un grave danno per le conseguenze immediate, ma vivono oggi ulteriori difficoltà dovute al ripristino dei sistemi, agli attacchi collaterali, che vedono oggi gruppi organizzati pronti a sfruttare le conseguenze della crisi, per non parlare delle implicazioni legali tra danni morali, materiali e violazione della privacy. Su questo punto, ad esempio, il Garante della Privacy italiano ha deciso di intraprendere un’azione, per definire eventuali impatti sui dati personali degli utenti in base delle notifiche di data breach avvenute».

Per ulteriori informazioni sull’errore informatico occorso il 19 luglio scorso, ma anche sulle opportunità per rafforzare le difese e migliorare la sicurezza complessiva delle infrastrutture digitali, rimandiamo al documento allegato.