Protezione del software: limiti e potenzialità
20 Aprile 2020
Dallo Zeroday al sistema di Intelligence
22 Aprile 2020

Rischio Cyber e Covid-19

Introduzione

Stiamo vivendo dei momenti drammatici. Tutti noi stiamo combattendo contro un nemico invisibile che ha mietuto un numero incredibile di vittime, mettendoci in una situazione fuori da ogni possibile immaginazione. Un evento pandemico di queste dimensioni era imprevisto e largamente sottostimato anche da autorevoli fonti come il World Economic Forum che, nel suo Global Risk Report 2020[1], inserisce il rischio di infezione pandemica solo al decimo posto nella classifica dei dieci principali rischi a livello globale e addirittura fuori da questa classifica in termini di probabilità.

Paradossalmente (e alla luce dei fatti si può ben dire), tutti i rischi che riguardano il mondo delle tecnologie interconnesse tramite Internet (Information Infrastructure Breakdown, Data Fraud or Theft e Cyberattacks) nella medesima classifica sono posizionati ben più in alto sia in termini di probabilità di accadimento che di impatto potenziale.

Come a dire, ci siamo concentrati sui virus informatici e siamo stati messi alle corde da un virus che appartiene al mondo reale.

Questa situazione ci insegna anche che c’è una differenza tra rischio percepito e rischio reale e che questa differenza può essere marcata. In alcuni casi il rischio percepito sovrastima il rischio reale, in altri casi lo sottostima, come ad esempio nel caso del rischio di infezione pandemica. Come mai? Di solito, quando in relazione a un dato rischio si materializza un evento avverso inatteso, il rischio percepito cresce verticalmente. E nel caso del rischio Cyber negli ultimi dieci anni abbiamo assistito a un susseguirsi di eventi con fattore di scala medio-grande, che hanno impressionato l’opinione pubblica e creato preoccupazione in relazione alla tenuta di un sistema economico che si basa largamente su una serie di sottosistemi interconnessi tramite le reti di comunicazione.

A volte, invece, rischi diversi hanno dei punti di contatto; infatti il nuovo stile di vita che il COVID-19 ci ha imposto e lo stato di apprensione in cui ci ha precipitato offre ai cybercriminali una grande opportunità di mettere a segno i loro odiosi colpi. Vediamo perché.

Contesto

Il momento che stiamo vivendo ci pone in uno stato d’animo che è facilmente sfruttabile dai cybercriminali.

Siamo preoccupati per la diffusione del virus, poniamo grande attenzione a tutte le notizie che riguardano questo tema, ci sentiamo molto coinvolti dal punto di vista emotivo in tutte le storie che suscitano in noi preoccupazione, compassione o anche orgoglio per come la nostra comunità sta affrontando questa battaglia.

Siamo confinati nelle nostre case; lavoriamo, studiamo, facciamo acquisti in buona parte utilizzando Internet e i suoi strumenti. La posta elettronica ci tiene in contatto con l’ufficio ma consente anche ai nostri figli di mantenere il rapporto con i propri professori. Per evitare di uscire, usiamo i siti di eCommerce per fare la spesa o acquistare i beni che ci sono necessari. Per pagare l’affitto di casa, le bollette delle utenze domestiche, la rata del mutuo, utilizziamo i servizi di home banking della nostra banca. Insomma, si sta allargando in modo considerevole la fascia di popolazione che usa Internet per assolvere ai piccoli/grandi compiti della vita di tutti i giorni.

Rischi

Nulla di nuovo, solo che la base di utenza di questi servizi è aumentata vertiginosamente[2] e con essa il rischio di furti, truffe, ricatti e di tutte le altre odiose azioni che i cybercriminali mettono costantemente in atto. Ora, quali sono i principali rischi[3] che solitamente corriamo e che in una situazione come quella attuale risultano amplificati?

  • Per primo considererei il rischio che qualche malintenzionato riesca a sottrarci informazioni per noi importanti; come ci può riuscire e cosa fare per difendersi lo vedremo più avanti. Potrebbe trattarsi delle informazioni relative alla nostra carta di credito o peggio ancora delle credenziali di accesso al nostro sito di remote banking. Da notare però, che in quest’ultimo caso, la normativa europea ha imposto alle banche (e di conseguenza agli utenti) l’adozione di un metodo di autenticazione a due fattori per l’accesso ai siti di home banking che ha notevolmente migliorato la situazione (anche questo punto lo approfondiremo più avanti);
  • poi, c’è il rischio che un cybercriminale riesca in qualche modo a crittografare i dati del nostro hard disk rendendoli illeggibili e ci chieda poi un riscatto (in genere in bitcoin[4]) per renderci disponibile la chiave che ci permetterebbe di decifrarli e rendere le nostre foto e i nostri documenti di nuovo leggibili;
  • proseguendo, prenderei in considerazione il rischio che i cybercriminali riescano a sottrarci le credenziali della nostra posta elettronica o dei social network a cui siamo iscritti. Perché dovrebbe farlo? Per inviare spam[5] o per trollare[6] (a nostra insaputa), in altre parole per sottrarci la nostra identità digitale;
  • e ancora, considererei il rischio che un cybercriminale installi un software sul nostro computer per assoldarlo all’interno di una botnet[7] allo scopo di effettuare attacchi informatici contro qualche altro obiettivo in Italia o all’estero. Il cybercriminale sarebbe, quindi, in grado di utilizzare il nostro computer a nostra insaputa per scopi illeciti; insomma, il nostro computer diventerebbe uno zombie;
  • infine, esaminerei il rischio certamente ad impatto più elevato anche se, per fortuna, con probabilità non elevatissime. Si tratta del rischio che un minore sia adescato online da malintenzionati a scopi che tremo anche solo a pronunciare. In questo caso non si riesce a ragionare in termini statistici, anche un solo caso è di una gravità estrema.

Cosa fare per difendersi?

Per perpetrare questi crimini, i cybercriminali devono installare del software sul nostro computer o sul nostro smartphone. Come fanno di solito? Tramite una e-mail di phishing[8]. Le e-mail di phishing sono il principale veicolo di malware[9], ovvero del software che i cybercriminali utilizzano per raggiungere tutti gli obiettivi descritti in precedenza. È molto importante capire che non esistono programmi in grado di filtrare completamente le e-mail di phishing ma che siamo noi a dover fare una parte del lavoro ponendo la giusta attenzione nel riconoscerle. Ecco, quindi, i suggerimenti più importanti:

  • non aprite mai le e-mail provenienti da mittenti sconosciuti o sospetti;
  • se anche avete aperto un’e-mail sospetta, non aprite mai gli allegati e non cliccate mai sui link contenuti nel corpo dell’e-mail;
  • attenzione ai link che vi vengono proposti sui social network; cliccate solo se siete sicuri del profilo che ha postato il link e, comunque, state attenti;
  • dotate il vostro personal computer di un software antivirus che deve essere costantemente aggiornato;
  • attenzione alle e-mail che riguardano il tema della pandemia COVID-19: raccolte fondi, avvisi urgenti, app dedicate al monitoraggio della diffusione del virus sono veicoli perfetti per la diffusione di malware;
  • sul vostro smartphone, non cliccate mai su link che vi inducono a scaricare APP da store non ufficiali (quelli ufficiali più noti sono Apple Store e Google Play);
  • ove previsto dal servizio Internet che state utilizzando (es. webmail, social, e-commerce), attivate l’autenticazione a due fattori basata sul vostro numero di telefono cellulare;
  • aggiornate costantemente la versione del sistema operativo del vostro PC e del vostro smartphone e tutte le applicazioni o APP che utilizzate più di frequente;
  • non rispondete mai alle e-mail di spam;
  • non fidatevi mai delle e-mail che propongono sconti eccezionali o che promettono qualcosa in regalo;
  • non lasciate mai soli per troppo tempo i più piccoli davanti al PC o allo smartphone; in questo momento anche gli adescamenti online sono in aumento.

Ora procediamo con ordine.

E-mail e social

Come si fa a riconoscere un mittente “sospetto”? Bisogna fare molta attenzione. Alcune e-mail sono semplici da individuare, altre sono molto sofisticate, praticamente indistinguibili dalle e-mail originali. Facciamo un esempio: un indirizzo di posta elettronica di questo tipo nome.cognome@gestore.it, se non si fa molta attenzione, è indistinguibile rispetto all’indirizzo nome.cognome@gestore.lt (.elleti), solo che il secondo indirizzo non è di un gestore italiano ma di un gestore lituano, e la cosa è in effetti sospetta! Quando si leggono le e-mail molto velocemente e con una dimensione di carattere piccola (ad esempio nel caso di uno smartphone), è probabile che la differenza non si colga. Quindi, ci vuole molta attenzione. Bisogna, però, fare attenzione anche se il nome del mittente corrisponde ad una persona effettivamente nota, potrebbe essere una trappola. Nel mondo di Internet in generale e dunque anche nei sistemi di posta elettronica, è molto semplice fare spoofing[10], ovvero, fare in modo che nella e-mail il nome del mittente sia diverso e non corrispondente all’indirizzo di e-mail del mittente. Quindi, potremmo ricevere e-mail da “nome. cognome” (persona a noi nota e conosciuta) che però non sono realmente inviate da un indirizzo presumibilmente lecito come nome.cognome@gestore.it, ma da un altro indirizzo non correlato all’identità mostrata nel nome utente. Come si fa a controllare l’indirizzo e-mail sottostante ad un nome utente? È semplice: basta passare il mouse sopra il nome utente e vedrete comparire il reale indirizzo mittente. Se l’indirizzo mittente vi sembra non correlato al nome utente, non fidatevi e cestinate l’e-mail. Le e-mail di phishing possono essere molto sofisticate, scritte in modo indistinguibile rispetto a un’e-mail “vera” e dal punto di vista grafico indistinguibile rispetto alle e-mail originali.

Se per caso avete aperto l’e-mail, non affrettatevi a cliccare sui link in essa contenuti; concedetevi una seconda opportunità di controllo. Se all’interno dell’e-mail vedete dei link del tipo “Clicca qui”, non lo fate! Prima passate il mouse sul link e controllate l’indirizzo web che si attiverebbe in caso di click. Controllatelo con la stessa attenzione con cui avreste dovuto controllare l’indirizzo e-mail nascosto sotto il nome utente. Se c’è qualcosa che non vi torna e che non corrisponde tra nome utente, indirizzo e-mail reale e indirizzo web dei link contenuti nell’e-mail, allora chiudete l’e-mail e cancellatela. In ogni caso, non aprite mai nessun allegato a meno che non siate assolutamente sicuri che l’e-mail sia lecita e proveniente da una persona da voi effettivamente conosciuta.

Gli stessi criteri vanno utilizzati se, invece di un’e-mail, state consultando un post[11] pubblicato su di un social network: attenzione all’autenticità del profilo e occhio ai link sui quali cliccate.

Come abbiamo visto in precedenza, uno dei business più importanti dei cybercriminali è quello relativo allo spam. Ovvero acquistare sui mercati illegali stock di indirizzi e-mail a cui inviare informazioni commerciali non richieste. Nella buona parte dei casi, si tratta di e-mail fastidiose ma innocue; in altri casi queste e-mail (come abbiamo visto in precedenza) nascondono vere e proprie attività di phishing. È importante sapere che non bisogna mai rispondere ad una e-mail di spam. Una nostra risposta equivale a comunicare al mittente: “io ci sono e posso ricevere e-mail di spam” e questi si affretterà ad aumentare il volume di e-mail indesiderate destinate a noi o, peggio ancora, a rivendere il nostro indirizzo e-mail ad altri spammer[12]. In ogni caso c’è una correlazione diretta: se si risponde aumenta il volume delle e-mail che riceviamo. Attenzione anche ad un aspetto ancor più subdolo. A volte le e-mail di spam espongono un link per cancellare l’iscrizione dalla mailing list, potrebbe essere un trucco per indurci a scaricare un malware. Gli spammer, infatti, non sono interessati ad offrire meccanismi leciti per non ricevere più e-mail di spam da quel mittente.

Ovviamente, i principi di cui abbiamo appena discusso valgono se utilizziamo un personal computer ma anche se consultiamo le e-mail da uno smartphone. In questo caso, uno degli obiettivi dei cybercriminali è indurvi a scaricare APP da link che non riportano ad uno store ufficiale (quelli ufficiali più noti sono Apple Store per iOS e Google Play per Android). Questa è un’indicazione semplice: non scaricate mai APP da uno store non ufficiale! È una condizione necessaria ma non sufficiente; a volte, i cybercriminali riescono a superare i filtri di sicurezza che i gestori degli store impongono a chi vuole pubblicare APP disponibili pubblicamente al download.

Autenticazione a due fattori

Come dicevamo, uno degli obiettivi più importanti dei cybercriminali è il furto di credenziali, le credenziali di posta elettronica, le credenziali del sito di e-commerce, le credenziali del servizio Cloud[13] su cui archiviamo le nostre foto e i nostri documenti, le credenziali per l’accesso alla nostra azienda.

In questo caso il suggerimento è semplice: ove possibile, attivate la modalità di autenticazione a due fattori[14]. L’idea alla base di questa modalità è semplice: visto che il furto di credenziali (nome utente e password) è un fenomeno che cresce costantemente, ci dobbiamo proteggere richiedendo l’accesso ad un sito tramite un fattore di autenticazione ulteriore rispetto a nome utente e password, che consiste in un codice numerico inviato sul nostro cellulare. In questo modo, l’autenticazione è possibile conoscendo le credenziali (qualcosa che sai) ed essendo in possesso del proprio smartphone (qualcosa che hai). Un cybercriminale per accedere al posto vostro ad un servizio web dovrebbe possedere sia le credenziali di autenticazione (possibile ma – se stiamo attenti – poco probabile) che il secondo fattore di autenticazione (molto più difficile e dunque meno probabile). Può essere un fastidio, ma dal punto di vista della sicurezza è sicuramente un passo in avanti.

La cyber hygiene

È anche possibile che i cybercriminali riescano ad installare un malware sul vostro PC senza bisogno di utilizzare una e-mail di phishing; in questo caso sfruttando vulnerabilità[15] del sistema operativo o di uno dei software applicativi che utilizzate sul vostro PC o delle APP che utilizzate sul vostro smartphone.

Anche se non è un metodo del tutto infallibile, è bene che il vostro PC sia dotato di un software antivirus[16] costantemente aggiornato. Se il sistema operativo del vostro PC non è dotato di un antivirus, è possibile reperirne uno in rete dove si trovano software free molto affidabili. L’importante è che l’antivirus sia configurato per effettuare controlli periodici e per aggiornare periodicamente l’elenco dei nuovi virus da cercare.

In questi giorni ci stanno chiedendo di rimanere a casa e di lavarci spesso le mani; nel mondo digitale vale la stessa cosa: attenzione a dove andiamo, a chi visitiamo e prendiamoci cura dell’igiene dei nostri dispositivi digitali. Si chiama, infatti, Cyber Hygiene[17].

E-commerce

In questo triste periodo, per ovvi motivi, aumenta il ricorso ai siti di eCommerce. Anche in questo caso possiamo dare qualche semplice raccomandazione:

  • non affidatevi mai a siti di eCommerce sconosciuti o solo perché fanno promesse poco realistiche;
  • quando utilizzate un sito di eCommerce controllate sempre che il sito utilizzi il protocollo https[18] che indica che la comunicazione tra PC e sito di eCommerce è protetta con tecniche di crittografia. Capire se il sito che stiamo utilizzando è protetto da https è semplice, basta guardare nella barra degli indirizzi e verificare la presenza del simbolo di un lucchetto chiuso seguito dalla stringa https://;
  • adottate sempre l’autenticazione a due fattori.

Il rischio per i minori

Come ultimo tema vorrei parlare del fatto che la forzata permanenza a casa costringe i nostri figli a utilizzare smartphone e PC per rimanere in contatto con i propri insegnanti. Non solo gli studenti universitari o delle medie superiori, ma anche quelli delle medie inferiori e – addirittura – delle elementari. Ci troviamo in una situazione in cui ogni componente della famiglia avrebbe bisogno di un proprio PC e, specialmente per i più piccoli, aumenta esponenzialmente l’esposizione online. Anche per questa tipologia di casi d’uso valgono tutte le raccomandazioni fatte in precedenza più, come risulta dal report di Europol[19], una fondamentale per pericolosità: i tentativi di adescamento online sono in aumento. A questo proposito non ci sono raccomandazioni semplici da dare, ma è meglio fare riferimento a quanto già magnificamente fatto dalla Polizia Postale[20].

 

Note

[1] https://www.weforum.org/reports/the-global-risks-report-2020

[2] https://www.engage.it/tecnologia/comportamenti-online-mapp-223888/223888
https://www.engage.it/agenzie/triboo-vendite-ecommerce-coronavirus/221392
https://www.merlinwizard.com/ll-covid-19-ha-contagiato-anche-lecommerce.htm
https://www.ilsole24ore.com/art/triboo-il-coronavirus-balzo-volumi-e-commerce-AD2BvFC

[3] Rischi: vengono classificati in base alla probabilità di accadimento e all’impatto potenziale (R=PxI). Esistono rischi con impatto potenziale molto elevato ma (per fortuna) probabilità di accadimento remota e rischi che si concretizzeranno con elevata probabilità ma che (sempre per fortuna) ha un impatto piuttosto limitato. Nel mezzo c’è un’ampia gamma di rischi che devono essere singolarmente valutati e gestiti.

[4] Bitcoin: è una criptovaluta, ovvero un sistema di pagamento elettronico basato su Internet e su protocolli sicuri. I bitcoin diversamente dalle monete non sono mediati da un ente centrale (sistema bancario) ma sono convertibili in moneta tradizionale (è possibile acquistarli e venderli).

[5] Spam: invio non richiesto di pubblicità e offerte commerciali. Usato anche per indicare una quantità eccessiva di messaggi sui social o su chat.

[6] Trollare: il comportamento di chi provoca, insulta, aggredisce qualcuno online pubblicando commenti negativi nei confronti di altri utenti della comunità virtuale.

[7] Botnet: è una rete di robot (robot-net, da cui il termine botnet), cioè di dispositivi informatici che una volta infettati da malware, passano sotto il controllo di una entità centrale chiamata centro di comando e controllo. Lo scopo è utilizzare tali dispositivi per realizzare attacchi informatici distribuiti, propagare virus e malware, sottrarre dati personali, inviare spam, ecc.

[8] Phishing: è una frode informatica finalizzata all’acquisizione, con l’inganno, di dati riservati del cliente (ad esempio username e password) attraverso l’invio di e-mail contraffatte che presentano grafica e loghi ufficiali di aziende ed istituzioni conosciute (es. banche).

[9] Malware: software malevolo creato per danneggiare un computer o un terminale mobile (smartphone o tablet) collegato in rete.

[10] Spoofing: camuffarsi, mascherarsi allo scopo di assumere le sembianze di qualcun altro falsificando l’indirizzo sorgente di una comunicazione. Ad esempio, è possibile fare spoofing di un indirizzo di e-mail impostando il nome utente (quello che in prima battuta viene visualizzato nella e-mail) con un nome conosciuto dal destinatario, mentre il reale indirizzo ne rivela la provenienza sconosciuta e inaffidabile. Si usa il termine spoofing (in questo caso IP spoofing o address spoofing) quando si crea un pacchetto IP nel quale viene falsificato l’indirizzo IP del mittente.

[11] Post: è un messaggio che può contenere testo, immagini, video, link a siti web o ad altri post pubblicato su un social netwok.

[12] Spammer: colui che invia e-mail di spam.

[13] Servizio Cloud: servizio che permette di accedere a risorse hardware e software disponibili su server ubicati altrove, attraverso dispositivi collegati alla rete fissa o alla rete mobile. Il termine “nuvola” lascia intendere che la localizzazione fisica delle risorse assume un’importanza minore rispetto alla possibilità di accedervi ovunque e dovunque il cliente si trovi.

[14] Autenticazione a due fattori: il sito web dopo la digitazione di user-id e password invia sul numero di cellulare dell’utente registrato un codice numerico che deve essere inserito sul sito web per completare l’autenticazione. Il codice numerico può essere ricevuto dall’utente via SMS o generato tramite un’APP Authenticator opportunamente configurata per generare codici per lo specifico sito web.

[15] Vulnerabilità: è l’assenza, la presenza in misura ridotta o la compromissione delle misure di sicurezza di un sistema (quale esso sia); una vulnerabilità rappresenta un punto debole che consente a un eventuale aggressore (la minaccia) di compromettere il livello di sicurezza dell’intero sistema.

[16] Antivirus: software che serve a prevenire, rilevare e/o rendere inoffensivi codici dannosi: i virus.

[17] Cyber Hygiene: si tratta di tutte le misure di prevenzione che è necessario applicare ai sistemi e dispositivi digitali per ridurre la cosiddetta “superficie esposta” agli attaccanti, ovvero, il numero di vulnerabilità che possono essere sfruttare dalle minacce. Il puntuale aggiornamento delle versioni di sistema operativo e dei software applicativi (patching) è la principale misura di Cyber Hygiene.

[18] https: HyperText Transfer Protocol su Secure Socket Layer (HTTPS) è un protocollo per la comunicazione sicura attraverso una rete di computer utilizzato su Internet.

[19] https://www.europol.europa.eu/publications-documents/pandemic-profiteering-how-criminals-exploit-covid-19-crisis

[20] https://www.commissariatodips.it/index.html, sezioni “Da Sapere: Per i Genitori / Per i bambini / Per i Cittadini e i Ragazzi”

 

Articolo a cura di Marcello Fausti

Il Dott. Marcello Fausti è attualmente responsabile della CyberSecurity del Gruppo Italiaonline.

Nei 10 anni precedenti, è stato responsabile della IT Security di TIM con responsabilità della protezione delle infrastrutture critiche; dello sviluppo e gestione dei sistemi a supporto dell’Autorità Giudiziaria; della gestione del Security Operation Center, della gestione del processo di ICT Risk Management e dello sviluppo delle contromisure di sicurezza per la gestione operativa dei piani di sicurezza. È stato, inoltre, responsabile del Security Lab di TIM. In precedenza ha lavorato nel gruppo Olivetti come direttore marketing e business development di una società di system integration attiva sul mercato dei large account e come marketing manager della divisione PA della capogruppo.

È certificato CISM, PMP, COBIT, ITIL, ISO20000.

Download PDF
Condividi sui Social Network:

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy